Quản lý Mật khẩu Đã lưu bằng Trình quản lý Chứng danh Windows

0
37

Trình quản lý Chứng danh Windows cho phép lưu thông tin đăng nhập (tên người dùng và mật khẩu) để truy nhập tài nguyên mạng, trang web và ứng dụng. Với Trình quản lý Chứng danh Windows, bạn có thể tự động kết nối với tài nguyên từ xa mà không cần nhập mật khẩu. Ứng dụng có thể tự truy cập Trình quản lý thông tin xác thực và sử dụng mật khẩu đã lưu.

Nội dung:
  • Sử dụng Trình quản lý Chứng danh để Lưu trữ Mật khẩu trong Windows
  • Truy nhập Trình quản lý Chứng danh Windows từ PowerShell

Sử dụng Trình quản lý Chứng danh để Lưu trữ Mật khẩu trong Windows

Trình quản lý chứng danh xuất hiện trong Windows 7 và được định vị là một nơi khá an toàn để giữ mật khẩu của bạn.

Trình quản lý Chứng danh trên Windows 10 có thể giữ các loại tài khoản sau:

  • Thông tin đăng nhập Windows – thông tin đăng nhập để đăng nhập vào Windows hoặc truy cập máy tính từ xa, mật khẩu đã lưu cho kết nối RDP, mật khẩu cho các trang web có hỗ trợ xác thực Windows tích hợp, v.v.
    Trình quản lý Chứng danh Windows không lưu trữ chứng danh để đăng nhập tự động Windows hoặc chứng danh đệm ẩn miền.
  • Thông tin xác thực dựa trên chứng chỉ – để xác thực bằng thẻ thông minh;
  • Thông tin đăng nhập chung – được sử dụng bởi các ứng dụng của bên thứ ba tương thích với Trình quản lý thông tin xác thực;
  • Thông tin đăng nhập web – mật khẩu đã lưu trong Edge và IE, các ứng dụng microsoft (MS Office, Teams, Outlook, Skype, v.v.).

Ví dụ: nếu bạn bật tùy chọn ” Save Password ” khi truy cập thư mục mạng được chia sẻ, mật khẩu bạn nhập sẽ được lưu trong Trình quản lý thông tin xác thực.

save credentials to access network shared in windows credential manager

Theo cách tương tự, mật khẩu để kết nối với máy chủ RDP/RDS từ xa được lưu trong máy khách kết nối máy tính để bàn từ xa (mstsc.exe).

save RDP password to Windows Credential Manager

Ngoài ra, trình quản lý thông tin đăng nhập giữ mật khẩu người dùng nếu chúng được lưu bằng lệnh runas /savecred.

Bạn có thể truy cập Trình quản lý Chứng danh trong Windows 10 từ Pa-nen Điều khiển cổ điển ( Control PanelUser AccountsCredential Manager ).

Như bạn có thể thấy, có hai mật khẩu trong Trình quản lý thông tin xác thực mà chúng tôi đã lưu trước đó.

list saved credential in windows

Mật khẩu đã lưu cho kết nối RDP được chỉ định theo định TERMSRVhostname dạng.

Tại đây, bạn có thể thêm chứng danh đã lưu, sửa nó (bạn không thể xem mật khẩu đã lưu trong giao diện đồ họa) hoặc xóa bất kỳ mục nào.

Ngoài ra, bạn có thể sử dụng giao diện cổ điển của Lưu trữ tên người dùng và mật khẩu, để quản lý mật khẩu đã lưu. Để gọi nó, hãy chạy lệnh bên dưới:

rundll32.exe keymgr.dll,KRShowKeyMgr

Stored User Names and Passwords on Windows 10

Tại đây, bạn cũng có thể quản lý thông tin đăng nhập đã lưu và nó có một số tính năng sao lưu và khôi phục cho Trình quản lý Chứng danh (bạn có thể sử dụng chúng để chuyển cơ sở dữ liệu Trình quản lý Chứng danh sang máy tính khác).

Công vaultcmd cụ này được sử dụng để quản lý trình quản lý thông tin xác thực từ dấu nhắc lệnh. Ví dụ: để hiển thị danh sách Chứng danh Windows đã lưu, hãy chạy lệnh này:

vaultcmd /listcreds:"Windows Credentials"

vaultcmd - manage saved windows credentials command prompt

Sơ đồ thông tin đăng nhập: Tài nguyên thông tin xác
thực mật khẩu miền Windows: Domain:target=mun-dc01 danh
tính: RESDOMj.brion
ẩn: không chuyển
vùng: không có thuộc tính
(sơ đồ phần tử id,giá trị): (100,3)
thuộc tính (sơ đồ phần tử id,giá trị): (101,SspiPfAc)

Lệnh sau sẽ xóa tất cả mật khẩu RDP đã lưu khỏi Trình quản lý Chứng danh:

For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H

Tất cả mật khẩu đã lưu được lưu trữ trong Kho lưu trữ của Windows. Windows Vault là một cửa hàng được bảo vệ để giữ bí mật, mật khẩu và thông tin nhạy cảm khác của người dùng. Trong Windows Vault, dữ liệu được cấu trúc và trông giống như một tập hợp các mục thuộc chương trình Vault. Tập hợp các khóa mã hóa cho windows vault mục được lưu trữ trong tệp Policy.vpol.

Đối với người dùng miền, nó nằm trong %userprofile%AppDataRoamingMicrosoftVault .

Đối với người dùng cục bộ, bạn có thể tìm thấy nó trong %userprofile%AppDataLocalMicrosoftVault .

Policy.vpol - Windows Vault Policy File

Dịch vụ VaultSvc phải đang chạy khi sử dụng trình quản lý chứng danh:

Get-Service VaultSvc

Nếu dịch vụ bị vô hiệu hoá, bạn sẽ thấy lỗi sau khi cố gắng truy cập trình quản lý thông tin đăng nhập:

Lỗi Quản lý Chứng
danh Dịch vụ Quản lý Chứng danh không chạy. Bạn có thể khởi động dịch vụ theo cách thủ công bằng cách sử dụng phần đính vào dịch vụ hoặc khởi động lại máy tính của bạn để khởi động dịch vụ.
Mã lỗi: 0x800706B5
báo lỗi: giao diện không xác định.

Nếu bạn muốn ngăn người dùng lưu mật khẩu mạng trong Trình quản lý Thông tin xác thực, hãy bật truy cập mạng: Không cho phép lưu trữ mật khẩu và thông tin đăng nhập cho tùy chọn GPO xác thực mạng trong Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật.

GPO: Network access: Do not allow storage of passwords and credentials for network authentication

Sau đó, nếu người dùng cố gắng lưu mật khẩu vào cửa hàng Windows Vault, họ sẽ thấy lỗi sau:

Lỗi Quản lý Chứng
danh Không thể lưu chứng danh. Để lưu chứng danh trong két này, hãy kiểm tra cấu hình máy tính của bạn.
Mã lỗi: 0x80070520
báo lỗi: phiên đăng nhập được chỉ định không tồn tại. Nó có thể đã bị chấm dứt.

Truy nhập Trình quản lý Chứng danh Windows từ PowerShell

Windows không có lệnh ghép ngắn tích hợp để truy cập cửa hàng PasswordVault từ PowerShell. Nhưng bạn có thể sử dụng mô-đun CredentialManager từ bộ sưu tập PowerShell.

Cài đặt mô-đun:

Install-Module CredentialManager

Bạn có thể hiển thị danh sách lệnh ghép ngắn trong mô-đun CredentialManager:

Get-Command -module CredentialManager

CredentialManager powershell module

Mô-đun chỉ có 4 lệnh ghép ngắn:

  • Get-StoredCredential – để nhận thông tin đăng nhập từ Kho lưu trữ Windows;
  • Get-StrongPassword – để tạo mật khẩu ngẫu nhiên;
  • New-StoredCredential – để thêm thông tin đăng nhập;
  • Remove-StoredCredential – để xóa thông tin đăng nhập.

Để thêm chứng danh mới vào Trình quản lý Chứng danh Windows, hãy chạy lệnh này:

New-StoredCredential -Target 'woshub' -Type Generic -UserName 'maxbak@woshub.com' -Password 'Pass321-b' -Persist 'LocalMachine'

Create a credential object for PowerShell automation using New-StoredCredential

Để đảm bảo nếu bất kỳ thông tin đăng nhập người dùng đã lưu nào tồn tại trong Trình quản lý Chứng danh:

Get-StoredCredential -Target woshub

Bạn có thể sử dụng mật khẩu đã lưu từ Trình quản lý Thông tin xác thực trong tập lệnh PowerShell của mình. Ví dụ: tôi có thể lấy tên và mật khẩu đã lưu từ Kho lưu trữ Windows dưới dạng đối tượng PSCredential và kết nối với Exchange Online từ PowerShell:

$psCred = Get-StoredCredential -Target "woshub"
Connect-MSolService -Credential $psCred

Ngoài ra, hãy lưu ý một mô-đun Quản lý Bí mật PowerShell mới mà bạn có thể sử dụng để lưu trữ mật khẩu một cách an toàn trong Windows. Nó hỗ trợ một số kho mật khẩu: KeePass, LastPass, HashiCorp Vault, Azure Key Vault, Bitwarden.

Để loại bỏ chứng danh khỏi Kho lưu trữ của Windows, hãy chạy lệnh này:

Remove-StoredCredential -Target woshub

Bạn không thể hiển thị mật khẩu dưới dạng văn bản thuần túy bằng cách sử dụng các công cụ CLI tích hợp. Nhưng, bạn có thể sử dụng các tiện ích giống Mimikatz để lấy mật khẩu đã lưu từ credman văn bản thuần túy (xem ví dụ ở đây).

Dịch từ: http://woshub.com/saved-passwords-windows-credential-manager/

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây