Диспетчер учетных данных Windows (Credential Manager) позволяет безопасно хранить учетные записи и пароля для доступа к сетевым ресурсам, веб сайтам и приложениям. Благодаря сохраненным в Credential Manager паролям вы можете подключаться без ввода пароля к сетевым ресурсам, которые поддерживаются проверку подлинности Windows (NTLM или Kerbersos), аутентификацию по сертификату, или базовую проверку подлинности.
Содержание:
- Используем диспетчер учетных данных Windows для хранения паролей
- Управление сохраненными учетными данными Windows из командной строки
- Доступ к менеджеру учетных данных Windows из PowerShell
Используем диспетчер учетных данных Windows для хранения паролей
Диспетчер учетных данных встроен в Windows и позволяет безопасно хранить три типа учетных данных:
- Учетные данные Windows (Windows Credentials) — учетные данные доступа к ресурсам, которые поддерживаются Windows аутентификацию (NTLM или Kerbersos). Это могут быть данные для подключения сетевых дисков или общим SMB папкам, NAS устройствам, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих проверку подлинности Windows и т.д;
- Учетные данные сертификатов (Certificate-Based Credentials) – используются для доступа к ресурсам с помощью сертификатов (из секции Personal в Certificate Manager);
- Общие учетные данные (Generic Credentials) – хранит учетные данные для доступа к сторонним приложениям, совместимым с Credential Manager и поддерживающим Basic аутентификацию;
- Учетные данные для интернета (Web Credentials) – сохранённые пароли в браузерах Edge и Internet Explorer, приложениях Microsoft (MS Office, Teams, Outlook, Skype и т.д).
Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.
Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).
Открыть диспетчер учетных данных в Windows можно:
- из классической панели управления (Control Panel\User Accounts\Credential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных);
- изкоманднойстроки:
control /name Microsoft.CredentialManager
На скриншоте видно, что в Credential Manager хранятся два пароля, которые мы сохранили ранее.
Сохраненный пароль для RDP подключения сохраняется в формате
TERMSRV\hostname
.
Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль в открытом виде из графического интерфейса нельзя) или удалить любую из записей.
Для управления сохраненными паролями можно использовать классический диалоговый интерфейс Stored User Names and Password. Для его запуска выполните команду:
rundll32.exe keymgr.dll,KRShowKeyMgr
Здесь вы также можете управлять сохраненными учетными данными, а также выполнить резервное копирование и восстановление записей в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).
Управление сохраненными учетными данными Windows из командной строки
Вы можете добавить удалить и вывести сохраненные учетные данных в Credentil Manager из командной строки с помощью утилиты cmdkey.
Добавить в диспетчер учетные данные для доступа к серверу FS01:
cmdkey /add:FS01 /user:kbuldogov /pass:Passw0rdd1
Если нужно сохранить доменную учетную запись:
cmdkey /add:fs01.winitpro.local /user:[email protected] /pass:Passw0rdd1
Сохранить учетные данные для доступа к RDP/RDS серверу:
cmdkey /generic:termsrv/MSKRDS1 /user:kbuldogov /pass:Passw0rdd1
Вывести список сохраненных учетных данных:
cmdkey /list
Вывести список хранимых учетных данных для указанного компьютера:
cmdkey /list:fs01.winitpro.local
Удалить ранее сохраненные учетные данные:
cmdkey /delete:FS01
Удалить из Credential Manager все сохраненные пароли для RDP доступа:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
Полностью очистить пароли в Credential Manager:
for /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr Target') do cmdkey /delete %H
Также для управления сохраненными учетными данными можно использовать утилиту vaultcmd.Вывести список сохраненных учетных данных типа Windows Credentials:
vaultcmd /listcreds:"Windows Credentials"
Все сохраненные пароли хранятся в защищенном хранилище Windows Vault. Путь к хранилищу можно получить с помощью команды:
vaultcmd /list
По умолчанию это
%userprofile%\AppData\Local\Microsoft\Vault
. Ключ шифрования хранится в файле Policy.vpol. Клю шифровани используется для рашировки паролей в файлах .vcrd.
Для работы Credential Manager должна быть запущена служба VaultSvc:
Get-Service VaultSvc
Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка:
Credential Manager Error The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service. Error code: 0x800706B5 Error Message: The interface is unknown.
Если вы хотите заблокировать пользователям возможность сохранения сетевых паролей в Credential Manager, нужно включить параметр Network access: Do not allow storage of passwords and credentials for network authentication в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:
Credential Manager Error Unable to save credentials. To save credentials in this vault, check your computer configuration. Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
Доступ к менеджеру учетных данных Windows из PowerShell
В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.
Установите модуль:
Install-Module CredentialManager
В модуле всего 4 командлета:
- Get-StoredCredential – получить учетные данные из хранилища Windows Vault;
- Get-StrongPassword – сгенерировать случайный пароль;
- New-StoredCredential – добавить учетные данные в хранилище;
- Remove-StoredCredential – удалить учетные данные.
Чтобы добавить новые учетные данные в хранилище CredentialManager, выполните команду:
New-StoredCredential -Target 'contoso' -Type Generic -UserName '[email protected]' -Password '123qwe' -Persist 'LocalMachine'
Проверить, есть в хранилище сохраненные данные:
Get-StoredCredential -Target contoso
С помощью командлета Get-StoredCredential вы можете вывести сохраненный пароль, хранящийся в диспетчере учетных данных в отрытом виде.
Выведите список сохраненных учетных данных:
cmdkey.exe /list
Скопируйте значение Target для объекта, пароль которого вы хотите извлечь и вставьте его в следующую команду:
$cred = Get-StoredCredential -Target LegacyGeneric:target=termsrv/MSKRD2S1 [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))
Команда выведет сохраненный пароль в открытом виде.
Также для получения сохраненных паролей из credman в открытом виде можно использовать утилиты типа Mimikatz (смотри пример).
Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:
$psCred = Get-StoredCredential -Target "Contoso"
Connect-MSolService -Credential $psCred
Также вы можете использовать Get-StoredCredential для безопасного получения сохранённых учетных данных в заданиях планировщика.
Также обратите внимание на модуль PowerShell Secret Management, который можно использовать для безопасного хранения паролей в Windows (поддерживает различные хранилища паролей: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.
Чтобы удалить сохраненные учетные данные из Windows Vault, выполните:
Remove-StoredCredential -Target Contoso
Все способы:
- Способ 1: Учетные записи пользователей
- Способ 2: «Панель управления»
- Решение возможных проблем
- Дополнительная информация
- Отключение запроса пароля
- Отключение сохранения паролей
- Вопросы и ответы: 2
Способ 1: Учетные записи пользователей
При подключении нового оборудования или пользователя к сети система требует пароль, если он изначально задан во время настройки общего доступа и локальной сети. Иногда пользователи теряют или забывают учетные данные, но есть способы, которые позволяют посмотреть их с помощью встроенных средств операционки:
- Одновременно нажмите на клавиши «Win + R» — отобразится встроенная оснастка «Выполнить», где в текстовом поле нужно ввести
netplwizи нажать на кнопку «ОК». - В открывшемся окне «Учетные записи пользователей» переключитесь на вкладку «Дополнительно», затем кликните по «Управление паролями».
Запустится «Диспетчер учетных данных», где и можно узнать сетевые учетные данные в Windows 10 и пароли от веб-сайтов. Кроме того, здесь есть возможность изменять данные, удалять их или добавлять новые учетные записи.
Способ 2: «Панель управления»
Есть еще один способ посмотреть сетевые логин и пароль, но он срабатывает не во всех случаях. Для этого потребуется инструментарий «Панели управления» и созданная «Домашняя группа» в Windows 10.
- Воспользовавшись строкой системного поиска, отыщите «Панель управления».
