Управление сохраненными именами пользователей и паролями на компьютере под управлением Windows XP, который не входит в домен
В этой статье описывается управление сохраненными именами пользователей и паролями на компьютере, который не входит в состав домена.
При входе на компьютер под управлением Windows XP можно указать имя пользователя и пароль, которые станут контекстом безопасности по умолчанию для подключения к Интернету или к другим компьютерам в сети. Однако эти учетные данные могут открывать доступ не ко всем нужным ресурсам. Функция сохранения имен пользователей и паролей позволяет сохранять дополнительные имена и пароли как часть профиля.
Функция «Сохранение имен пользователей и паролей» предоставляет безопасное хранилище для паролей. Благодаря ей имена пользователей и пароли для доступа к разнообразным сетевым ресурсам и приложениям (например, к электронной почте) можно ввести один раз, а затем Windows автоматически, без вмешательства пользователя, будет подставлять учетные данные при последующих посещениях этих ресурсов.
Введение в управление учетными данными
При первом входе на сервер или посещении веб-узла вам предлагается указать имя пользователя и пароль. При вводе имени пользователя и пароля для доступа к определенному ресурсу и установке флажка Сохранить пароль учетные данные сохраняются в учетной записи пользователя. При последующем подключении к этому ресурсу Windows автоматически выполняет проверку подлинности учетной записи, используя сохраненные учетные данные.
В случае установки флажка в поле Сохранить пароль в диалоговом окне ввода имени пользователя и пароля (оно появляется при подключении к ресурсу) учетные данные сохраняются в наиболее общей форме. Например, при доступе к определенному серверу в домене учетные данные могут быть сохранены как *.домен.com (где домен — это имя домена). Сохранение других учетных данных для другого сервера в этом домене не приводит к их перезаписи. Новые учетные данные сохраняются с использованием более подробной информации.
При доступе к ресурсу пакет проверки подлинности выполняет в хранилище функции «Сохранение имен пользователей и паролей» поиск наиболее подробных учетных данных, соответствующих ресурсу. Если такие данные найдены, они будут использованы пакетом проверки подлинности без участия пользователя. Если же данные не найдены, программе, которая пыталась получить доступ к ресурсу, будет выдана ошибка проверки подлинности. В этом случае пользователю будет предложено ввести имя и пароль.
Сохраненными учетными данными можно управлять вручную. Для этого необходимо щелкнуть Управление сетевыми паролями в учетной записи пользователя, которую вы хотите изменить. В диалоговом окне Сохранение имен пользователей и паролей можно добавить новую запись, удалить существующую запись или просмотреть свойства существующей записи и отредактировать ее. Для этого нажмите кнопки Добавить, Изменить или Свойства.
Управление сохраненными именами пользователей и паролями
Для управления сохраненными именами пользователей и паролями выполните следующие действия.
- Войдите на компьютер как пользователь, учетные данные которого необходимо изменить.
- Нажмите кнопку Пуск и выберите Панель управления.
- В разделе Выберите категорию щелкните Учетные записи пользователей, чтобы открыть диалоговое окно Учетные записи пользователей.
- Откройте диалоговое окно Сохранение имен пользователей и паролей. Для этого сделайте следующее.
- Если вы входите в систему с ограниченными правами:
- В разделе Родственные задачи щелкните Управление сетевыми паролями.
- В разделе или выберите изменяемую учетную запись щелкните свою учетную запись, чтобы открыть диалоговое окно Что вы хотите изменить в своей учетной записи?.
- В разделе Родственные задачи щелкните Управление сетевыми паролями.
Будет показан список сохраненных имен пользователей и паролей, аналогичный приведенному ниже:
Добавление записи
Чтобы добавить учетные данные вручную:
- В диалоговом окне Сохранение имен пользователей и паролей щелкните Добавить, чтобы открыть диалоговое окно Свойства личных данных для входа.
- В поле Сервер введите имя необходимого сервера или общего ресурса. В качестве подстановочного символа используйте звездочку. Ниже приведены примеры правильных имен серверов: *.Microsoft.com
\\Сервер\Общий ресурс - В поле Имя пользователя введите имя учетной записи пользователя с правами доступа к ресурсу. Вводите имя пользователя в формате Сервер\Пользователь или Пользователь@домен.com. Следующие примеры иллюстрируют правильные имена пользователей (в данном примере Microsoft — это имя домена, а Пользователь — имя пользователя): Microsoft\Пользователь
Пользователь@microsoft.com - В поле Пароль введите пароль пользователя, указанный на шаге 3, и нажмите кнопку ОК.
- В диалоговом окне Сохранение имен пользователей и паролей нажмите кнопку Закрыть.
