Диспетчер учетных данных Windows позволяет безопасно хранить учетные данные (имена пользователей и пароли), используемые для доступа к сетевым ресурсам, веб-сайтам и приложениям. Вы можете использовать учетные данные, хранящиеся в диспетчере учетных данных, для подключения к сетевым ресурсам, которые поддерживают аутентификацию Windows (NTLM или Kerberos), аутентификацию на основе сертификатов или базовую аутентификацию без ввода пароля.
Как открыть диспетчер учетных данных в Windows
Диспетчер учетных данных встроен в Windows и позволяет безопасно хранить следующие типы учетных данных:
- Учетные данные Windows – учетные данные для доступа к ресурсам, поддерживающим аутентификацию Windows (NTLM или Kerberos). Это могут быть учетные данные для сопоставления сетевых дисков или общих SMB-папок, устройств NAS, сохраненные пароли для RDP-соединений, пароли для сайтов, поддерживающих аутентификацию Windows, и т. д;
Диспетчер учетных данных Windows не хранит учетные данные для автоматического входа в систему Windows или кэшированные учетные данные домена.
- Учетные данные на основе сертификатов – для доступа к ресурсам с помощью сертификатов (из Персональный раздел Менеджера сертификатов) и для смарт-карт;
- Общие учетные данные – учетные данные для доступа к сторонним приложениям, совместимым с Credential Manager и поддерживающим аутентификацию Basic;
- Веб-учетные данные – сохранение паролей в браузерах Edge и Internet Explorer, приложениях Microsoft (MS Office, Teams, Outlook, Skype и др.).
Например, если вы включите функцию Save Password при доступе к общей сетевой папке, введенный пароль будет сохранен в диспетчере учетных данных.
Аналогично, CredManager сохранит пароль подключения к хосту RDP, который вы сохранили в клиенте Remote Desktop Connection (mstsc.exe).
runas /savecred и использовались для запуска программ от имени другого пользователя.Вы можете получить доступ к диспетчеру учетных данных в Windows 10 и 11:
- из классической панели управления (
Control Panel\User Accounts\Credential Manager); - из командной строки:
control /name Microsoft.CredentialManager
Как вы можете видеть, в менеджере учетных данных есть два пароля, которые мы сохранили ранее.
TERMSRV\hostname .Здесь можно добавить сохраненный пароль, отредактировать его (просмотреть сохраненный пароль в графическом интерфейсе невозможно) или удалить любую из записей.
Кроме того, вы можете использовать классический интерфейс Хранимые имена пользователей и пароли для управления сохраненными учетными данными в Windows. Откройте его с помощью следующей команды:
rundll32.exe keymgr.dll,KRShowKeyMgr
Здесь также можно управлять сохраненными учетными данными, создавать резервные копии или восстанавливать записи в диспетчере учетных данных (эту функцию можно использовать для переноса базы данных сохраненных учетных данных на другой компьютер).
Управление учетными данными пользователей в Windows с помощью CMD
Вы можете добавлять, удалять и просматривать сохраненные учетные данные в Credential Manager из командной строки с помощью команды cmdkey инструмент.