- В качестве просмотра разделов выберите «Категория», затем кликните по строке «Просмотр состояния сети и задач» в категории «Сеть и Интернет».
- Если на панели слева внизу есть ссылка «Домашняя группа», кликните по ней. После этого откроется окно, где нужно выбрать пункт «Показать или распечатать пароль домашней группы».
Останется сохранить или переписать учетные данные. К слову, о том, как правильно создать домашнюю группу, наш автор разбирал в отдельном материале на сайте.
Читайте также: Создание домашней группы в Windows 10
Решение возможных проблем
Часто бывает такое, когда система требует пароль, хотя он не был установлен или есть уверенность, что данные были введены правильно. В этом случае может потребоваться изменение некоторых параметров через «Редактор локальной групповой политики».
Данный вариант подойдет для владельцев таких редакций Windows 10, как Pro и Enterprise. В домашней версии «Редактор локальной групповой политики» не предусматривается.
- Вызовите диалоговое окно «Выполнить» и используйте запрос
gpedit.msc, чтобы запустить встроенное средство. - На панели слева перейдите по следующему пути: «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности».
- В центральной части окна найдите строку «Сетевая безопасность: уровень проверки подлинности LAN Manager» и дважды кликните по ней левой кнопкой мыши.
- В новом окне, оставаясь на вкладке «Параметр локальной безопасности», выберите из выпадающего меню пункт «Отправлять LM- и NTML-ответы». Примените и сохраните настройки.
Следует отметить, что это решение подойдет не для каждой версии операционной системы Windows 10. По каким-то причинам в некоторых случаях система продолжает запрашивать пароль, несмотря на редактирование параметра локальной групповой политики. Вероятно, тогда оптимальным вариантом для исправления такой ситуации станет проверка настроек общего доступа и внесение изменений, если это потребуется.
Подробнее: Настройка общего доступа в операционной системе Windows 10
Дополнительная информация
В Windows 10 можно вовсе убрать запрос пароля, который требуется при подключении устройства к общей сети. А если нужно сделать так, чтобы пароли не сохранялись (и их не было возможности посмотреть как описано в инструкциях выше), тогда можно воспользоваться встроенными средствами операционки.
Отключение запроса пароля
Как правило, запрос пароля отключается в случаях, когда есть полная уверенность в безопасности домашней сети:
- Запустите классическую «Панель управления» и в меню «Просмотр» выставьте отображение разделов как значки (мелкие или крупные), затем нажмите на «Центр управления сетями и общим доступом».
- На панели слева кликните по строке «Изменить дополнительные параметры общего доступа».
- Разверните меню «Все сети», затем включите общий доступ, а ниже отметьте пункт «Отключить общий доступ с парольной защитой». Сохраните изменения, нажав на соответствующую кнопку внизу.
После этих действий требование ввода сетевого пароля прекратится, но имейте в виду, что тогда любое устройство сможет подключиться к локальной сети, поскольку она будет уже не защищена.
Отключение сохранения паролей
В целях обеспечения безопасности в Windows 10 можно отключить сохранение паролей – тогда никто не сможет посмотреть и переписать учетные данные, которые позволят без проблем подключиться к локальной сети:
- Запустите оснастку «Локальная политика безопасности». Для этого можно воспользоваться системным поиском.
- Разверните меню «Локальные политики» через навигационную панель, затем выберите каталог «Параметры безопасности». В основной части окна найдите пункт «Сетевой доступ: не разрешать хранение паролей и учетных данных пользователей» — кликните по нему правой кнопкой мыши и перейдите в его «Свойства».
- На вкладке «Параметр локальной безопасности» отметьте опцию «Включен», примените и сохраните настройки.
Чтобы новые параметры начали действовать незамедлительно, лучше перезагрузить компьютер или выйти, затем снова войти в учетную запись. После этого операционная система больше не будет сохранять пароли веб-сайтов и сетевых подключений. Имейте в виду, что посмотреть забытые учетные данные уже не получится.
Наша группа в TelegramПолезные советы и помощь
В некоторых случая не удается зайти в сетевую папку, напечатать на сетевой
принтер или открыть сетевой ресурс, т.к. неверные учетные данные. При этом в
журнале Windows появляется сообщение: «В диспетчере учетных данных был
введен пароль с ошибкой». Решение проблемы – это удалить неверные учетные
данные и ввести новые, но где это сделать? Для этого нужно запустить менеджер
сохраненных учетных данных через командную строку cmd.exe.
Запускаем cmd.exe и вводим:
rundll32.exe keymgr.dll,KRShowKeyMgr
Откроется менеджер сохраненных учетных данных Windows – «Сохранение имен
пользователей и паролей»
В списке будут отражены все учетные данные, которые были сохранены, с
которыми происходит автоматических вход на сетевой ресурс и, как
следствие — ошибка входа. Можно создавать запись для автоматического входа
вручную, можно удалять и изменять уже имеющиеся учетные данные.
Окно изменения сохраненных учетных данных
Для переноса на другой ПК или на чистую ОС Windows, есть возможность
архивации и восстановления сохраненных учетных данных.
При архивации все сохраняется в Архивные файлы учетных данных с
расширением «*.crd»
Используем диспетчер учетных данных Windows для хранения паролей — Впервые Credential Manager появился в Windows 7 и позиционируется как достаточное безопасное место для хранения ваших паролей. В диспетчере учетных данных могут хранится следующие типы аккаунтов:
- Учетные данные Windows (Windows Credentials) – данные для входа в Windows, для доступа на удаленные компьютеры, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих встроенную аутентификацию Windows и т. д; Учетные данные на основе сертификатов (Certificate-Based Credentials) – для аутентификации с помощью смарт-карт; Общие учетные данные (Generic Credentials) – используются сторонними приложениями, совместимые с Credential Manager; Учетные данные для интернета (Web Credentials) – сохранённые пароли в браузерах Edge и IE, приложениях Microsoft (MS Office, Teams, Outlook, Skype и т. д).
Например, если при доступе к сетевой папке вы включите опцию «Сохранить пароль», то введенный вами пароли будет сохранен в Credential Manager. Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc. exe). Также в менеджере паролей сохраняются пароли пользователей при их сохранении командой runas /savecred, Вы можете получить доступ к диспетчеру учетных данных в Windows 10 из классической панели управления (Control PanelUser AccountsCredential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных). Как вы видите, в Credential Manager теперь хранятся два пароля, которые мы сохранили ранее.
Google Chrome — Хром синхронизируется с вашим Google аккаунтом, и хранит пароли не прямо в браузере, здесь их можно только посмотреть, а на серверах Google. Сохраненные пароли хранятся по адресу https://passwords. google. com/, для просмотра нужно ввести пароль от Google аккаунта. В браузере для просмотра паролей нажмите на иконку своего аккаунта на панели инструментов: Выберите пункт «Пароли»: Менеджер паролей выглядит так: Здесь можно отключить сохранение паролей и автоматический вход, а также посмотреть все сохраненные пароли. Для просмотра пароля из списка нажмите на иконку глаза, для удаления — на три точки. Если у вас на компьютере установлен пароль на вход, после нажатия на иконку глаза появится такое окно: В этом окне введите пароль от Windows — это нужно, чтобы посторонний человек за вашим ПК не мог посмотреть сохраненные пароли. Если список сохраненных паролей длинный, ищите их через через строку поиска по адресу сайта: Редактировать пароли прямо в браузере нельзя. Чтобы это сделать, перейдите в Google аккаунт по ссылке из менеджера паролей: Все введенные в Хроме пароли хранятся в Google аккаунте, там их можно просматривать, редактировать и удалять — после этого они изменятся и в браузере.
Где хранятся Пароли в Internet Explorer?
В правом верхнем углу браузера Internet Explorer щёлкаем на значке шестерёнки «Сервис», после чего – «Свойства браузера» в выпадающем списке. В одноимённом окне переходим на вкладку «Содержание» и щёлкаем пункт «Параметры» в разделе «Автозаполнение». В появившемся одноимённом окне щёлкаем пункт «Управление паролями ».
Что такое учетные данные пользователя?
Приложения с паролем из Сейфа были доступны в Cloud Identity Premium Edition до июня 2022 г. С 21 сентября 2022 г. мы начнем отключать такие приложения и к 21 июня 2023 г. полностью прекратим поддержку этой функции. Подробнее Учетные данные для входа – это имена пользователей и пароли управляемых аккаунтов, позволяющие получать доступ к различным приложениям.
Администратор может добавлять, изменять и удалять учетные данные для приложений с паролями из Сейфа в консоли администратора Google. Важно! Прежде чем добавлять, изменять или удалять учетные данные для входа в приложения, вам необходимо настроить в консоли администратора Google новую структуру групп для приложений с паролями из Сейфа.
Инструкции можно найти в этой статье,
Как найти домашнюю группу в Windows 10?
Изменение параметров домашней группы при необходимости — В любой момент после настройки домашней группы ее параметры можно изменить, выполнив следующие действия.
- Откройте домашнюю группу. Для этого нажмите кнопку Пуск, выберите пункт Панель управления, в поле поиска введите домашняя группа, а затем выберите пункт Домашняя группа,
- Выберите желаемые параметры, а затем нажмите кнопку Сохранить изменения,
Ниже перечислены параметры со страницы параметров домашней группы.
| Параметр | Описание |
|---|---|
| Открыть общий доступ к библиотекам и принтерам | Выберите библиотеки и принтеры, доступ к которым вы хотите открыть для других членов домашней группы. |
| Предоставить общий доступ к файлам мультимедиа для устройств | Этот параметр позволяет открыть общий доступ к файлам мультимедиа для всех устройств в сети. Например, можно разрешить доступ к изображениям цифровой фоторамке или открыть доступ к музыкальным файлам сетевому универсальному проигрывателю. Примечание: Общие файлы мультимедиа не защищены. Любой пользователь, подключенный к сети, может получить к ним доступ. |
| Показать или распечатать пароль домашней группы | Просмотр или печать пароля для домашней группы. |
| Изменить пароль | Изменение пароля для домашней группы. |
| Выйти из домашней группы | Выход из домашней группы. |
| Изменить дополнительные параметры общего доступа | Изменение параметров обнаружения сети, общего доступа к файлам и общим папкам, общего доступа с парольной защитой, подключений к домашней группе и подключений для обмена файлами. |
| Запуск средства устранения неполадок домашней группы | Устранение неполадок домашней группы. |
Как убрать пароль с сетевой папки Windows 10?
Отключение общего доступа с парольной защитой — Для того, чтобы отключить общий доступ с парольной защитой и сделать возможным подключение к сетевым папкам и другим ресурсам без пароля, на том компьютере, где находятся эти общие ресурсы, потребуется выполнить следующие шаги:
- Откройте панель управления (для этого можно использовать поиск в панели задач), а в ней — Центр управления сетями и общим доступом.
- В панели слева нажмите «Изменить дополнительные параметры общего доступа».
- Раскройте раздел «Все сети», а затем, в разделе «Общий доступ с парольной защитой» выберите пункт «Отключить общий доступ с парольной защитой».
- Примените сделанные настройки.
В результате с любых компьютеров в локальной сети будет возможен доступ к сетевым ресурсам на том компьютере, где были выполнены указанные настройки, при условии, что:
- На устройствах, с которых осуществляется доступ включено сетевое обнаружение
- На ПК или ноутбуке, к которому осуществляется подключение, есть папки и/или иные ресурсы, к которым предоставлен общий доступ.