如何查看Windows远程桌面连接历史记录？

在企业IT运维与安全审计中，追踪远程桌面协议（RDP）的使用行为至关重要。尤其在排查未授权访问、分析入侵路径或进行合规性审查时，获取完整的RDP连接历史成为关键环节。本文将从本地缓存、注册表数据、系统日志及多用户环境等多个维度，深入剖析Windows平台下RDP连接历史的提取方法。

1. 本地RDP客户端的历史记录存储位置

大多数用户通过“远程桌面连接”（mstsc.exe）连接目标主机，其最近连接的计算机名称或IP地址会被缓存于当前用户的注册表中：

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers

• 该路径下每个子项代表一个曾连接过的服务器名或IP地址。
• 子项内包含如 UsernameHint 字段，显示上次登录使用的用户名。
• 但此注册表项不包含时间戳信息，无法判断具体连接/断开时间。
• 可通过PowerShell读取该路径下的所有条目：

Get-ItemProperty -Path "HKCU:\Software\Microsoft\Terminal Server Client\Servers\*" | 
Select PSChildName, UsernameHint

输出示例：

2. 远程主机端的安全事件日志分析

要获取真实的连接时间、源IP和账户信息，必须依赖目标主机的安全日志。前提是已启用相应的审核策略：

1. 打开“本地安全策略” → “高级审核策略配置” → “登录/注销”
2. 启用“审核登录”和“审核注销”
3. 重启后，系统开始记录相关事件

关键事件ID包括：

• Event ID 4624：账户成功登录，类型为“3”表示RDP会话
• Event ID 4634：会话注销
• Event ID 4647：用户主动注销
• Event ID 4778：会话重新连接
• Event ID 4779：会话断开

可通过PowerShell筛选RDP相关登录事件：

Get-WinEvent -LogName Security -FilterXPath "*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='10']]" | 
ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        AccountName = $xml.Event.EventData.Data[5].'#text'
        SourceIP    = $xml.Event.EventData.Data[18].'#text'
        LogonType   = $xml.Event.EventData.Data[8].'#text'
    }
}

3. 多用户环境下的日志隔离与跨主机聚合

在域环境中，单一用户可能从多个终端发起RDP连接，而目标服务器也可能被多个用户访问。因此需构建集中式日志分析机制：

• 使用组策略统一开启“审核登录”策略
• 部署Windows Event Collector服务实现日志集中化
• 利用WMI或PowerShell远程查询多台服务器的4624事件
• 结合NetFlow数据验证RDP流量来源
• 注意：某些精简版系统或长期未重启设备可能存在日志覆盖问题
• 建议设置日志保留周期不少于90天以满足审计要求
• 对于云虚拟机（如Azure VM），还需检查平台层日志（Azure Monitor、AWS CloudTrail）
• 禁用RDP空闲自动锁屏策略可能导致会话长时间挂起，影响日志完整性
• 使用非标准端口的RDP连接仍会产生相同事件ID，不影响检测逻辑
• 考虑启用RDP网关日志以捕获更细粒度的代理级会话信息