Что такое учетные данные windows

Диспетчер учетных данных Windows (Credential Manager) позволяет безопасно хранить учетные записи и пароля для доступа к сетевым ресурсам, веб сайтам и приложениям. Благодаря сохраненным в Credential Manager паролям вы можете подключаться без ввода пароля к сетевым ресурсам, которые поддерживаются проверку подлинности Windows (NTLM или Kerbersos), аутентификацию по сертификату, или базовую проверку подлинности.

Используем диспетчер учетных данных Windows для хранения паролей

Диспетчер учетных данных встроен в Windows и позволяет безопасно хранить три типа учетных данных:

• Учетные данные Windows (Windows Credentials) — учетные данные доступа к ресурсам, которые поддерживаются Windows аутентификацию (NTLM или Kerbersos). Это могут быть данные для подключения сетевых дисков или общим SMB папкам, NAS устройствам, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих проверку подлинности Windows и т.д;
• Учетные данные сертификатов (Certificate-Based Credentials) – используются для доступа к ресурсам с помощью сертификатов (из секции Personal в Certificate Manager);
• Общие учетные данные (Generic Credentials) – хранит учетные данные для доступа к сторонним приложениям, совместимым с Credential Manager и поддерживающим Basic аутентификацию;
• Учетные данные для интернета (Web Credentials) – сохранённые пароли в браузерах Edge и Internet Explorer, приложениях Microsoft (MS Office, Teams, Outlook, Skype и т.д).

Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.

Картинка с сайта: winitpro.ru

Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).

Открыть диспетчер учетных данных в Windows можно:

• из классической панели управления (Control Panel\User Accounts\Credential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных);
• изкоманднойстроки:
  control /name Microsoft.CredentialManager

На скриншоте видно, что в Credential Manager хранятся два пароля, которые мы сохранили ранее.

Картинка с сайта: winitpro.ru

Сохраненный пароль для RDP подключения сохраняется в формате
TERMSRV\hostname
.

Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль в открытом виде из графического интерфейса нельзя) или удалить любую из записей.

Для управления сохраненными паролями можно использовать классический диалоговый интерфейс Stored User Names and Password. Для его запуска выполните команду:

rundll32.exe keymgr.dll,KRShowKeyMgr

Здесь вы также можете управлять сохраненными учетными данными, а также выполнить резервное копирование и восстановление записей в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).

Управление сохраненными учетными данными Windows из командной строки

Вы можете добавить удалить и вывести сохраненные учетные данных в Credentil Manager из командной строки с помощью утилиты cmdkey.

Добавить в диспетчер учетные данные для доступа к серверу FS01:

cmdkey /add:FS01 /user:kbuldogov /pass:Passw0rdd1

Если нужно сохранить доменную учетную запись:

cmdkey /add:fs01.winitpro.local /user:[email protected] /pass:Passw0rdd1

Сохранить учетные данные для доступа к RDP/RDS серверу:

cmdkey /generic:termsrv/MSKRDS1 /user:kbuldogov /pass:Passw0rdd1

Вывести список сохраненных учетных данных:

cmdkey /list

Вывести список хранимых учетных данных для указанного компьютера:
cmdkey /list:fs01.winitpro.local

Удалить ранее сохраненные учетные данные:

cmdkey /delete:FS01

Удалить из Credential Manager все сохраненные пароли для RDP доступа:

For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H

Полностью очистить пароли в Credential Manager:

for /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr Target') do cmdkey /delete %H

Картинка с сайта: winitpro.ru

Также для управления сохраненными учетными данными можно использовать утилиту vaultcmd.Вывести список сохраненных учетных данных типа Windows Credentials:

vaultcmd /listcreds:"Windows Credentials"

Картинка с сайта: winitpro.ru

Все сохраненные пароли хранятся в защищенном хранилище Windows Vault. Путь к хранилищу можно получить с помощью команды:

vaultcmd /list

Картинка с сайта: winitpro.ru

По умолчанию это
%userprofile%\AppData\Local\Microsoft\Vault
. Ключ шифрования хранится в файле Policy.vpol. Клю шифровани используется для рашировки паролей в файлах .vcrd.

Для работы Credential Manager должна быть запущена служба VaultSvc:

Get-Service VaultSvc

Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка:

Credential Manager Error
The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service.
Error code: 0x800706B5
Error Message: The interface is unknown.

Если вы хотите заблокировать пользователям возможность сохранения сетевых паролей в Credential Manager, нужно включить параметр Network access: Do not allow storage of passwords and credentials for network authentication в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

Картинка с сайта: winitpro.ru

Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:

Credential Manager Error
Unable to save credentials. To save credentials in this vault, check your computer configuration.
Error code: 0x80070520
Error Message: A specified logon session does not exist. It may already have been terminated.

