Windows에서 RDP 연결 기록을 지우는 방법은 무엇입니까?

기본 제공 Windows 원격 데스크톱 연결(RDP) 클라이언트(mstsc.exe ) 원격 컴퓨터에 성공적으로 연결할 때마다 원격 컴퓨터 이름(또는 IP 주소)과 로그인에 사용되는 사용자 이름을 저장합니다. 다음에 시작할 때 RDP 클라이언트는 사용자에게 이전에 사용된 연결 중 하나를 선택하도록 제안합니다. 사용자는 목록에서 RDS/RDP 호스트의 이름을 선택할 수 있으며 클라이언트는 이전에 로그인에 사용한 사용자 이름을 자동으로 채웁니다.

이는 최종 사용자 관점에서 편리하지만 보안 관점에서는 안전하지 않습니다. 특히 공개 또는 신뢰할 수 없는 컴퓨터에서 RDP 서버에 연결할 때.

모든 RDP(터미널) 세션에 대한 정보는 각 사용자의 레지스트리 하이브에 개별적으로 저장됩니다. 즉, 관리자가 아닌 사용자는 다른 사용자의 RDP 연결 기록을 볼 수 없습니다.

이 문서에서는 Windows가 원격 데스크톱 연결의 기록 및 저장된 자격 증명을 저장하는 위치, mstsc 창에서 항목을 제거하는 방법, RDP 로그를 지우는 방법을 보여줍니다.

내용:

• 레지스트리에서 RDP 연결 캐시를 제거하는 방법은 무엇입니까?
• RDP 연결 기록을 지우는 스크립트
• Windows에서 RDP 연결 기록을 저장하지 못하도록 하는 방법
• 원격 데스크톱 비트맵 캐시를 지우는 방법
• 저장된 RDP 자격 증명 지우기
• 원격 호스트에서 RDP 관련 이벤트 로그 제거

레지스트리에서 RDP 연결 캐시를 제거하는 방법

모든 RDP 연결에 대한 정보는 각 사용자의 레지스트리에 저장됩니다. 기본 제공 Windows 도구를 사용하여 RDP 연결 기록 목록에서 컴퓨터를 제거하는 것은 불가능합니다. 일부 레지스트리 키를 수동으로 지워야 합니다.

1. 레지스트리 편집기(regedit.exe ) 레지스트리 키 HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client로 이동합니다. ;
2. 이 섹션에는 두 개의 레지스트리 키가 필요합니다. 기본값 (최근 10개의 RDP 연결 기록 저장) 및 서버 (이전에 로그인에 사용된 모든 RDP 서버 및 사용자 이름 목록 포함)
3. 레지스트리 키 확장 HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default 최근에 사용한 원격 컴퓨터의 10개 IP 주소 또는 DNS 이름 목록(MRU – 가장 최근에 사용됨)이 포함되어 있습니다. 원격 데스크톱 서버의 이름(또는 IP 주소)은 MRU* 값에 저장됩니다. . 매개변수. 가장 최근의 RDP 연결 기록을 지우려면 MRU0-MRU9 이름을 가진 모든 매개변수를 선택하십시오. , 마우스 오른쪽 버튼을 클릭하고 삭제를 선택합니다.;
4. 이제 HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers 키를 확장합니다. . 여기에는 이 사용자가 설정한 모든 RDP 연결 목록이 포함됩니다. 호스트의 이름(또는 IP 주소)으로 reg 키를 확장합니다. UsernameHint 값에 주의하세요. 매개변수. RDP/RDS 호스트에 연결하는 데 사용된 사용자 이름을 보여줍니다. 이 사용자 이름은 RDP 호스트에 자동으로 연결하는 데 사용됩니다. 또한 CertHash 변수에는 RDP 서버 SSL 인증서 지문이 포함됩니다("RDP에 대한 신뢰할 수 있는 TLS/SSL 인증서 구성" 문서 참조).
5. 모든 RDP 연결 및 저장된 사용자 이름의 기록을 지우려면 서버 레지스트리 키의 내용을 정리해야 합니다. 중첩된 모든 레지스트리 키를 한 번에 선택하는 것은 불가능하므로 전체 서버를 삭제하는 것이 더 쉽습니다. 키를 누른 다음 수동으로 다시 만듭니다.
6. 다음으로 기본 RDP 연결 파일(최신 rdp 세션에 대한 정보 포함)을 삭제해야 합니다. – Default.rdp (이 파일은 문서 에 있는 숨김 파일입니다. 디렉토리).
7. Windows는 또한 최근 원격 데스크톱 연결을 점프 목록에 저장합니다. mstsc를 입력하면 Windows 10 검색 상자에서 이전에 사용한 RDP 연결이 목록에 나타납니다. 레지스트리 dword 매개변수 Start_TrackDocs를 사용하여 점프 목록에서 Windows 10 최근 파일 및 위치를 완전히 비활성화할 수 있습니다. reg 키 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced에서 (0으로 설정 ) 또는 %AppData%\Microsoft\Windows\Recent\AutomaticDestinations 디렉터리에서 파일을 삭제하여 Resent Items 목록을 지울 수 있습니다. .

RDP 연결 기록을 지우는 스크립트

위에서 Windows에서 수동으로 RDP 연결 기록을 지우는 방법을 보여주었습니다. 그러나 수동으로(특히 여러 컴퓨터에서) 수행하려면 시간이 많이 걸립니다. 따라서 RDP 기록을 자동으로 지울 수 있는 작은 스크립트(BAT 파일)를 제공합니다.

RDP 기록 정리를 자동화하려면 이 스크립트를 Windows 시작 프로그램에 배치하거나 GPO 로그오프 스크립트를 통해 사용자 컴퓨터에서 실행할 수 있습니다.

@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
attrib -s -h %userprofile%\documents\Default.rdp
del %userprofile%\documents\Default.rdp
del /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations

스크립트의 모든 작업을 살펴보겠습니다.

1. 콘솔에 대한 정보 출력을 비활성화합니다.
2. 레지스트리 키 HKCU\Software\Microsoft\Terminal Server Client\Default의 모든 매개변수를 삭제합니다(최근 RDP 연결 목록 지우기).
3. 전체 reg 키 HKCU\Software\Microsoft\Terminal Server Client\Servers 삭제(모든 RDP 연결 및 저장된 사용자 이름 목록 삭제)
4. 이전에 삭제한 레지스트리 키를 다시 만듭니다.
5. 현재 사용자의 프로필 디렉터리에서 Default.rdp 파일 속성 변경(기본적으로 숨김 및 시스템)
6. Default.rdp 파일 삭제
7. 점프 목록 최근 항목에서 원격 데스크톱 연결 항목을 지웁니다.

또한 다음 PowerShell 스크립트를 사용하여 RDP 연결 기록을 지울 수 있습니다.

Get-ChildItem "HKCU:\Software\Microsoft\Terminal Server Client" -Recurse | Remove-ItemProperty -Name UsernameHint -Ea 0
Remove-Item -Path 'HKCU:\Software\Microsoft\Terminal Server Client\servers' -Recurse  2>&1 | Out-Null
Remove-ItemProperty -Path 'HKCU:\Software\Microsoft\Terminal Server Client\Default' 'MR*'  2>&1 | Out-Null
$docs = [environment]::getfolderpath("mydocuments") + '\Default.rdp'
remove-item  $docs  -Force  2>&1 | Out-Null

참고 . 그건 그렇고, RDP 기록 정리 기능은 CCleaner 등과 같은 많은 시스템 및 레지스트리 "청소기"에 내장되어 있습니다.

Windows에서 RDP 연결 기록을 저장하지 못하도록 하는 방법

Windows에서 RDP 연결 기록을 저장하지 않도록 하려면 레지스트리 키 HKCU\Software\Microsoft\Terminal Server Client에 대한 쓰기를 거부해야 합니다. 모든 사용자 계정에 대해. 먼저 지정된 reg 키에 대한 권한 상속을 비활성화합니다(권한 -> 고급 -> 상속 비활성화). 그런 다음 거부를 선택하여 레지스트리 키 ACL을 변경합니다. 사용자를 위한 옵션입니다(그러나 이것은 지원되지 않는 구성이라는 점을 이해해야 합니다).

결과적으로 mstsc.exe는 RDP 연결 정보를 레지스트리에 쓸 수 없습니다.

원격 데스크톱 비트맵 캐시를 지우는 방법

원격 데스크톱 연결 클라이언트에는 이미지 영구 비트맵 캐싱 기능이 있습니다. RDP 클라이언트는 거의 변경되지 않는 원격 화면 조각을 래스터 이미지 캐시로 저장합니다. 덕분에 mstsc.exe 클라이언트는 로컬 드라이브 캐시에서 마지막 렌더링 이후 변경되지 않은 화면 부분을 로드합니다. 이 RDP 캐싱 기능은 네트워크를 통해 전송되는 데이터의 양을 줄입니다.

RDP 캐시는 %LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache 디렉터리에 있는 두 가지 유형의 파일입니다. :

• *.bmc
• 빈

이 파일은 64×64 픽셀 타일 형태로 원시 RDP 화면 비트맵을 저장합니다. 간단한 PowerShell 또는 Python 스크립트 사용(RDP Cached Bitmap Extractor로 쉽게 검색 가능) 쿼리), 원격 데스크톱 화면의 일부가 포함된 PNG 파일을 가져와 민감한 정보를 얻는 데 사용할 수 있습니다. 타일의 크기는 작지만 RDP 캐시를 연구하는 사람에게 유용한 정보를 제공하기에 충분합니다.

영구 비트맵 캐싱을 비활성화하여 RDP 클라이언트가 원격 데스크톱 화면 이미지 캐시를 저장하지 않도록 할 수 있습니다. 고급 옵션 탭.

Bitmap Disk Cache Failure. Your disk is full or the cache directory is missing or corrupted.  Some bitmaps may not appear.

이 경우 RDP 캐시 디렉토리를 지우거나 Bitmap Caching 옵션을 비활성화해야 합니다.

저장된 RDP 자격 증명 지우기

새로운 원격 RDP 연결을 설정할 때 비밀번호를 입력하기 전에 사용자가 기억 옵션을 체크하는 경우 , 그러면 사용자 이름과 암호가 Windows 자격 증명 관리자에 저장됩니다. 다음에 동일한 컴퓨터에 연결할 때 RDP 클라이언트는 원격 호스트에서 인증을 위해 이전에 저장한 암호를 자동으로 사용합니다.

저장된 RDP 암호는 클라이언트의 mstsc.exe 창에서 직접 제거할 수 있습니다. 연결 목록에서 동일한 연결을 선택하고 삭제를 클릭합니다. 단추. 그런 다음 저장된 자격 증명의 삭제를 확인합니다.

또는 Windows 자격 증명 관리자에서 직접 RDP에 저장된 암호를 삭제할 수 있습니다. 제어판\사용자 계정\자격 증명 관리자 섹션으로 이동합니다. Windows 자격 증명 관리를 선택합니다. 저장된 비밀번호 목록에서 컴퓨터 이름을 찾습니다(TERMSRV/192.168.1.100 형식). ). 찾은 항목을 펼치고 제거를 클릭합니다. 버튼.

Active Directory 도메인 환경에서는 특수 GPO – 네트워크 액세스:네트워크 인증을 위한 암호 및 자격 증명 저장을 허용하지 않음을 사용하여 RDP 연결에 대한 암호 저장을 비활성화할 수 있습니다. (기사 참조).

원격 호스트에서 RDP 관련 이벤트 로그 제거

연결 로그는 RDP/RDS 호스트 측에도 저장됩니다. 이벤트 뷰어 로그에서 RDP 연결 기록에 대한 정보를 찾을 수 있습니다.

• 보안;
• 응용 프로그램 및 서비스 로그 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager -> 작동,
• TerminalServices-LocalSessionManager -> 관리자.

wevtutil 또는 PowerShell을 사용하여 RDP 서버의 이벤트 로그를 지울 수 있습니다.