Удаление записи
Чтобы удалить учетные данные
- В диалоговом окне Сохранение имен пользователей и паролей выберите необходимые учетные данные и щелкните Удалить. На экране появится следующее сообщение: Выбранные сведения о входе в систему будут удалены.
- Нажмите кнопку ОК.
- В диалоговом окне Сохранение имен пользователей и паролей нажмите кнопку Закрыть.
Изменение записи
Чтобы изменить учетные данные
- В диалоговом окне Сохранение имен пользователей и паролей выберите необходимые учетные данные и щелкните Свойства, чтобы открыть диалоговое окно Свойства личных данных для входа.
- Измените необходимые данные и нажмите кнопку ОК.
Устранение неполадок
При таком способе сохранения учетных данных пользователя для удаленных ресурсов любой, кто получает доступ к этой учетной записи, также может получить доступ к таким ресурсам, защищенным паролем. Поэтому рекомендуется использовать надежный пароль для учетной записи Windows XP.
Для получения дополнительных сведений о создании надежных паролей нажмите кнопку Пуск и выберите команду Справка и поддержка. В поле Поиск введите «создание надежных паролей»и нажмите кнопку Начать поиск.
Ссылки
Дополнительные сведения об управлении сохраненными именами пользователей и паролями см. в следующих статьях базы знаний Майкрософт:
306992 Управление сохраненными именами пользователей и паролями на компьютере в домене
281660 Описание работы функции «Сохранение имен пользователей и паролей»
Как извлечь данные из диспетчера учетных данных Windows
Диспетчер учетных данных Windows (Credential Manager), — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и прочих).
В этой статье я покажу, как вытащить информацию из диспетчера учетных данных Windows.
Как извлечь данные из диспетчера учетных данных Windows
Рассмотрим работу с диспетчером учетных данных на примере RDP.
Найти те же данные с помощью командной строки можно следующим образом (для английской локалки следует использовать строку /listcreds:»Windows Credentials».):
Доступ к диспетчеру учетных данных
Диспетчер учетных данных позволяет просматривать и удалять сохраненные учетные данные для веб-сайтов, приложений и сетей.
- Чтобы открыть диспетчер учетных данных, введите диспетчер учетных данных в поле поиска на панели задач и выберите панель управления диспетчера учетных данных.
- Выберите Учетные данные веб-сайтов или Учетные данные Windows для доступа к учетным данным, которыми вы хотите управлять.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Диспетчер учетных данных Windows: управление сохраненными паролями
18.01.2024
itpro
PowerShell, Windows 10, Windows 11, Windows Server 2019
комментариев 7
Диспетчер учетных данных Windows (Credential Manager) позволяет безопасно хранить учетные записи и пароля для доступа к сетевым ресурсам, веб сайтам и приложениям. Благодаря сохраненным в Credential Manager паролям вы можете подключаться без ввода пароля к сетевым ресурсам, которые поддерживаются проверку подлинности Windows (NTLM или Kerbersos), аутентификацию по сертификату, или базовую проверку подлинности.
Используем диспетчер учетных данных Windows для хранения паролей
Диспетчер учетных данных встроен в Windows и позволяет безопасно хранить три типа учетных данных:
- Учетные данные Windows(WindowsCredentials) — учетные данные доступа к ресурсам, которые поддерживаются Windows аутентификацию (NTLM или Kerbersos). Это могут быть данные для подключения сетевых дисков или общим SMB папкам, NAS устройствам, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих проверку подлинности Windows и т.д;
Windows Credential не хранит данные для автоматического входа в Windows или доменные Cached Credentials.
Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.
Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).
Также в диспетчере паролей хранятся пароли пользователей, добавленные командой runas /savecred и используемые для запуска программ от имени другого пользователя.
Открыть диспетчер учетных данных в Windows можно:
- из классической панели управления (Control Panel\User Accounts\Credential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных);
- изкоманднойстроки: control /name Microsoft.CredentialManager
На скриншоте видно, что в Credential Manager хранятся два пароля, которые мы сохранили ранее.
Сохраненный пароль для RDP подключения сохраняется в формате TERMSRV\hostname .
Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль в открытом виде из графического интерфейса нельзя) или удалить любую из записей.
Для управления сохраненными паролями можно использовать классический диалоговый интерфейс Stored User Names and Password. Для его запуска выполните команду:
Здесь вы также можете управлять сохраненными учетными данными, а также выполнить резервное копирование и восстановление записей в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).
Управление сохраненными учетными данными Windows из командной строки
Вы можете добавить удалить и вывести сохраненные учетные данных в Credentil Manager из командной строки с помощью утилиты cmdkey.