Доступ к менеджеру учетных данных Windows из PowerShell

В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.

Установите модуль:

Install-Module CredentialManager

Картинка с сайта: winitpro.ru

В модуле всего 4 командлета:

• Get-StoredCredential – получить учетные данные из хранилища Windows Vault;
• Get-StrongPassword – сгенерировать случайный пароль;
• New-StoredCredential – добавить учетные данные в хранилище;
• Remove-StoredCredential – удалить учетные данные.

Чтобы добавить новые учетные данные в хранилище CredentialManager, выполните команду:

New-StoredCredential -Target 'contoso' -Type Generic -UserName '[email protected]' -Password '123qwe' -Persist 'LocalMachine'

Картинка с сайта: winitpro.ru

Проверить, есть в хранилище сохраненные данные:

Get-StoredCredential -Target contoso

С помощью командлета Get-StoredCredential вы можете вывести сохраненный пароль, хранящийся в диспетчере учетных данных в отрытом виде.

Выведите список сохраненных учетных данных:

cmdkey.exe /list

Скопируйте значение Target для объекта, пароль которого вы хотите извлечь и вставьте его в следующую команду:

$cred = Get-StoredCredential -Target  LegacyGeneric:target=termsrv/MSKRD2S1
[System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))

Команда выведет сохраненный пароль в открытом виде.

Картинка с сайта: winitpro.ru

Также для получения сохраненных паролей из credman в открытом виде можно использовать утилиты типа Mimikatz (смотри пример).

Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:

$psCred = Get-StoredCredential -Target "Contoso"
Connect-MSolService -Credential $psCred

Также вы можете использовать Get-StoredCredential для безопасного получения сохранённых учетных данных в заданиях планировщика.

Также обратите внимание на модуль PowerShell Secret Management, который можно использовать для безопасного хранения паролей в Windows (поддерживает различные хранилища паролей: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.

Чтобы удалить сохраненные учетные данные из Windows Vault, выполните:

Remove-StoredCredential -Target Contoso

Credential Manager – механизм для хранения паролей, сертификатов при подключении к удаленным рабочим столам, веб-сайтам и программному обеспечению, а также учетных данных Windows.

Механизм сохраняет две разновидности информации – веб-учетные данные и учетные данные Windows. Все данные пользователя, приложений, которые запускались, а также все обновления паролей и ключей будут хранится в Credential Manager.

Диспетчер учетных данных Windows 7 стал первой версией решения. Похожая функция была и в предыдущих версиях Windows, но без возможности восстанавливать и создавать резервные копии паролей.

Ключница

Credential Manager, как одна большая ключница в которой пользователь хранит все логины, пароли и ключи. Однако, вместе с удобством возникают риски. Как в жизни, кошелек с банковскими картами или ключницу могут украсть преступники, так и здесь все ключи и пароли могут стать доступны злоумышленникам.

Чтобы знать, какие данные уже сохранил Credentials manager, необходимо ответить на вопрос – где находится Credential manager Windows 10. Данные расположены в папке учетных данных: %Systemdrive%\Users\<Username>\AppData\Local\Microsoft\Credentials.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Диспетчер учетных данных представляет собой удобный механизм для хранения паролей при подключении к удаленным рабочим столам, веб-сайтам и программному обеспечению. По факту, его можно представить как одну большую ключницу от всех ваших учетных записей. Но доступ к ключам и паролям может попасть в руки злоумышленникам.

Как администрировать учетные данные:

1. Откройте панель управления Windows
2. Наберите в строке поиска Credential Manager или диспетчер учетных данных
3. Выберите панель управления диспетчера учетных данных
4. Определите какими данными вы хотите управлять – учетные данные для интернета или учетные данные Windows. Выберите соответствующее поле.

Если выбрать управление данными Windows, то можно управлять учетными записями, сертификатами, архивировать или восстанавливать учетные данные.

В разделе учетные данные для интернета можно управлять паролями от веб-сайтов, также восстанавливать, менять или удалять.

Безопасность

При негативном стечении обстоятельств, злоумышленники, получив доступ к компьютеру, смогут увидеть данные учетных записей, сохраненные в диспетчере Credential Manager. С помощью различных утилит по типу Mimikatz данные и пароли могут быть расшифрованы и использоваться атакующим в преступных целях.

