Что нового

Article Очистка логов RDP

MRX 0

MRX

Advanced
23.05.2020
49
134
rdp.png

Как все мы знаем, при подключении к удаленным компьютерам данные о ip адресах и логинах сохраняются, если это не ваш дедик и вы его не настраивали.

Эта новость может не совсем понравиться людям, следящим за своей анонимностью в сети, поэтому, решил выложить мануал по очистке логов с rdp соединений (не мой авторский)
  • Для очистки нам понадобится редактор реестра regedit.exe
  • Открываем его и переходим в ветку: HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Clien
Ниже видим две папки. Папка Default хранит историю о 10-ти последних подключениях RDP.

Servers содержит список всех серверов и имен пользователей, которые раньше использовались для входа.
  • Открываем папку Deafult
Здесь будут файлы с именем MRU от 0 до 9, в колонке Значение будет список ip адресов.

Выделяем все эти файлы и удаляем (на скрине мои файлы уже удалены)
  • Теперь заходим в Servers
Как мы видим, здесь есть и ip адрес, и имя пользователя под которым осуществлялся вход.
  • Нам нужно удалить все подпапки в Servers.
Еще есть файл Default.rdp . Он содержит информацию о последнем подключении RDP.
  • Этот файл скрытый, находится в папке Documents. Удаляем его.
  • Проверяем
Как видим, в наших логах пусто.
 
S 0

Sunnych

New Member
11.11.2019
1
5
MRX

Но это ещё не всё, так же (продолжение):

Код:
С:\Users\{user}\AppData\Local\Microsoft\Terminal Server Client\Cache\
Чистим кэш из сжатых данных растрового изображения - это файлы.
Кэш-файлы хранят сырые растровые изображения в виде плиток. Размер каждой плитки может варьироваться, но общий размер составляет 64 x 64 пикселя.
Глубина цвета фрагментов в файле *.bmc обычно составляет 16 или 32 бит на пиксель (bpp). Плитки в файле Cachennnn.bin имеют глубину цвета 32 бит.

Код:
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx
%SystemRoot%\System32\Winevt\Logs\Security.evtx
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
журналы событий Windows получили расширение *.EVTX. Этот новый формат, называемый форматом Windows XML Event Log (EVTX), заменяет формат EVT, используемый в Windows XP. Помимо журналов событий начиная с Vista, существуют журналы приложений и служб, которые записывают события о конкретном компоненте или приложении, а не о системе. В системе Windows 7/2008 можно найти много файлов журнала событий в зависимости от ролей, выполняемых системой.

Код:
C:\Windows\Logs\dosvc
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\DeliveryOptimization\Logs
Wan IP может остаться в *.etl файлах, которые относятся к работе службы оптимизации доставки (DoSvc):
это новый метод однорангового распространения в Windows 10. Клиенты Windows 10 могут получать контент с других устройств в своей локальной сети, которые уже загрузили обновления, или с одноранговых узлов через Интернет.
 
Верх Низ