Диспетчер учетных данных Windows (Credential Manager) позволяет безопасно хранить учетные записи и пароля для доступа к сетевым ресурсам, веб сайтам и приложениям. Благодаря сохраненным в Credential Manager паролям вы можете подключаться без ввода пароля к сетевым ресурсам, которые поддерживаются проверку подлинности Windows (NTLM или Kerbersos), аутентификацию по сертификату, или базовую проверку подлинности.
Содержание:
- Используем диспетчер учетных данных Windows для хранения паролей
- Управление сохраненными учетными данными Windows из командной строки
- Доступ к менеджеру учетных данных Windows из PowerShell
Используем диспетчер учетных данных Windows для хранения паролей
Диспетчер учетных данных встроен в Windows и позволяет безопасно хранить три типа учетных данных:
- Учетные данные Windows (Windows Credentials) — учетные данные доступа к ресурсам, которые поддерживаются Windows аутентификацию (NTLM или Kerbersos). Это могут быть данные для подключения сетевых дисков или общим SMB папкам, NAS устройствам, сохраненные пароли для RDP подключений, пароли к сайтам, поддерживающих проверку подлинности Windows и т.д;
- Учетные данные сертификатов (Certificate-Based Credentials) – используются для доступа к ресурсам с помощью сертификатов (из секции Personal в Certificate Manager);
- Общие учетные данные (Generic Credentials) – хранит учетные данные для доступа к сторонним приложениям, совместимым с Credential Manager и поддерживающим Basic аутентификацию;
- Учетные данные для интернета (Web Credentials) – сохранённые пароли в браузерах Edge и Internet Explorer, приложениях Microsoft (MS Office, Teams, Outlook, Skype и т.д).
Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.
Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).
Открыть диспетчер учетных данных в Windows можно:
- из классической панели управления (Control Panel\User Accounts\Credential Manager, Панель управления -> Учетные записи пользователей -> Диспетчер учетных данных);
- изкоманднойстроки:
control /name Microsoft.CredentialManager
На скриншоте видно, что в Credential Manager хранятся два пароля, которые мы сохранили ранее.
Сохраненный пароль для RDP подключения сохраняется в формате
TERMSRV\hostname
.
Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль в открытом виде из графического интерфейса нельзя) или удалить любую из записей.
Для управления сохраненными паролями можно использовать классический диалоговый интерфейс Stored User Names and Password. Для его запуска выполните команду:
rundll32.exe keymgr.dll,KRShowKeyMgr
Здесь вы также можете управлять сохраненными учетными данными, а также выполнить резервное копирование и восстановление записей в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).
Управление сохраненными учетными данными Windows из командной строки
Вы можете добавить удалить и вывести сохраненные учетные данных в Credentil Manager из командной строки с помощью утилиты cmdkey.
Добавить в диспетчер учетные данные для доступа к серверу FS01:
cmdkey /add:FS01 /user:kbuldogov /pass:Passw0rdd1
Если нужно сохранить доменную учетную запись:
cmdkey /add:fs01.winitpro.local /user:[email protected] /pass:Passw0rdd1
Сохранить учетные данные для доступа к RDP/RDS серверу:
cmdkey /generic:termsrv/MSKRDS1 /user:kbuldogov /pass:Passw0rdd1
Вывести список сохраненных учетных данных:
cmdkey /list
Вывести список хранимых учетных данных для указанного компьютера:
cmdkey /list:fs01.winitpro.local
Удалить ранее сохраненные учетные данные:
cmdkey /delete:FS01
Удалить из Credential Manager все сохраненные пароли для RDP доступа:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
Полностью очистить пароли в Credential Manager:
for /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr Target') do cmdkey /delete %H
Также для управления сохраненными учетными данными можно использовать утилиту vaultcmd.Вывести список сохраненных учетных данных типа Windows Credentials:
vaultcmd /listcreds:"Windows Credentials"
Все сохраненные пароли хранятся в защищенном хранилище Windows Vault. Путь к хранилищу можно получить с помощью команды:
vaultcmd /list
По умолчанию это
%userprofile%\AppData\Local\Microsoft\Vault
. Ключ шифрования хранится в файле Policy.vpol. Клю шифровани используется для рашировки паролей в файлах .vcrd.
Для работы Credential Manager должна быть запущена служба VaultSvc:
Get-Service VaultSvc
Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка:
Credential Manager Error The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service. Error code: 0x800706B5 Error Message: The interface is unknown.
Если вы хотите заблокировать пользователям возможность сохранения сетевых паролей в Credential Manager, нужно включить параметр Network access: Do not allow storage of passwords and credentials for network authentication в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:
Credential Manager Error Unable to save credentials. To save credentials in this vault, check your computer configuration. Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
Доступ к менеджеру учетных данных Windows из PowerShell
В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.
Установите модуль:
Install-Module CredentialManager
В модуле всего 4 командлета:
- Get-StoredCredential – получить учетные данные из хранилища Windows Vault;
- Get-StrongPassword – сгенерировать случайный пароль;
- New-StoredCredential – добавить учетные данные в хранилище;
- Remove-StoredCredential – удалить учетные данные.
Чтобы добавить новые учетные данные в хранилище CredentialManager, выполните команду:
New-StoredCredential -Target 'contoso' -Type Generic -UserName '[email protected]' -Password '123qwe' -Persist 'LocalMachine'
Проверить, есть в хранилище сохраненные данные:
Get-StoredCredential -Target contoso
С помощью командлета Get-StoredCredential вы можете вывести сохраненный пароль, хранящийся в диспетчере учетных данных в отрытом виде.
Выведите список сохраненных учетных данных:
cmdkey.exe /list
Скопируйте значение Target для объекта, пароль которого вы хотите извлечь и вставьте его в следующую команду:
$cred = Get-StoredCredential -Target LegacyGeneric:target=termsrv/MSKRD2S1 [System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))
Команда выведет сохраненный пароль в открытом виде.
Также для получения сохраненных паролей из credman в открытом виде можно использовать утилиты типа Mimikatz (смотри пример).
Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:
$psCred = Get-StoredCredential -Target "Contoso"
Connect-MSolService -Credential $psCred
Также вы можете использовать Get-StoredCredential для безопасного получения сохранённых учетных данных в заданиях планировщика.
Также обратите внимание на модуль PowerShell Secret Management, который можно использовать для безопасного хранения паролей в Windows (поддерживает различные хранилища паролей: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.
Чтобы удалить сохраненные учетные данные из Windows Vault, выполните:
Remove-StoredCredential -Target Contoso
Applies ToMicrosoft Windows XP Home Edition Microsoft Windows XP Professional Microsoft Windows XP Tablet PC Edition
Автор:
Сумитра Сенгупта MVP
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ ЗА СОДЕРЖИМОЕ ОБЩЕДОСТУПНЫХ РЕШЕНИЙ
КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКИ НЕ ДЕЛАЮТ НИКАКИХ ЗАЯВЛЕНИЙ ОТНОСИТЕЛЬНО ПРИГОДНОСТИ, НАДЕЖНОСТИ ИЛИ ТОЧНОСТИ СВЕДЕНИЙ И СООТВЕТСТВУЮЩИХ ИЗОБРАЖЕНИЙ, ПРИВЕДЕННЫХ В НАСТОЯЩЕМ ДОКУМЕНТЕ. ВСЕ ЭТИ СВЕДЕНИЯ И СООТВЕТСТВУЮЩИЕ ИЗОБРАЖЕНИЯ ПРЕДОСТАВЛЕНЫ «КАК ЕСТЬ» БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКИ НАСТОЯЩИМ ОТКАЗЫВАЮТСЯ ОТ КАКИХ-ЛИБО ГАРАНТИЙНЫХ ОБЯЗАТЕЛЬСТВ И УСЛОВИЙ В ОТНОШЕНИИ ЭТИХ СВЕДЕНИЙ И СООТВЕТСТВУЮЩИХ ИЗОБРАЖЕНИЙ, ВКЛЮЧАЯ ВСЕ ПОДРАЗУМЕВАЕМЫЕ ГАРАНТИИ И УСЛОВИЯ ТОВАРНОЙ ПРИГОДНОСТИ, ПРИМЕНИМОСТИ ДЛЯ КОНКРЕТНЫХ ЦЕЛЕЙ, КАЧЕСТВА ИСПОЛНЕНИЯ, ПРАВ СОБСТВЕННОСТИ И ОТСУТСТВИЯ НАРУШЕНИЙ ПРАВ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ. В ЧАСТНОСТИ, ВЫ ПОДТВЕРЖДАЕТЕ СВО СОГЛАСИЕ С ТЕМ, ЧТО КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКИ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НЕ НЕСУТ ОТВЕТСТВЕННОСТИ ЗА ПРЯМОЙ ИЛИ КОСВЕННЫЙ УЩЕРБ, ШТРАФНЫЕ САНКЦИИ, СЛУЧАЙНЫЕ, ФАКТИЧЕСКИЕ, КОСВЕННЫЕ ИЛИ ИНЫЕ УБЫТКИ, ВКЛЮЧАЯ, В ЧАСТНОСТИ, УБЫТКИ ОТ УТРАТЫ ЭКСПЛУАТАЦИОННЫХ КАЧЕСТВ, ОТ ПОТЕРИ ДАННЫХ ИЛИ ПРИБЫЛЕЙ В СВЯЗИ С ИСПОЛЬЗОВАНИЕМ ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАТЬ ЭТИ СВЕДЕНИЯ И СООТВЕТСТВУЮЩИЕ ИЗОБРАЖЕНИЯ, СОДЕРЖАЩИЕСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ, ВОЗНИКШИЕ ВСЛЕДСТВИЕ СОГЛАШЕНИЯ, ГРАЖДАНСКОГО ПРАВОНАРУШЕНИЯ, ХАЛАТНОСТИ, ОБЪЕКТИВНОЙ ОТВЕТСТВЕННОСТИ ИЛИ ИНЫМ ОБРАЗОМ, ДАЖЕ ЕСЛИ КОРПОРАЦИЯ МАЙКРОСОФТ ИЛИ ЕЕ ПОСТАВЩИКИ ЗАРАНЕЕ БЫЛИ ИЗВЕЩЕНЫ О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА.
АННОТАЦИЯ
Этот совет позволяет просматривать, добавлять, удалять или изменять сохраненные имена и пароли пользователей .NET. Имя и пароль каждого пользователя имеют уникальные учетные данные, которые помогают пройти проверку подлинности в службах в доменах.
Советы.
Для этого:-1]Запустить>Выполнить>введите:rundll32.exe keymgr.dll,KRShowKeyMgr >ОК
. Также можно использовать Control Userpasswords2
Start>Run>type in:Control Userpasswords2>OK
. Перейдите на вкладку Дополнительно, а затем щелкните Управление паролями.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В операционной системе Windows для удаления сохраненных паролей можно удалить определенные файлы в папке вашего пользователя.
Нужно зайти сюда:
C:\Users\<Имя пользователя>\AppDat
При этом папка AppData является скрытой — чтобы зайти в неё, надо или включить отображение скрытых элементов, или дописать путь напрямую в адресной строке.
Теперь удаляем или всю папку с названием интересующей вас программы, или определенные файлы и вложенные папки.
Чтобы избежать ошибок при удалении данных, нужно предварительно закрыть все программы (или удалять сразу после включения компьютера и запуска операционной системы).
Другой вариант — это использовать бесплатную программу CCleaner и аналогичные ей.
В CCleaner имеется инструмент «Стандартная очистка», позволяющая удалить данные браузеров и некоторых приложений.
Нужно отметить галочками интересующие вас пункты и нажать на кнопку «Очистка».
Но и при ручном удалении файлов, и при использовании программ-чистильщиков всё равно могут остаться приложения, где будут сохранены данные для входа.
К примеру, если у вас установлены Вайбер или Телеграм, то придётся дополнительно запускать их и выходить из своего аккаунта.
А что касается Linux-подобных операционных систем, то можно попробовать зайти в папку /home/<Имя пользователя> и покопаться там.
Или сброситься все настройки на начальные путём копирования файлов из папки /etc/skel/.
Хотя для Linux тоже есть программы, позволяющие удалять сохраненные пользовательские данные, — например, BleachBit.
In a networked environment, controlling access to shared folders is essential. When using Windows 11, the operating system stores login credentials for network shares to streamline access. However, removing these credentials may be necessary to maintain security, resolve connectivity issues, or manage different user accounts.
Saved usernames and passwords for network shares are retained in Credential Manager, providing a centralized way to handle stored credentials. For command-line enthusiasts, cmdkey offers direct credential management from the terminal, giving administrators full oversight of the credentials used to access network resources.
Properly managing these Windows 11 credentials ensures that unauthorized access is prevented and that outdated credentials do not cause unexpected authentication errors. Maintaining clarity and control over stored login information is crucial in environments that demand precision and reliability.
Methods to delete saved username and password for network share in Windows:
-
Open Credential Manager through the Windows search bar.
-
Select the Windows Credentials tab.
-
Click on the dropdown icon for the server or computer that you want to remove from the Credential Manager.
-
Click on the remove link.
-
Confirm the deletion when prompted.
-
Repeat for other credentials as needed.
It might take a while for the credential to be removed from caches. You can either wait or reboot the system.
-
Open Command Prompt or PowerShell as an administrator.
-
List all the stored credentials.
$ cmdkey /list Currently stored credentials: Target: WindowsLive:target=virtualapp/didlogical Type: Generic User: 02erbobtpesylcou Local machine persistence Target: Domain:target=10.1.11.11 Type: Domain Password User: admin -
Identify the credential associated with the network share.
Target: Domain:target=10.1.11.11
-
Delete the specific credential using cmdkey.
$ cmdkey /delete:10.1.11.11 CMDKEY: Credential deleted successfully.
-
Verify that the credential has been removed.
cmdkey /list
Discuss the article:
Comment
anonymously. Login not required.