Диана Кожушок

Аналитик-исследователь киберугроз в компании R-Vision

Также не стоит забывать про различное вредоносное ПО, способное потенциально получать доступ к сохраненным учетным данным. И сделать это возможно, как и с помощью различных незакрытых уязвимостей, так и обманным путем из рук пользователя. Если устройство доменное, то администраторы тоже имеют возможность доступа. Или даже другие пользователи, если им были выданы соответствующие доступы.

Чтобы свести к минимуму риски, связанные с диспетчером данных, прежде всего, надо обезопасить основную учетную запись, под которой вы входите в операционную систему. На нее необходимо установить надежный пароль, в противном случае любой желающий получить доступ к компьютеру и сможет воспользоваться сохраненными паролями.

Второй риск, который следует предусмотреть при работе с Windows Credentials – возможное удаленное подключение злоумышленников. Поэтому обязательно нужно отключить или ограничить возможность удаленных подключений к компьютеру.

Кроме того, преступники могут запустить вредоносное ПО или скрипты на рабочей станции. Чтобы это предотвратить используйте антивирусное ПО и не запускайте скрипты из недоверенных источников, в особенности не понимая, что он выполняет.

Как обезопасить себя при использовании диспетчера учетных данных:

1. Установите надежный пароль на основной учетной записи и не сообщайте его никому.
2. Отключите или ограничить возможность удаленных подключений к компьютеру.
3. Используйте антивирусное ПО.
4. Не запускайте скрипты из недоверенных источников.
5. Включите двухфакторную аутентификацию для важных сайтов.
6. Вовремя устанавливайте обновления безопасности.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Не храните пароли от важных вещей и если есть возможность, то обязательно включите двухфакторную аутентификацию для ключевых веб-сайтов. Если у вас остались какие-то сомнения, то просто отключите этот функционал у себя в операционной системе и всегда снимайте галочку с «Запомнить пароль», ведь аналоги диспетчера существуют в веб-браузерах и в самом ПО. На чужом компьютере используйте опцию «Приватного просмотра» для посещения веб-сайтов. Это позволит не сохранять пароли в куки и не позволяет сохранять историю посещений.

Каждый день сервисов, сайтов, приложений, которые использует современный человек становится все больше, поэтому все равно придется использовать хранилище для паролей, ключей и других данных доступа. Эксперты считают, что один из лучших вариантов – это не передавать свою базу паролей в различные облачные сервисы и не располагать ее на общих сетевых ресурсах компании, а хранить их в зашифрованным виде у себя локально и делать резервные копии.

Личное лучше оставить дома

Для большинства из нас вход под личным логином и паролем на различные веб-сайты, особенно социальные сети, с рабочих устройств стало само собой разумеющимся действием. Без этого сложно представить работу, например SMM-менеджера или маркетолога. Но это представляет настоящую угрозу личным данным пользователя.

Диана Кожушок

Аналитик-исследователь киберугроз в компании R-Vision

Использование рабочего устройства для решения личных задач уже давно что-то обыденное и повсеместное для большинства работников. Но тут сразу хотелось бы отметить, что поскольку эти устройства принадлежат компании, то она вправе получить доступ к любой информации, расположенной на нем, как бы это не звучало неэтично. В корпоративных средах могут использоваться мастер пароли и учетные записи администраторов, которые позволяют получить доступ к просмотру любого пароля.

При халатном обращении со своими данными на постороннем устройстве, злоумышленники смогут получить данные не только от учетных данных Windows, но и от веб-сайтов. Например, другой сотрудник, сев за ваш компьютер, с помощью Credential manager может увидеть пороли от сайтов, на которые вы заходили через личные учетные записи.

Для это ему нужно будет просто найти необходимый сайт в списке учетных данных для Интернета, открыть элемент и нажать «Показать» рядом с полем пароля. После этого системы сделает запрос на проверку права доступа, и пользователь увидит пароль прямо в Web Credentials.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Никогда и не при каких обстоятельствах, нельзя использовать технику, которой вы не доверяете. Кроме диспетчера учетных данных, ваши пароли могут быть украдены простым кейлоггером. Вообще, заведите себе привычку использовать только свои устройства или те, которым вы точно доверяете. Тот факт, что вы доверяете своему другу или члену семьи, совсем не означает, что его устройство безопасно. Безопасным может быть только то, что вами лично проверено. В корпоративной среде я рекомендую использовать аутентификацию по сертификатам с использованием смарт-карт. Это значительно снижает риски несанкционированного доступа к корпоративным данным.

