Article Очистка логов RDP

[MRX]

Как все мы знаем, при подключении к удаленным компьютерам данные о ip адресах и логинах сохраняются, если это не ваш дедик и вы его не настраивали.

Эта новость может не совсем понравиться людям, следящим за своей анонимностью в сети, поэтому, решил выложить мануал по очистке логов с rdp соединений (не мой авторский)

• Для очистки нам понадобится редактор реестра regedit.exe
• Открываем его и переходим в ветку: HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Clien

Ниже видим две папки. Папка Default хранит историю о 10-ти последних подключениях RDP.

Servers содержит список всех серверов и имен пользователей, которые раньше использовались для входа.

• Открываем папку Deafult

Здесь будут файлы с именем MRU от 0 до 9, в колонке Значение будет список ip адресов.

Выделяем все эти файлы и удаляем (на скрине мои файлы уже удалены)

• Теперь заходим в Servers

Как мы видим, здесь есть и ip адрес, и имя пользователя под которым осуществлялся вход.

• Нам нужно удалить все подпапки в Servers.

Еще есть файл Default.rdp . Он содержит информацию о последнем подключении RDP.

• Этот файл скрытый, находится в папке Documents. Удаляем его.
• Проверяем

Как видим, в наших логах пусто.

 

[Sunnych]

MRX

Но это ещё не всё, так же (продолжение):

С:\Users\{user}\AppData\Local\Microsoft\Terminal Server Client\Cache\

Чистим кэш из сжатых данных растрового изображения - это файлы.

файла кеша

Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может варьироваться, но общий размер составляет 64 x 64 пикселя.
Глубина цвета фрагментов в файле *.bmc обычно составляет 16 или 32 бит на пиксель (bpp). Плитки в файле Cachennnn.bin имеют глубину цвета 32 бит.

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
%SystemRoot%\System32\Winevt\Logs\Security.evtx
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx

*.EVTX

журналы событий Windows получили расширение *.EVTX. Этот новый формат, называемый форматом Windows XML Event Log (EVTX), заменяет формат EVT, используемый в Windows XP. Помимо журналов событий начиная с Vista, существуют журналы приложений и служб, которые записывают события о конкретном компоненте или приложении, а не о системе. В системе Windows 7/2008 можно найти много файлов журнала событий в зависимости от ролей, выполняемых системой.

C:\Windows\Logs\dosvc
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\DeliveryOptimization\Logs

*.etl

Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):
это новый метод однорангового распространения в Windows 10. Клиенты Windows 10 могут получать контент с других устройств в своей локальной сети, которые уже загрузили обновления, или с одноранговых узлов через Интернет.