Kann ich Jump-List-Dateien manuell löschen?

Ja — sie liegen unter %AppData%\Microsoft\Windows\Recent\AutomaticDestinations und CustomDestinations, aber die meisten Dateien sind von explorer.exe gesperrt, solange die Shell läuft. Schließen Sie also den Explorer oder booten Sie zuvor von einem anderen Betriebssystem.

Entfernt das Löschen von Jump Lists alle forensischen Spuren?

Nein. Gelöschte Dateien können in Volume Shadow Copies, dem USN journal und $MFT-Einträgen weiterleben, und verwandte Artefakte wie LNK-Dateien, Prefetch und ShellBags überleben häufig.

Wie deaktiviere ich Jump Lists vollständig?

Verwenden Sie die Group-Policy-Einstellung 'Do not keep history of recently opened documents' unter User Configuration → Administrative Templates → Start Menu and Taskbar.

Windows-Jump-Lists löschen oder entfernen

Q: Wie lösche ich Jump Lists unter Windows 10 oder 11?

Öffnen Sie Settings, gehen Sie zu Personalization und dann Start, und deaktivieren Sie 'Show recently opened items in Jump Lists on Start, Jump Lists and File Explorer.'

Es gibt drei praktikable Wege, Windows-Jump-Lists zu löschen: sie in der Settings-Oberfläche deaktivieren, die zugrundeliegenden Dateien in %AppData% entfernen oder sie per Group Policy bzw. Registry abschalten. Jeder Weg beseitigt, was der Benutzer in der Taskleiste und im Startmenü sieht, aber "gelöscht" ist nicht dasselbe wie "weg" — die On-Disk-Artefakte und ihre Nachbarn überdauern den Klick oft.

Über Settings löschen (Win 10 / 11)

Öffnen Sie Settings → Personalization → Start und deaktivieren Sie "Show recently opened items in Jump Lists on Start, Jump Lists and File Explorer." Windows blendet die zuletzt verwendeten Einträge in der Taskleiste und im Startmenü aus und entfernt auf den meisten Builds auch die vorhandenen *.automaticDestinations-ms- und *.customDestinations-ms-Dateien unter Recent\.

Für einen einzelnen Eintrag klicken Sie ihn in der Jump List der Anwendung mit der rechten Maustaste an und wählen "Remove from this list." Damit wird die Host-Datei an Ort und Stelle umgeschrieben — der betreffende Stream wird aus dem OLE-Container entfernt und sein DestList-Eintrag gelöscht.

Die Dateien direkt löschen

Die Dateien liegen unter:

%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\
%AppData%\Microsoft\Windows\Recent\CustomDestinations\

Jeder Dateiname besteht aus der AppID der Anwendung gefolgt von der jeweiligen Erweiterung. Sie lassen sich wie jede andere Datei löschen, mit einem Haken: Solange explorer.exe läuft, hält die Shell offene Handles auf die AppIDs der aktuell angepinnten oder kürzlich verwendeten Anwendungen, sodass das Löschen mit einer Sharing-Violation fehlschlägt. Pragmatische Optionen sind, den Benutzer abzumelden (was die Handles freigibt), explorer.exe zu beenden und neu zu starten oder das Volume aus einem anderen Betriebssystem bzw. einer WinPE-Umgebung einzubinden und von dort zu löschen.

Per Group Policy / Registry deaktivieren

Um zu verhindern, dass Windows Jump-List-Einträge überhaupt aufzeichnet, aktivieren Sie:

User Configuration → Administrative Templates → Start Menu and Taskbar → "Do not keep history of recently opened documents."

Der entsprechende Registry-Wert ist:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoRecentDocsHistory  REG_DWORD  = 1

Mit aktivierter Richtlinie schreibt die Shell keine neuen Einträge mehr in AutomaticDestinations und aktualisiert keine DestList-Zeitstempel mehr. Bestehende Dateien bleiben unangetastet, bis der Benutzer sie entfernt.

Was "gelöscht" forensisch wirklich bedeutet

Das Entfernen der Jump-List-Dateien beseitigt die Live-Artefakte, aber ein kompetenter Untersucher betrachtet nicht nur das laufende Dateisystem. Häufige Rückstände:

Volume Shadow Copies — ältere Snapshots enthalten weiterhin die .automaticDestinations-ms-Dateien aus der Zeit vor dem Löschen, oft Monate zurück.
USN journal — $UsnJrnl:$J protokolliert das Anlegen/Löschen jeder Jump-List-Datei mit Zeitstempel.
$MFT-Einträge — Einträge gelöschter Jump-List-Dateien bleiben bis zum Überschreiben erhalten, und residente Daten kleiner Dateien sind unter Umständen weiter rekonstruierbar.
Verwandte Artefakte — LNK-Dateien in Recent\, Prefetch, ShellBags, die RecentDocs-Registry-Schlüssel und der Browserverlauf belegen dieselbe Benutzeraktivität aus verschiedenen Blickwinkeln.

Sobald der Benutzer ein weiteres erfasstes Element öffnet, schreibt Windows eine frische AutomaticDestinations-Datei für diese AppID und beginnt eine neue DestList. Ein verdächtig leeres Recent\-Verzeichnis ist für sich genommen bereits ein Befund.

Für Analysten, die einen "Spuren-verwischt"-Fall bearbeiten, siehe den DFIR-Walkthrough.