 Если есть большая необходимость заходить в личные аккаунты на чужом компьютере, то лучше использовать опцию «Приватного просмотра» для посещения веб-сайтов. Это позволит не сохранять пароли в куки и не позволяет сохранять историю посещений. В личные учетные записи Windows заходить крайне нежелательно.

Выводы

Credentials manager крайне удобный механизм, позволяющий не вводить каждый раз данные от учетных записей для входа в операционную систему, на веб-сайты и в приложения. Но требующий соблюдения определенных мер безопасности, в особенности при работе с чужими рабочими устройствами.

Комфорт усыпляет нашу бдительность и вот мы уже спокойно заходим с рабочего компьютера в личный кабинет электронного кошелька, где на счетах хранятся наши средства. Также беззаботно мы, увольняясь с работы, просто выходим из личного кабинета на сайте и не задумываемся о том, что данные любой желающий сможет найти либо в диспетчер учетных данных или в ключнице браузера.

Ко всем технологиям, связанным с сохранением и обработкой личных данных нужно относится с ответственностью и должным образом следить за тем, чтобы посторонние люди не получили доступ к нашим данным.

Диспетчер учетных данных  (Credential Manager) — предназначен для хранения и управления учетных данных пользователей. Данный механизм позволяет автоматически выполнять вход на компьютер, сайт, почту и тд. Данные хранятся в так называемых хранилищах Windows локальная папка на компьютере в зашифрованном виде.

Например, вы подключаетесь к принтеру по локальной сети к другому компьютеру, выставляя галочку «запомнить учетные данные»:

или подключимся «удаленным рабочим столом», опять же в настройках выставляя галочку «запомнить учетные данные»:

Картинка с сайта: www.itworkroom.com

При выставлении опции «запомнить учетные данные», мы вносим значения в хранилище windows. Как уже упоминалось выше, хранилище это папка «Credentials», расположенная по пути: «C:\Users\имя_пользователя\AppData\Local\Microsoft\», все файлы в ней зашифрованы и доступ к ней осуществляется как раз «диспетчером учетных данных  (Credential Manager).

Чтобы запустить «Диспетчер учетных данных  (Credential Manager)» необходимо перейти в «панель управления»:

Картинка с сайта: www.itworkroom.com

В диспетчере имеются три группы:

Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
Учетные данные на основе сертификатов (Certificate-Based Credentials) — предназначены для аутентификации с помощью смарт-карт;
Общие учетные данные (Generic Credentials) — используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему.

Развернув одну из учетных записей можно её редактировать.

Картинка с сайта: www.itworkroom.com

Также можно заводить новые учетные записи в самом диспетчере. И при новом подключении их не потребуется вводить.

В Диспетчере учетных данных (Credential Manager), есть возможность архивирования хранилища и его восстановление, например для переноса на другой компьютер или повреждения хранилища.

Для запуска мастера архивирования нажмем соответствующую ссылку:

Картинка с сайта: www.itworkroom.com

Указываем где будем сохранять архив:

Картинка с сайта: www.itworkroom.com

Идем далее по мастеру, мастер потребует введения пароля к архиву, в безопасном режиме с нажатием блокировки, нужно будет нажать сочетание клавиш:

Картинка с сайта: www.itworkroom.com

Восстановление проходит в обратном порядке. Сохранять архив рекомендуется на отдельный носитель или локальный диск (не системный).

Способ 1: Учетные записи пользователей

При подключении нового оборудования или пользователя к сети система требует пароль, если он изначально задан во время настройки общего доступа и локальной сети. Иногда пользователи теряют или забывают учетные данные, но есть способы, которые позволяют посмотреть их с помощью встроенных средств операционки:

1. Одновременно нажмите на клавиши «Win + R» — отобразится встроенная оснастка «Выполнить», где в текстовом поле нужно ввести netplwiz и нажать на кнопку «ОК».


Картинка с сайта: lumpics.ru

2. В открывшемся окне «Учетные записи пользователей» переключитесь на вкладку «Дополнительно», затем кликните по «Управление паролями».


Картинка с сайта: lumpics.ru

Запустится «Диспетчер учетных данных», где и можно узнать сетевые учетные данные в Windows 10 и пароли от веб-сайтов. Кроме того, здесь есть возможность изменять данные, удалять их или добавлять новые учетные записи.

Способ 2: «Панель управления»

Есть еще один способ посмотреть сетевые логин и пароль, но он срабатывает не во всех случаях. Для этого потребуется инструментарий «Панели управления» и созданная «Домашняя группа» в Windows 10.

1. Воспользовавшись строкой системного поиска, отыщите «Панель управления».


