如何在 Windows 中清除 RDP 连接历史记录？

内置 Windows 远程桌面连接 (RDP) 客户端 (

mstsc.exe

) 保存远程计算机名称（或 IP 地址）以及每次成功连接到远程计算机后用于登录的用户名。下次启动时，RDP 客户端会让用户选择之前使用的连接之一。用户可以从列表中选择RDS/RDP主机的名称，客户端会自动填写之前登录时使用的用户名。

从最终用户的角度来看，这很方便，但从安全的角度来看，这是不安全的。特别是当您从公共或不受信任的计算机连接到 RDP 服务器时。

有关所有 RDP（终端）会话的信息单独存储在每个用户的注册表配置单元中，即非管理员将无法查看其他用户的 RDP 连接历史记录。

在本文中，我们将展示 Windows 存储远程桌面连接历史记录和已保存凭据的位置、如何从 mstsc 窗口中删除条目以及清除 RDP 日志。

如何从注册表中删除 RDP 连接缓存？

有关所有 RDP 连接的信息都存储在每个用户的注册表中。使用内置 Windows 工具无法从 RDP 连接历史记录列表中删除一台或多台计算机。您将必须手动清除一些注册表项。

1. 运行注册表编辑器（

   regedit.exe

   ）并浏览至注册表项 HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client;

2. 此部分需要两个注册表项：默认（存储最近 10 个 RDP 连接的历史记录）和服务器（包含之前用于登录的所有 RDP 服务器和用户名的列表）；

   

3. 展开注册表项 HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default，其中包含最近使用过的远程计算机的 10 个 IP 地址或 DNS 名称列表（MRU - 最近使用）。远程桌面服务器的名称（或 IP 地址）存储在 MRU* 的值中。范围。要清除最近的RDP连接历史记录，请选择名称为MRU0-MRU9的所有参数，右键单击并选择删除；

   

4. 现在展开键HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers。它包含该用户曾经建立的所有 RDP 连接的列表。使用任何主机的名称（或 IP 地址）展开 reg 键。请注意 UsernameHint 参数的值。它显示用于连接到 RDP/RDS 主机的用户名。该用户名将用于自动连接到 RDP 主机。此外，CertHash 变量包含 RDP 服务器 SSL 证书指纹（请参阅文章“为 RDP 配置受信任的 TLS/SSL 证书”）；

   

5. 为了清除所有 RDP 连接和保存的用户名的历史记录，您必须清除服务器注册表项的内容。由于不可能一次选择所有嵌套的注册表项，因此删除整个 Servers 项然后手动重新创建会更容易；

   

6. 接下来，您需要删除默认的 RDP 连接文件（其中包含有关最新 rdp 会话的信息） - Default.rdp（此文件是位于 Documents 目录中的隐藏文件）。

7. Windows 还将最近的远程桌面连接保存在跳转列表中。如果您输入

   mstsc

   在Windows 10搜索框中，以前使用过的RDP连接将出现在列表中。您可以使用注册表项中的注册表双字参数 Start_TrackDocs 完全禁用跳转列表中的 Windows 10 最近使用的文件和位置

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

   （将其设置为0），或者您可以通过删除目录中的文件来清除重新发送的项目列表

   %AppData%\Microsoft\Windows\Recent\AutomaticDestinations

   。

   

注意。所描述的清除远程桌面连接历史记录的方法适用于所有 Windows 桌面版本（从 Windows XP 到 Windows 10）和 Windows Server。

清除 RDP 连接历史记录的脚本

上面我们展示了如何手动清除 Windows 中的 RDP 连接历史记录。但是，手动执行此操作（尤其是在多台计算机上）非常耗时。因此，我们提供了一个小脚本（BAT 文件），允许自动清除 RDP 历史记录。

要自动清除 RDP 历史记录，您可以将此脚本放置到 Windows 启动中或通过 GPO 注销脚本在用户计算机上运行它。

@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
attrib -s -h %userprofile%\documents\Default.rdp
del %userprofile%\documents\Default.rdp
del /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations

让我们考虑一下脚本的所有操作：

1. 禁止向控制台输出信息；

2. 删除注册表项 HKCU\Software\Microsoft\Terminal Server Client\Default 中的所有参数（清除最近的 RDP 连接列表）；

3. 删除整个注册表项HKCU\Software\Microsoft\Terminal Server Client\Servers（清除所有RDP连接和保存的用户名列表）；

4. 重新创建之前删除的注册表项；

5. 更改当前用户的profile目录下的Default.rdp文件属性（默认为Hidden和System）；

6. 删除Default.rdp文件；

7. 从跳转列表中的最近项目中清除远程桌面连接条目。

此外，您可以使用以下 PowerShell 脚本清除 RDP 连接的历史记录：

Get-ChildItem "HKCU:\Software\Microsoft\Terminal Server Client" -Recurse | Remove-ItemProperty -Name UsernameHint -Ea 0
Remove-Item -Path 'HKCU:\Software\Microsoft\Terminal Server Client\servers' -Recurse  2>&1 | Out-Null
Remove-ItemProperty -Path 'HKCU:\Software\Microsoft\Terminal Server Client\Default' 'MR*'  2>&1 | Out-Null
$docs = [environment]::getfolderpath("mydocuments") + '\Default.rdp'
remove-item  $docs  -Force  2>&1 | Out-Null

如何阻止 Windows 保存 RDP 连接历史记录？

如果您不希望 Windows 保存 RDP 连接历史记录，则必须拒绝写入注册表项

HKCU\Software\Microsoft\Terminal Server Client

对于所有用户帐户。首先，禁用指定注册表项的权限继承（权限 -> 高级 -> 禁用继承）。然后通过勾选用户的拒绝选项来更改注册表项ACL（但您应该了解这是不受支持的配置）。

因此，mstsc.exe 根本无法将 RDP 连接信息写入注册表。

如何清除远程桌面位图缓存？

远程桌面连接客户端具有图像持久位图缓存功能。 RDP 客户端将远程屏幕上很少变化的片段保存为光栅图像缓存。因此，mstsc.exe 客户端会从本地驱动器缓存加载自上次渲染以来未更改的屏幕部分。此 RDP 缓存功能减少了通过网络传输的数据量。

RDP缓存是目录中的两种类型的文件

%LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache

• *.bmc

• 垃圾桶

这些文件以 64×64 像素图块的形式存储原始 RDP 屏幕位图。使用简单的 PowerShell 或 Python 脚本（可以通过

RDP Cached Bitmap Extractor

查询），您可以获取带有远程桌面屏幕片段的 PNG 文件，并使用它们来获取敏感信息。磁贴的大小很小，但足以为研究 RDP 缓存的人提供有用的信息。

您可以通过禁用高级选项卡上的持久位图缓存选项来阻止 RDP 客户端存储远程桌面屏幕图像缓存。

有时在使用RDP缓存时，可能会损坏：

Bitmap Disk Cache Failure. Your disk is full or the cache directory is missing or corrupted.  Some bitmaps may not appear.

在这种情况下，您需要清除 RDP 缓存目录或禁用位图缓存选项。

清除保存的 RDP 凭据

如果在建立新的远程 RDP 连接时，在输入密码之前，用户选中了记住我选项，则用户名和密码将保存在 Windows 凭据管理器中。下次连接到同一台计算机时，RDP 客户端会自动使用之前保存的密码在远程主机上进行身份验证。

您可以直接从客户端的 mstsc.exe 窗口中删除保存的 RDP 密码。从连接列表中选择相同的连接，然后单击删除按钮。然后确认删除已保存的凭据。

有关 RDP 保存密码如何工作的更多详细信息，请参阅链接中的文章。

或者，您可以直接从 Windows 凭据管理器删除 RDP 保存的密码。转到控制面板\用户帐户\凭据管理器部分。选择管理 Windows 凭据，然后在保存的密码列表中找到计算机名称（采用以下格式）

TERMSRV/192.168.1.100

）。展开找到的项目并单击删除按钮。

在 Active Directory 域环境中，您可以使用特殊的 GPO 禁用保存 RDP 连接的密码 - 网络访问：不允许存储网络身份验证的密码和凭据（请参阅文章）。

删除远程主机上与 RDP 相关的事件日志

连接日志也保存在RDP/RDS主机端。您可以在事件查看器日志中找到有关 RDP 连接历史记录的信息：

• 安全;

• 应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager -> 操作；

• 终端服务-LocalSessionManager -> 管理。

请阅读文章中有关 RDP 连接日志分析的更多信息。

您可以使用 wevtutil 或 PowerShell 清除 RDP 服务器上的事件日志。