Добавить в диспетчер учетные данные для доступа к серверу FS01:
cmdkey /add:FS01 /user:kbuldogov /pass:Passw0rdd1
Если нужно сохранить доменную учетную запись:
cmdkey /add:fs01.winitpro.local /user:[email protected] /pass:Passw0rdd1
Сохранить учетные данные для доступа к RDP/RDS серверу:
cmdkey /generic:termsrv/MSKRDS1 /user:kbuldogov /pass:Passw0rdd1
Для анонимного доступа к общей папке под гостевым аккаунтом, нужно добавить учетную запись guest без пароля:
cmdkey /add:192.168.13.200 /user:guest
cmdkey /add:hv19 /user:Administrator /pass:HVpas2ddr
Вывести список сохраненных учетных данных:
Вывести список хранимых учетных данных для указанного компьютера:
cmdkey /list:fs01.winitpro.localУдалить ранее сохраненные учетные данные:
Удалить из Credential Manager все сохраненные пароли для RDP доступа:
For /F «tokens=1,2 delims= » %G in (‘cmdkey /list ^| findstr «target=TERMSRV»‘) do cmdkey /delete %H
Полностью очистить пароли в Credential Manager:
for /F «tokens=1,2 delims alignnone size-full wp-image-16140″ src=»https://winitpro.ru/wp-content/uploads/2012/04/cmdkey-ochistka-sohranennih-paroley-windows.jpg» alt=»cmdkey — очистка сохраненных паролей в windows» width=»600″ height=»153″ srcset=»https://winitpro.ru/wp-content/uploads/2012/04/cmdkey-ochistka-sohranennih-paroley-windows.jpg 600w, https://winitpro.ru/wp-content/uploads/2012/04/cmdkey-ochistka-sohranennih-paroley-windows-300×77.jpg 300w» sizes=»(max-width: 600px) 100vw, 600px» />
Эта команда позволяет быстро очистить старые сохраненные пароли, из за-которых может постоянно блокировать учетная запись пользователя в AD.
Также для управления сохраненными учетными данными можно использовать утилиту vaultcmd.Вывести список сохраненных учетных данных типа Windows Credentials:
vaultcmd /listcreds:»Windows Credentials»
Все сохраненные пароли хранятся в защищенном хранилище Windows Vault. Путь к хранилищу можно получить с помощью команды:
По умолчанию это %userprofile%\AppData\Local\Microsoft\Vault . Ключ шифрования хранится в файле Policy.vpol. Клю шифровани используется для рашировки паролей в файлах .vcrd.
Для работы Credential Manager должна быть запущена служба VaultSvc:
Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка:
Credential Manager Error The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service. Error code: 0x800706B5 Error Message: The interface is unknown.
Если вы хотите заблокировать пользователям возможность сохранения сетевых паролей в Credential Manager, нужно включить параметр Network access: Do not allow storage of passwords and credentials for network authentication в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:
Credential Manager Error Unable to save credentials. To save credentials in this vault, check your computer configuration. Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
Доступ к менеджеру учетных данных Windows из PowerShell
В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.
В модуле всего 4 командлета:
- Get-StoredCredential – получить учетные данные из хранилища Windows Vault;
- Get-StrongPassword – сгенерировать случайный пароль;
- New-StoredCredential – добавить учетные данные в хранилище;
- Remove-StoredCredential – удалить учетные данные.
Чтобы добавить новые учетные данные в хранилище CredentialManager, выполните команду:
New-StoredCredential -Target ‘contoso’ -Type Generic -UserName ‘[email protected]’ -Password ‘123qwe’ -Persist ‘LocalMachine’
Проверить, есть в хранилище сохраненные данные:
Get-StoredCredential -Target contoso
С помощью командлета Get-StoredCredential вы можете вывести сохраненный пароль, хранящийся в диспетчере учетных данных в отрытом виде.
Выведите список сохраненных учетных данных:
Скопируйте значение Target для объекта, пароль которого вы хотите извлечь и вставьте его в следующую команду:
$cred = Get-StoredCredential -Target LegacyGeneric:target=termsrv/MSKRD2S1 [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))
Команда выведет сохраненный пароль в открытом виде.
Также для получения сохраненных паролей из credman в открытом виде можно использовать утилиты типа Mimikatz (смотри пример).
Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:
$psCred = Get-StoredCredential -Target «Contoso»
Connect-MSolService -Credential $psCredТакже вы можете использовать Get-StoredCredential для безопасного получения сохранённых учетных данных в заданиях планировщика.
Также обратите внимание на модуль PowerShell Secret Management, который можно использовать для безопасного хранения паролей в Windows (поддерживает различные хранилища паролей: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.
Чтобы удалить сохраненные учетные данные из Windows Vault, выполните:
Remove-StoredCredential -Target Contoso
Предыдущая статья Следующая статья 