Как посмотреть кто подключался к компьютеру по rdp
Перейти к содержимому

Как посмотреть кто подключался к компьютеру по rdp

  • автор:

База знаний

We support Ukraine

Как узнать с каких IP заходили на мой сервер через удаленный рабочий стол (RDP)?

1. Нажмите кнопку «Пуск» -> «Администрирование» -> «Просмотр событий»:

2. Последовательно выберите в списке журналов слева:
«Журналы приложений и служб» («Applications and Services Logs») -> «Microsoft» -> «Windows»

затем найдите в списке «TerminalServices-LocalSessionManager» -> «Operational»

3. Справа, в разделе «Действия» нажмите «Фильтр текущего журнала»:

4. Введите код события 21,25 в соответствующее поле в появившейся форме и нажмите кнопку ОК:

5. В писке останутся только интересующие вас записи. Каждя запись — это вход через удаленный рабочий стол (RDP), с указанием времени входа, имени пользователя и IP с которого он был произведен:

Просмотр и очистка истории RDP подключений в Windows

date

26.01.2024

user

itpro

directory

Windows 10, Windows 11, Windows Server 2019

comments

комментариев 27

Встроенный Remote Desktop Connection ( mstsc.exe) клиент Windows сохраняет имена (IP адреса) удаленных серверов и пользователей в истории RDP подключений. RDP клиент при следующем запуске выбрать одно из сохраненных подключений и автоматически подставит имя пользователя. Если вы используете общедоступный или недоверенный компьютер, вы можете очистить историю RDP подключений в целях безопасности

mstsc.exe отображает историю rdp подключений

В этой статье мы покажем, где в Windows хранится история подключений к удаленным рабочим столам и сохраненные пароли, и каким образом можно эту историю очистить.

Удалить историю RDP подключений в Windows

Windows хранит историю RDP подключений в нескольких местах и для полной очистки истории придется удалить данные отовсюду.

Удалить историю RDP в реестре пользователя

  1. Откройте редактор реестра regedit.exe и перейдите в HKEY_CURRENT_USER\Software\Microsoft\TerminalServerClient;
  2. В подразделе Default хранятся записи реестра история о 10 последних RDP подключениях. Имена параметров называются MRU0-MRU9 (MRU – Most Recently Used), в значениях содержатся IP адресов/имен RDP хостов. Выберите все параметры реестра в ветке и удалите;очистка rdp истории в реестре
  3. Затем разверните ветку Servers. Здесь хранится список всех RDP серверов и сохраненных учетных записей пользователей, использующихся ранее. Имя пользователя содержится в параметре UsernameHint. Это имя автоматически подставляется в окно клиента mstsc.exe при подключении к этому RDP хосту. В параметре CertHash хранится отпечаток RDP сертификата сервера (см. статью о настройке доверенных TLS/SSL сертфикатов для RDP);сохраненные данные rdp сервера в реестра windows
  4. Для очистки очистить истории RDP подключений нужно удалить содержимое ветки реестра Servers. Проще всего просто удалить ветку Servers целиком, а затем пересоздать ее вручную.удалить историю rdp подключений

Удалить файл Default.rdp

Затем удалите скрытый файл RDP подключения Default.rdp в профиле пользователя %userprofile%\Documents . В нем хранится информация о самом последнем RDP подключении.

Просмотр и очистка журналов RDP подключений клиента

При подключении клиент RDP также сохраняет лог в журнал Event Viewer (Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-ClientActiveXCore -> Microsoft-Windows-TerminalServices-RDPClient/Operational).

Журнал подключений RDP клиента

Чтобы просмотреть список всех исходящий RDP подключений, отфильтруйте событий из Event Viewer с помощью командлета Get-WinEvent:

Просмотри истории rdp подлключений в журнале событий

Подробнее о просмотре и анализе логов RDP подключений.