Добавьте новые учетные данные для доступа к файловому серверу FS01:
cmdkey /add:FS01 /user:w.brandt /pass:Pa2sw0rd11
Если необходимо сохранить учетные данные для учетной записи пользователя домена:
cmdkey /add:fs01.woshub.local /user:[email protected] /pass:Pa2sw0rd11
Сохраните учетные данные для подключения к узлу RDP (RDS):
cmdkey /generic:termsrv/MUNRDS1 /user:w.brandt /pass:Pa2sw0rd11
cmdkey /add:192.168.100.25 /user:guest
Для удаленного управления гипервизором с консоли Hyper-V Manager необходимо сохранить пароль администратора Hyper-V:
cmdkey /add:hv19 /user:Administrator /pass:HypVpaSS22
Список сохраненных учетных данных:
cmdkey /list
Список сохраненных учетных данных для определенного компьютера:
cmdkey /list:fs01.woshub.local
Удалить ранее сохраненные учетные данные:
cmdkey /delete:FS01
Удалите все пароли RDP, сохраненные в диспетчере учетных данных:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
Очистите все сохраненные пароли в Credential Manager с помощью следующей команды:
for /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr Target') do cmdkey /delete %H
Управлять сохраненными учетными данными можно также с помощью команды vaultcmd команда. Список сохраненных учетных данных типа Windows Credentials:
vaultcmd /listcreds:"Windows Credentials"
Все сохраненные пароли хранятся в безопасном хранилище Windows. Путь к хранилищу Windows Credentials можно получить следующим образом:
vaultcmd /list
По умолчанию это %userprofile%\AppData\Local\Microsoft\Vault. Ключ шифрования хранится в файле Policy.vpol файл. Пароли в .vcrd файлы расшифровываются с помощью ключа шифрования.
Сайт VaultSvc служба должна быть запущена для работы Credential Manager:
Get-Service VaultSvc
Если служба отключена, при попытке получить доступ к Credential Manager вы получите ошибку:
Credential Manager Error The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service. Error code: 0x800706B5 Error Message: The interface is unknown.
Если вы хотите запретить пользователям сохранять сетевые пароли в Credential Manager, включите параметр Сетевой доступ: Не разрешать хранить пароли и учетные данные для сетевой аутентификации Параметр GPO в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.
Если пользователь попытается сохранить пароль в хранилище паролей Windows, то теперь будет отображаться ошибка:
Credential Manager Error Unable to save credentials. To save credentials in this vault, check your computer configuration. Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
Доступ к диспетчеру учетных данных Windows из PowerShell
В Windows нет встроенных команд для доступа к хранилищу Credential Manager из PowerShell. Однако вы можете использовать CredentialManager модуль из галереи PowerShell.
Установите модуль:
Install-Module CredentialManager
В модуле всего 4 команды:
Get-StoredCredential– используется для получения учетных данных из хранилища Windows;Get-StrongPassword– для генерации случайного пароля;New-StoredCredential– для добавления новых учетных данных;Remove-StoredCredential– для удаления учетных данных.
Чтобы добавить новые учетные данные в диспетчер учетных данных Windows, выполните эту команду:
New-StoredCredential -Target 'woshub' -Type Generic -UserName '[email protected]' -Password 'Pass321-b' -Persist 'LocalMachine'
Проверьте наличие сохраненных учетных данных пользователя в хранилище:
Get-StoredCredential -Target woshub
Вы можете использовать сохраненные пароли из Credential Manager в своих сценариях PowerShell. Например, я могу получить сохраненные имя пользователя и пароль как объект PSCredential из хранилища Windows и использовать его для подключения к Exchange Online из PowerShell.
$psCred = Get-StoredCredential -Target "woshub"
Connect-MSolService -Credential $psCred
Вы также можете использовать команду Get-StoredCredential для безопасного получения сохраненных учетных данных в заданиях планировщика задач.
Чтобы удалить сохраненные учетные данные из Windows Vault с помощью PowerShell:
Remove-StoredCredential -Target woshub
Как извлечь сохраненные пароли из диспетчера учетных данных Windows
Вы можете использовать Get-StoredCredential Команда PowerShell для извлечения пароля в открытом виде, хранящегося в Credential Manager.
Список сохраненных учетных данных:
cmdkey.exe /list
Скопируйте Цель значение для объекта, пароль которого необходимо извлечь, и вставьте его в следующую команду:
$cred = Get-StoredCredential -Target LegacyGeneric:target=termsrv/MUNRDS1
[System.Runtime.InteropServices.Marshal]::PtrToStringAuto([System.Runtime.InteropServices.Marshal]::SecureStringToBSTR( $cred.Password))
Эти команды отображают сохраненный пароль пользователя открытым текстом.
Credman в виде обычного текста (см. пример здесь).