Картинка с сайта: lumpics.ru

2. В качестве просмотра разделов выберите «Категория», затем кликните по строке «Просмотр состояния сети и задач» в категории «Сеть и Интернет».


Картинка с сайта: lumpics.ru

3. Если на панели слева внизу есть ссылка «Домашняя группа», кликните по ней. После этого откроется окно, где нужно выбрать пункт «Показать или распечатать пароль домашней группы».


Картинка с сайта: lumpics.ru

Останется сохранить или переписать учетные данные. К слову, о том, как правильно создать домашнюю группу, наш автор разбирал в отдельном материале на сайте.

Читайте также: Создание домашней группы в Windows 10

Решение возможных проблем

Часто бывает такое, когда система требует пароль, хотя он не был установлен или есть уверенность, что данные были введены правильно. В этом случае может потребоваться изменение некоторых параметров через «Редактор локальной групповой политики».

Данный вариант подойдет для владельцев таких редакций Windows 10, как Pro и Enterprise. В домашней версии «Редактор локальной групповой политики» не предусматривается.

1. Вызовите диалоговое окно «Выполнить» и используйте запрос gpedit.msc, чтобы запустить встроенное средство.


Картинка с сайта: lumpics.ru

2. На панели слева перейдите по следующему пути: «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности».


Картинка с сайта: lumpics.ru

3. В центральной части окна найдите строку «Сетевая безопасность: уровень проверки подлинности LAN Manager» и дважды кликните по ней левой кнопкой мыши.


Картинка с сайта: lumpics.ru

4. В новом окне, оставаясь на вкладке «Параметр локальной безопасности», выберите из выпадающего меню пункт «Отправлять LM- и NTML-ответы». Примените и сохраните настройки.


Картинка с сайта: lumpics.ru

Следует отметить, что это решение подойдет не для каждой версии операционной системы Windows 10. По каким-то причинам в некоторых случаях система продолжает запрашивать пароль, несмотря на редактирование параметра локальной групповой политики. Вероятно, тогда оптимальным вариантом для исправления такой ситуации станет проверка настроек общего доступа и внесение изменений, если это потребуется.

Подробнее: Настройка общего доступа в операционной системе Windows 10

Дополнительная информация

В Windows 10 можно вовсе убрать запрос пароля, который требуется при подключении устройства к общей сети. А если нужно сделать так, чтобы пароли не сохранялись (и их не было возможности посмотреть как описано в инструкциях выше), тогда можно воспользоваться встроенными средствами операционки.

Отключение запроса пароля

Как правило, запрос пароля отключается в случаях, когда есть полная уверенность в безопасности домашней сети:

1. Запустите классическую «Панель управления» и в меню «Просмотр» выставьте отображение разделов как значки (мелкие или крупные), затем нажмите на «Центр управления сетями и общим доступом».


Картинка с сайта: lumpics.ru

2. На панели слева кликните по строке «Изменить дополнительные параметры общего доступа».


Картинка с сайта: lumpics.ru

3. Разверните меню «Все сети», затем включите общий доступ, а ниже отметьте пункт «Отключить общий доступ с парольной защитой». Сохраните изменения, нажав на соответствующую кнопку внизу.


Картинка с сайта: lumpics.ru

После этих действий требование ввода сетевого пароля прекратится, но имейте в виду, что тогда любое устройство сможет подключиться к локальной сети, поскольку она будет уже не защищена.

Отключение сохранения паролей

В целях обеспечения безопасности в Windows 10 можно отключить сохранение паролей – тогда никто не сможет посмотреть и переписать учетные данные, которые позволят без проблем подключиться к локальной сети:

1. Запустите оснастку «Локальная политика безопасности». Для этого можно воспользоваться системным поиском.


Картинка с сайта: lumpics.ru

2. Разверните меню «Локальные политики» через навигационную панель, затем выберите каталог «Параметры безопасности». В основной части окна найдите пункт «Сетевой доступ: не разрешать хранение паролей и учетных данных пользователей» — кликните по нему правой кнопкой мыши и перейдите в его «Свойства».


Картинка с сайта: lumpics.ru

3. На вкладке «Параметр локальной безопасности» отметьте опцию «Включен», примените и сохраните настройки.


Картинка с сайта: lumpics.ru

Чтобы новые параметры начали действовать незамедлительно, лучше перезагрузить компьютер или выйти, затем снова войти в учетную запись. После этого операционная система больше не будет сохранять пароли веб-сайтов и сетевых подключений. Имейте в виду, что посмотреть забытые учетные данные уже не получится.

Наша группа в TelegramПолезные советы и помощь