WevtUtil cl Microsoft-Windows-TerminalServices-RDPClient/Operational

Очистка истории RDP в меню Пуск и таскбаре

Если вы наберете mstsc в поисковой строке Windows, или щелкните правой кнопкой по клиенту в панели задач, вы увидите в списке Recent историю предыдущих RDP подключения. Чтобы очистить историю RDP в меню пуск и списках быстрого перехода (jump lists), очистите списки Resent Items, удалив файлы в каталоге %AppData%\Microsoft\Windows\Recent\AutomaticDestinations .

mstsc.exe rdp recent items

Скрипт очистки истории (логов) RDP подключений

Для быстрой очистки истории RDP подключений в Windows вы можете воспользоваться готовым BAT скриптом:

@echo off
reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default» /va /f
reg delete «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers» /f
reg add «HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers»
attrib -s -h %userprofile%\documents\Default.rdp
del %userprofile%\documents\Default.rdp
del /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations

Вы можете скачать готовый скрипт CleanRDPHistory.bat

Аналогичный PowerShell скрипт для удаления всех записей в истории RDP подключений:

Get-ChildItem «HKCU:\Software\Microsoft\Terminal Server Client» -Recurse | Remove-ItemProperty -Name UsernameHint -Ea 0
Remove-Item -Path ‘HKCU:\Software\Microsoft\Terminal Server Client\servers’ -Recurse 2>&1 | Out-Null
Remove-ItemProperty -Path ‘HKCU:\Software\Microsoft\Terminal Server Client\Default’ ‘MR*’ 2>&1 | Out-Null
$docsfoldes = [environment]::getfolderpath(«mydocuments») + ‘\Default.rdp’
remove-item $docsfoldes -Force 2>&1 | Out-Null

Если вы хотите автоматически очищать RDP историю при выходе пользователя, вы можете запустить этот код как логоф скрипт GPO.

Очистка Bitmap кэша клиента RDP

Клиент Remote Desktop Connection по умолчанию сохраняет редко изменяющиеся области удалённого рабочего стола в виде кэша растровых изображений (persistent bitmap caching). Благодаря кэшу клиента RDP позволяет существенно уменьшить трафик, передаваемый через сеть.

Кэш RDP клиента хранится в файлах *.bmc и *.bin в каталоге %LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache :

terminal server client кэшированные картинки для rdp подключения

В кэше RDP хранятся сырые растровые изображения RDP экрана в виде плиток 64×64 пикселя. С помощью простых PowerShell или Python скриптов (ищутся по запросу RDP Cached Bitmap Extractor) можно собрать из PNG файлов кэша большие области удаленого рабочего стола.

RDP Cached Bitmap Extractor

В целях безопасности рекомендует очистить папку RDP кэша и запретить RDP клиенту сохранять изображение экрана в кэш. Отключите опцию Persistent bitmap caching (Постоянное кэширование точечных рисунков) на вкладке Experience в клиенте.

отключить Постоянное кэширование точечных рисунков в rdp сессии

Как запретить Windows сохранять историю RDP подключений?

Если вы хотите, чтобы Windows не сохраняла историю RDP подключений, нужно запретить запись в ветку реестра HKCU\Software\Microsoft\Terminal Server Client. Сначала отключите наследование разрешений на ветке (Permissions -> Advanced -> Disable inheritance). Затем измените ACL на ветку, выставив Deny галочку для всех пользователей, администраторов и даже SYSTEM. (но, вы должны понимать, что это уже unsupported configuration…).

запретить windows сохранять историю rdp подключений в реестре

Удаление сохраненных RDP паролей

Клиент RDP позволяет сохранять пароль пользователя для подключений во встроенный диспетчер учетных данных Windows (Credential Manager) и автоматически подключаться к удаленному хосту без ввода пароля.

rdp клиент предлагает сохранить пароль пользователя

Подробнее об использовании сохраненных RDP паролей в Windows.

Вы можете удалить сохраненные пароля для RDP из окна Credential Manager (выполните команду rundll32.exe keymgr.dll,KRShowKeyMgr ) и удалите все записи с префиксом TERMSRV\ .

Удалить сохраненные пароли rdp

Или вы можете очистить сохраненные учетные данные для RDP с помощью команды:

For /F «tokens=1,2 delims= » %G in (‘cmdkey /list ^| findstr «target=TERMSRV»‘) do cmdkey /delete %H

Чтобы запретить пользователям сохранять пароли для RDP, включите параметр групповых политик Do not allow passwords to be saved в Computer Configuration -> Administrative Templates -> Windows Components -> Desktop Services -> Remote Desktop Connection Client.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Как узнать, кто и когда подключался к ПК в компании по RDP?

Помогите пожалуйста
Пришла такая задача от руководителя.
Нужно узнать за последний месяц, кто подключался к нашей внутренней сети из вне, по каким протоколам и когда
RDP, RTSP, и т.д.
Вообще реально ли такое предоставить, попросили сделать анализ
Буду благодарен за любую помощь.

  • Вопрос задан более трёх лет назад
  • 4579 просмотров

3 комментария

Сложный 3 комментария

eapeap

Зачем?
Был инцидент, и вы его расследуете?
Типа, учет рабочего времени, работали ли люди на удаленке?
Начальник решил вас загрузить работой?

Антон Чистяков @kooq1name Автор вопроса

Андрей Ермаченок, причину данной задачи не знаю, сказал к утру предоставить анализ кто, когда, на какой порт и т.д.
походу последнее

CityCat4

CityCat4 @CityCat4 Куратор тега Информационная безопасность
Андрей Ермаченок, Хотелка начальника, как обычно 🙂
Решения вопроса 0
Ответы на вопрос 5
Photographer & SysAdmin
Внутренний журнал Windows на сервере обладает данной информацией.
Ответ написан более трёх лет назад
Нравится 5 2 комментария
Антон Чистяков @kooq1name Автор вопроса
Он показывает все подключения? Даже на другие ПК?

Нет, он показывает кто подключался на сервер, логи которого вы смотрите.
Если вам нужно смотреть вообще всех входящие извне подключения ко всем внутренним объектам, то у вас должен стоять хорошо настроенный роутер с логами (если вы небольшая компания), или какая-нибудь «стена» (или DLP система), где будет мониторинг всей сетевой активности, к примеру Kerio Control и т.д.

Если нужны все подключения, то смотрите логи Вашего роутера. Или что выступает в роли него.
Если конкретно RDP — то журнал подключения RDP сервера

Ответ написан более трёх лет назад
Нравится 1 14 комментариев
Антон Чистяков @kooq1name Автор вопроса

Этот же журнал показывает только подключения к нему, а мне нужны и другие рабочие машины
т.к. пользователи за своими машинами работали удаленно

Антон Бабушкин, к машинам пользователи как подключались?
полюбому трафф шел через центр роутер, к которому подключены офисные ПК.
или Вы там тим виверов понаставили?)

Антон Чистяков @kooq1name Автор вопроса
Drno, подключались по RDP, прописаны политики на Zyxel USG60
Антон Бабушкин, ну, в таком случае, смотреть логи Zyxel

martin74ua

Руслан Федосеев @martin74ua Куратор тега Системное администрирование
и смотреть логи всех компов. У вас же домен, да?
Антон Чистяков @kooq1name Автор вопроса
Антон Чистяков @kooq1name Автор вопроса
Руслан Федосеев, нужно это собрать в один файл и предоставить анализ руководителю
Антон Бабушкин, нуууу тут видимо только ручками, если у Вас нет отдельного лог сервера
Антон Чистяков @kooq1name Автор вопроса
Drno, беда
лог сервера нету

Антон Бабушкин, Если не горит то гуглите в сторону ELK-Stack. Можете ради интереса и повышения кругозора начать изучать ее. Завести все логи туда и собирать их в одном месте..

Антон Чистяков @kooq1name Автор вопроса

Sergey Ryzhkin, горит очень, к утру надо предоставить отчет за прошлый месяц, кто в нашу сеть подключался со внешних адресов и по каким протоколам и портам.
задача похожа — «сделай сейчас то, что не возможно сделать быстро»

Антон Бабушкин, ну это нереально) смотря конечно сколько ПК.
кажите что не было такой задачи — это мониторить, поэтому и данных нету. ставьте задачу, поднимайте сервис, будет мониторинг

Как вариант решения — пройтись вручную по журналам системы какого-нибудь компа, куда точно подключались и известно когда, и если нужная информация есть, то запомнить/записать коды событий и/или источники, и ещё какие-нибудь признаки, где есть нужная информация. Ну а потом дело техники — делаем скрипт, например на powershell, который по сети обходит компы, по wmi забирает журналы за последние NN дней, и фильтрует те события, что нужны. Ну и складываем это всё в нужном Вам формате, проще всего в csv файл.

Алексей Харченко, о господи сказал я (как админ)
Баш еще ладно, но повершелл для меня непонятен))
А вообще может поможет человеку, а то прилетит начальство и накажет)

7 способов посмотреть, кто работает на сервере терминалов

С чего начинается администрирование пользователей на сервере терминалов?

Конечно с просмотра «Активных» или «Отключенных» сессий пользователей.

Без этой картины администрирование сервера терминалов невозможно.

Помимо статьи, записал также, и подробное видео, о том как администрировать пользователей на сервере терминалов (Новичкам смотреть обязательно!)

Конечно, данная тема также подымается и на курсе: Администратор 1С!

И так, конечно мы должны во всех подробностях видеть, что у нас происходит на сервере терминалов!

Какие процессы запущены от имени тех или иных пользователей (в т.ч. процессы 1С) их идентификаторы, id сессий пользователей, это и многое другое помогает администратору всегда быть в курсе того что происходит на сервере и соответственно всем этим управлять, и вовремя реагировать на различные ситуации.

На разных версиях Windows server администраторы по-разному решают этот вопрос.

Кто-то смотрит пользователей используя простой «Диспетчер задач» на Windows server 2012 – 2016. Некоторые используют различные команды в CMD, ну а кое-кто использует PowerShell .

Но все администраторы хотят одного:

1. Чтоб быстро посмотреть всех пользователей кто работает на сервере.

2. Чтоб это было как можно информативней.

3. Чтоб бесплатно.

Поэтому поводу решил собрать все лучшие, простые и быстрые способы которые (на мое мнение) стоит использовать.

Уверен, что многим начинающим администраторам эти способы помогут в администрировании сервера терминалов.

И так способ первый и самый простой (На Windows server 2012 R2)

1. Диспетчер задач.

«Диспетчер задач» – вкладка «Пользователи» – позволяет нам видеть пользователей, которые работают на этом сервере.

Dispetcher Zadach Windows server 2012 r2

Но по умолчанию стандартный «Диспетчер задач» – вкладка «Пользователи» нам не покажет, что пользователь работает на сервере удаленно, используя RDP, хорошо, что это можно легко исправить.

Правый клик мышкой на панели «Пользователь» и в появившимся контекстном меню

ставим птичку напротив «Сеанс» а также стоит поставить и напротив «Имя клиента».

Dispetcher Zadach Windows server 2012 r222

Так мы будем знать, что этот пользователь работает у нас на сервере через RDP.

Минусы данного способа здесь очевидны, чтоб смотреть пользователей мы должны находится на сервере терминалов, где собственно и запускаем «Диспетчер задач», нет возможности сделать какую-то выборку, фильтр и т.д.

2. quser

Следующий метод это использование команды quser в CMD или PowerShell.

Quser – это аналог QUERY USER (Такое сокращение позволяет выполнять команду быстрее)

Здесь все просто запускаем CMD или PowerShell и пишем команду quser

PowerShell quser

Так мы увидим всех пользователей, что работают на этом сервере.

Метод очень простой быстрый и достаточно информативный.

Он покажет Вам – Пользователя, Сеанс, его ID, Статус , Бездействие сеанса, и время входа.

Если мы хотим посмотреть только какого-то конкретного пользователя, тогда можно написать например так:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *