Wenn Sie schon einmal den in Windows integrierten Remotedesktopclient ( mstsc.exe) verwendet haben, ist Ihnen wahrscheinlich aufgefallen, dass er sich Ihre vorherigen Verbindungen, Server und Benutzernamen merkt. In manchen Umgebungen ist das praktisch, in anderen – insbesondere auf gemeinsam genutzten oder öffentlichen Rechnern – stellt es jedoch ein erhebliches Sicherheitsrisiko dar. Denn Windows macht es einem natürlich unnötig schwer und hinterlässt Spuren des RDP-Verlaufs in der Registry, den Sprunglisten des Startmenüs oder sogar in den Ereignisprotokollen. Wenn Sie diese Datenreste entfernen und Ihre Privatsphäre schützen möchten, gehen Sie wie folgt vor.
So löschen Sie den Verlauf der Remotedesktopverbindung in Windows
RDP-Verlauf aus der Registrierung löschen
Das ist besonders wichtig, da Windows Ihre letzten RDP-Verbindungen tief in der Registry speichert. Um alle Einträge zu löschen, ist es unerlässlich, diese zu entfernen. Die entsprechenden Pfade lauten HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client und HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers. Die Bearbeitung der Registry ist in der Regel unkompliziert, aber erstellen Sie vorher unbedingt eine Sicherungskopie – versehentliches Löschen oder fehlerhafte Berechtigungen können zu unerwarteten Problemen führen.
- Öffnen Sie regedit.exe (einfach Strg+Umschalt Win + R+Eingabe, Befehl eingeben
regeditund Enter drücken). - Navigieren Sie zu HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client.
- Unter „Standard“ sehen Sie Einträge wie MRU0–MRU9. Diese enthalten Ihre zuletzt verwendeten IP-Adressen und Hostnamen. Wählen Sie diese Einträge aus und löschen Sie sie.
- Wechseln Sie anschließend zum Unterschlüssel „Servers“. Hier werden alle vorherigen Hosts und Benutzerhinweise gespeichert. Um diese zu löschen, klicken Sie mit der rechten Maustaste auf „Servers“ und wählen Sie „Löschen“.(Auf manchen Systemen ist es einfacher und sicherer, den gesamten Schlüssel „Servers“ zu löschen und ihn bei Bedarf manuell neu zu erstellen.)
Tipp: Wenn Sie die *Struktur* beibehalten, aber nur die Daten entfernen möchten, löschen Sie die Werte anstatt des gesamten Schlüssels. Die meisten Leute löschen aber zur Sicherheit einfach alles.
Entfernen Sie die Datei „Default. RDP“.
Windows speichert manchmal die Informationen zur letzten Verbindung in einer versteckten Datei namens Default.rdp im Verzeichnis %userprofile%\Documents. Da diese Datei vollständig ausgeblendet ist, stellen Sie sicher, dass die Anzeige versteckter Dateien aktiviert ist. Sie können die Datei einfach löschen – sie ist nicht unbedingt notwendig, kann aber spätere Probleme vermeiden. Bei manchen Systemen wird diese Datei automatisch mit den Details Ihrer letzten Verbindung aktualisiert, selbst wenn Sie die Registrierung und die Sprunglisten gelöscht haben.
RDP-Verbindungsereignisprotokolle löschen
Der RDP-Client protokolliert Verbindungsereignisse in der Ereignisanzeige unter einem bestimmten Untermenü. Wenn Sie jemals nach ausgehenden Verbindungsprotokollen gesucht oder RDP-Probleme behoben haben, sind Ihnen diese Einträge wahrscheinlich schon begegnet. So löschen Sie diese Protokolle:
- Öffnen Sie ein PowerShell-Fenster (drücken Sie Strg+Alt Win + X+F und wählen Sie Windows PowerShell aus ).
- Führen Sie diesen Befehl aus, um das Ereignisprotokoll zu löschen:
WevtUtil cl Microsoft-Windows-TerminalServices-RDPClient/Operational
Hinweis: Dieser Befehl ist manchmal etwas unzuverlässig, funktioniert aber in der Regel. Denken Sie daran: Wenn Sie alle Protokolle löschen möchten, sollten Sie auch andere zugehörige Protokolle löschen oder die Protokollierung komplett deaktivieren (nicht empfehlenswert, außer Sie wissen genau, was Sie tun).
Weitere Informationen können Sie in den Ereignisprotokoll-Dienstprogrammen von Microsoft nachsehen.
RDP-Sprunglistenverlauf löschen
Windows speichert die letzten RDP-Verbindungen in den Sprunglisten – dem Kontextmenü, das beim Rechtsklick auf das App-Symbol in der Taskleiste erscheint. So löschen Sie diese:
- Schließen Sie den RDP-Client, falls er geöffnet ist.
- Gehen Sie zu %AppData%\Microsoft\Windows\Recent\AutomaticDestinations.
- Löschen Sie die darin enthaltenen Dateien. Die Dateinamen sind etwas kryptisch ( automaticdestinations-ms ), aber durch das Löschen werden die letzten Verbindungen aus den meisten Sprunglisten entfernt.
Das ist zwar nicht perfekt, aber eine schnelle Möglichkeit, die letzten RDP-Sitzungen vor neugierigen Blicken zu verbergen.
Zusatz: Vollständige, vordefinierte Bereinigungsoptionen
Wenn Sie gerne Skripte schreiben, gibt es Batchdateien oder PowerShell-Skripte, die all diese Aufgaben automatisch erledigen. Ein kurzes Batch-Skript könnte beispielsweise so aussehen (aber Vorsicht – erstellen Sie immer eine Sicherungskopie, bevor Sie Skripte ausführen!):
@echo off reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f del "%userprofile%\Documents\Default.rdp" /f del /f /s /q "%APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\*" Ebenso kann ein PowerShell-Codeausschnitt alle relevanten Registrierungswerte entfernen und die Cache-Dateien löschen, was recht praktisch ist, wenn dies auf mehreren Rechnern durchgeführt werden muss.
Wie man verhindert, dass Windows RDP-Verbindungen überhaupt speichert
Sie sind paranoid? Sie können verhindern, dass Windows Ihre RDP-Verbindungsinformationen speichert, indem Sie die Berechtigungen anpassen – deaktivieren Sie die Vererbung unter HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client. Viel Glück dabei! Diese Vorgehensweise wird nicht offiziell unterstützt und kann bei unvorsichtiger Vorgehensweise zu unerwarteten Problemen führen. Alternativ können Sie unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen die Gruppenrichtlinie „Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen“ aktivieren. Dadurch wird das Speichern von Anmeldeinformationen eingeschränkt, allerdings nur, wenn Sie eine vollständige Absicherung wünschen.
Gespeicherte RDP-Anmeldeinformationen im Windows-Anmeldeinformationsmanager entfernen
Wenn Sie Passwörter oder Anmeldeinformationen für RDP gespeichert haben, werden diese im Anmeldeinformationsmanager angezeigt. So löschen Sie diese:
- Geben Sie
rundll32.exe keymgr.dll, KRShowKeyMgrim Feld „run“ ( Win + R) ein und drücken Sie dann die Eingabetaste. - Suchen Sie nach Einträgen, die mit
TERMSRV\— beginnen, und löschen Sie diese. - Alternativ können Sie in der Eingabeaufforderung einen kurzen Befehl ausführen, um alle Einträge zu löschen:
for /F "tokens=1, 2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H.
Auf diese Weise bleiben nach der Benutzung keine gespeicherten Passwörter übrig, insbesondere wenn es sich um einen gemeinsam genutzten PC handelt oder nach einer Sitzung schnell aufgeräumt werden muss.
Hoffentlich ist das besser als diese komplizierten Sicherheitseinstellungen, die einem nur das Leben schwer machen, und sorgt tatsächlich für mehr Privatsphäre bei Fernverbindungen. Aber Achtung: Absolute Sicherheit gibt es nicht – aber besser als nichts.
Zusammenfassung
- RDP-Verlauf aus den Registrierungsschlüsseln löschen und gespeicherte Dateien entfernen.
- Ereignisprotokolle in der Ereignisanzeige löschen.
- Löschen Sie die letzten Einträge der Sprungliste.
- Entfernen Sie die gespeicherten Anmeldeinformationen im Windows-Anmeldeinformationsmanager.
- Das Deaktivieren des Caches oder das Verhindern des Speicherns von Informationen durch Windows ist möglich, aber nicht ganz einfach.
Zusammenfassung
So etwas wirkt zwar immer etwas seltsam, ist aber machbar. Denken Sie daran, dass Windows Informationen gerne an mehreren Stellen speichert. Eine gründliche Bereinigung erfordert daher die Überprüfung mehrerer Speicherorte. Starten Sie den Computer anschließend zur Sicherheit neu. Manchmal bleiben diese Spuren bestehen, solange man nicht alle Schritte befolgt. Dadurch sollten jedoch die meisten der kürzlich gespeicherten Daten, die Ihre Remote-Sitzungen verraten könnten, gelöscht werden.