Menedżer poświadczeń w systemie Windows 7 ​

Credential Manager lub Credential Manager to mechanizm, który umożliwia zarządzanie danymi uwierzytelniającymi użytkownika (loginem i hasłem) w celu uzyskania dostępu zasoby sieciowe, a także certyfikaty i poświadczenia dla różne zastosowania (E-mail, usługi sieciowe itp.).

Na przykład chcemy uzyskać dostęp do folderu znajdującego się na innym komputerze, a komputer zdalny prosi o nasze referencje. Wprowadź swoją nazwę użytkownika, hasło i zaznacz pole "Zapamiętaj dane uwierzytelniające".

Lub podczas łączenia się ze zdalnym pulpitem pozwalamy na zapisywanie danych uwierzytelniających, aby nie wprowadzać ich za każdym razem.

Wszystkie zapisane w ten sposób dane uwierzytelniające trafiają do tzw. Skarbca Windows, który domyślnie przechowuje wszystkie dane uwierzytelniające. W rzeczywistości skarbiec jest po prostu bardziej opisową nazwą folderu Credentials. W przypadku użytkowników domeny ten folder znajduje się pod adresem: C:\Users\Username\AppData\Roaming\Microsoft (w wersji angielskiej C:\Users\Username\AppData\Roaming\Microsoft), w przypadku użytkowników lokalnych — C:\Users\ Nazwa użytkownika\AppData\Local\Microsoft (w wersji angielskiej C:\Users\Username\AppData\Local\Microsoft). Wszystkie pliki w tym folderze są oczywiście zaszyfrowane, a dostęp do nich odbywa się za pomocą menedżera poświadczeń.

Możesz go otworzyć za pomocą Panelu sterowania lub po prostu wpisując Menedżera poświadczeń w pasku wyszukiwania (Menedżer poświadczeń dla wersji angielskiej).

Tak wygląda Menedżer poświadczeń. Wszystkie dane w nim pogrupowane są w trzy kategorie:

Poświadczenia Windows(Poświadczenia systemu Windows) to nazwy użytkownika i hasła używane do uzyskiwania dostępu do publicznych foldery sieciowe, witryny sieci Web korzystające ze zintegrowanego uwierzytelniania systemu Windows oraz podczas łączenia się ze zdalnym pulpitem;
Poświadczenia oparte na certyfikatach(Certificate-Based Credentials) - przeznaczone do uwierzytelniania za pomocą kart inteligentnych;
Poświadczenia ogólne(Poświadczenia ogólne) — używane aplikacje stron trzecich, które wymagają oddzielnej autoryzacji przy użyciu danych uwierzytelniających innych niż używane do logowania. Ta partycja może przechowywać prawie wszystkie poświadczenia zgodne ze standardami firmy Microsoft.

Wszystkie dane uwierzytelniające można rozszerzyć i wyświetlić szczegółowo, a w razie potrzeby edytować.

Poświadczenia można nie tylko zapisać podczas procesu połączenia, ale także wprowadzić bezpośrednio w dyspozytorze. Aby to zrobić, wybierz sekcję i kliknij link „Dodaj poświadczenia”. Jako przykład dodajmy poświadczenia, aby połączyć się z prywatną witryną internetową http://contoso.com do sekcji Ogólne poświadczenia.

Teraz dane są zapisywane w pamięci, a podczas łączenia się z ten zasób nie musisz ich wpisywać.

Ściśle mówiąc, strony internetowe to zupełnie inna historia. Menedżer poświadczeń nie jest odpowiedzialny za wszystkie dane używane do dostępu do zasobów internetowych. Większość tych danych jest przetwarzana i przechowywana w samej przeglądarce. W Internet Explorer, na przykład jest do tego specjalna funkcja autouzupełniania (Autouzupełnianie).

Ta wada została rozwiązana w systemie Windows 8, gdzie Menedżer poświadczeń ma osobną sekcję o nazwie „Poświadczenia internetowe”. A jeśli określisz, aby zapisać, na przykład hasło z poczty Yandex, zostanie ono zapisane tutaj. Jednak ta funkcja działa tylko z Internet Explorerem, inne przeglądarki nie używają jej i nadal przechowują wszystkie dane samodzielnie.

Archiwizacja i przywracanie

Bezpośrednio pod ikoną Windows Storage znajdują się dwa łącza: Backup Storage i Restore Storage. W ten sposób można wykonać kopię zapasową poświadczeń w przypadku usunięcia lub uszkodzenia pamięci masowej lub przeniesienia z jednego komputera na drugi.
Archiwizację danych przeprowadza specjalny kreator. Procedura jest prosta - wskazujemy gdzie zapisać archiwum (zalecane na nośniki wymienne), a następnie ustaw hasło, aby uzyskać do niego dostęp. Hasło należy ustawić za pomocą Bezpiecznego pulpitu. Jest to wymagane, nawet jeśli bezpieczny pulpit jest wyłączony.

Przywracanie przebiega według podobnego scenariusza - określ lokalizację archiwum i wprowadź hasło, również na Bezpiecznym pulpicie.

Credential Manager jest szczególnie przydatny w przypadku braku domeny, gdy wszystkie uprawnienia do zasobów sieciowych są rejestrowane lokalnie. W takim przypadku archiwum poświadczeń może zostać użyte do zautomatyzowania procesu dystrybucji uprawnień. Jednak Credential Manager może być również używany w domenie w celu uzyskania dostępu do zasobów zewnętrznych. Ogólnie rzecz jest przydatna, nie wymaga specjalnych ustawień, zapisuje dane. To prawda, że ​​czasami poszczególne dane uwierzytelniające mogą nagle zniknąć, więc archiwum nadal jest warte zrobienia.

Windows przechowuje hasła w odwracalnej formie nie tylko w sekretach LSA, ale także w innych miejscach.

Konta usług sieciowych

Windows przechowuje hasła w odwracalnej formie nie tylko w sekretach LSA, ale także w innych miejscach.

Gdy uzyskujesz dostęp do zasobu sieciowego, takiego jak folder współdzielony, serwer proxy z uwierzytelnianiem NTLM, DBMS, serwer poczty elektronicznej i tak dalej, często możesz zapisać swoje hasło, po prostu zaznaczając pole „Zapamiętaj hasło”.

W rzeczywistości w takich Przypadki Windows przechowuje nazwy użytkowników i hasła w menedżerze poświadczeń. Magazyn poświadczeń umożliwia systemowi Windows korzystanie z technologii Single Access (SSO) wprowadzonej w systemie Windows XP. Dzięki SSO za każdym razem, gdy użytkownik musi uwierzytelnić się w zasobach sieciowych, nie musi ponownie wprowadzać swoich poświadczeń.

Hasła w Menedżerze poświadczeń są szyfrowane przy użyciu podsystemu DPAPI i można je pobrać z niezaszyfrowane.

Możesz także wyświetlać, edytować i dodawać informacje w Menedżerze poświadczeń. Na Systemy Windows Dyspozytor z systemem Vista i wyższym jest dostępny w Panel sterowania\Konta użytkowników i bezpieczeństwo rodzinne\Menedżer poświadczeń lub Panel sterowania\Konta użytkowników i bezpieczeństwo rodzinne\Konta użytkowników \\Zarządzaj danymi logowania Konta Użytkownicy\Administracja kontem).

Do podobnych celów system Windows ma chronioną pamięć masową. Aplikacje takie jak Internet Explorer i Outlook Express przechowują hasła do kont e-mail w bezpiecznym miejscu; hasła e-mail są szyfrowane za pomocą CryptoAPI, z kluczem szyfrowania generowanym z hasło użytkownika, dlatego hasła do poczty można również uzyskać w niezaszyfrowane.

Programy innych firm (Chrome, RealVNC Client, Thunderbird itp.) zapisują hasła ze stron internetowych różne sposoby: niektóre w rejestrze, inne z Okna API przechowują je w menedżerze konta lub bezpiecznym magazynie, inne przechowują hasła w plikach. Ale niezależnie od metody używanej przez program, hasła są przechowywane w formie odwracalnej, a zatem mamy możliwość uzyskania niezaszyfrowanych haseł ze stron.

Uzyskiwanie informacji od Account Managera

Metody interakcji z menedżerem poświadczeń są udokumentowane przez firmę Microsoft i używane w niektórych narzędziach, które umożliwiają scalanie informacji z menedżera poświadczeń.

Może również skutecznie łączyć informacje z menedżera poświadczeń. Jedynym problemem jest to, że narzędzie działa tylko lokalnie, a zatem, jeśli nie masz uprawnień do instalowania oprogramowania w systemie docelowym, lepsza użyteczność nie używać.

Nie należy używać modułu post-exploit windows/gather/credentials/enum_cred_store z platformy Metasploit, ponieważ moduł zawsze ulega awarii, niezależnie od wersji systemu Windows.

Pobieranie informacji z bezpiecznego magazynu

Daję pierwsze miejsce (pspv) od NirSoft. Narzędzie działa stabilnie i jest niezależnym plikiem EXE.

Ale narzędzie w tym przypadku jest nieskuteczne, nie radzę go używać.

Uzyskiwanie danych uwierzytelniających z programów innych firm

NirSoft oferuje szeroką gamę narzędzi do uzyskiwania poświadczeń od strony trzeciej oprogramowanie. Wiele z tych narzędzi jest dołączonych do samodzielnego pliku EXE, marchewki.

Ponadto, jeśli udało Ci się uruchomić Meterpretera w systemie docelowym, framework Metasploit będzie dla Ciebie bardzo przydatny: framework ma kilka modułów post-exploit specjalnie do takich celów. Niektóre moduły są stabilne, podczas gdy inne wciąż są w fazie beta i często ulegają awarii.

Do jakich zagrożeń prowadzi uzyskiwanie kont usług sieciowych?

Analizując wewnętrzną infrastrukturę sieci, najprawdopodobniej będziesz w stanie najpierw uchwycić prostą stację roboczą, a nie serwer.

Ważnym krokiem w kierunku skompromitowania całej sieci jest uzyskanie informacji o roli, jaką odgrywa przechwycona maszyna. Jeśli stacja robocza jest używana na co dzień, istnieje duże prawdopodobieństwo, że użytkownik tego stanowisko pracy ma dostęp do poczta firmowa, wewnętrzne strony internetowe, korporacyjne proxy i inne usługi. A jeszcze bardziej prawdopodobne jest, że użytkownik wybrał opcję „Zapamiętaj hasło” tam, gdzie to możliwe.

„Bezpłatny” dostęp do takich usług korporacyjnych, nawet dla użytkownika o niskich przywilejach, jest naprawdę bezcenny. Automatyczne wprowadzanie danych uwierzytelniających pomoże zwiększyć kontrolę nad siecią, a także pokaże klientowi, że nawet do najmniej znaczącej stacji roboczej, oddalonej od strefy DMZ, należy podchodzić ze szczególną ostrożnością.

Bardzo często użytkownicy używają tych samych haseł, aby uzyskać dostęp do poczty, folderów współdzielonych i innych zasobów sieciowych (czasami nawet hasło jest takie samo jak hasło konta użytkownika domeny), więc uzyskanie kont usług sieciowych ma ogromne znaczenie podczas testu penetracyjnego .

Do tabeli dodałem narzędzia opisane w tym artykule. Będę wdzięczny za Wasze opinie i sugestie!

Credential Manager, czyli Credential Manager, to mechanizm, który pozwala zarządzać danymi rejestracyjnymi użytkownika (loginem i hasłem) w celu uzyskania dostępu do zasobów sieciowych, a także certyfikatami i danymi uwierzytelniającymi dla różnych aplikacji (poczta e-mail, serwisy WWW itp.).

Załóżmy na przykład, że chcemy uzyskać dostęp do folderu na innym komputerze, a komputer zdalny prosi o nasze poświadczenia. Wprowadź swoją nazwę użytkownika, hasło i zaznacz pole "Zapamiętaj dane uwierzytelniające". Lub podczas łączenia się ze zdalnym pulpitem pozwalamy na zapisywanie danych uwierzytelniających, aby nie wprowadzać ich za każdym razem.

Ściśle mówiąc, strony internetowe to zupełnie inna historia. Menedżer poświadczeń nie jest odpowiedzialny za wszystkie dane używane do dostępu do zasobów internetowych. Większość tych danych jest przetwarzana i przechowywana w samej przeglądarce Internet Explorer, która ma do tego specjalną funkcję Autouzupełniania.

Ten niuans został naprawiony w systemie Windows 8, gdzie Menedżer poświadczeń ma osobną sekcję o nazwie „Poświadczenia internetowe”. A jeśli określisz, aby zapisać, na przykład hasło z poczty Yandex, zostanie ono zapisane tutaj. Jednak ta funkcja działa tylko z Internet Explorerem, inne przeglądarki nie używają jej i nadal przechowują wszystkie dane samodzielnie.

Wszystkie zapisane w ten sposób dane uwierzytelniające trafiają do tzw. Skarbca Windows, który domyślnie przechowuje wszystkie dane uwierzytelniające. W rzeczywistości skarbiec jest po prostu bardziej opisową nazwą folderu Credentials. W przypadku użytkowników domeny ten folder znajduje się pod adresem:

C:\Użytkownicy\Nazwa użytkownika\AppData\Roaming\Microsoft

(w wersji angielskiej C:\Użytkownicy\Nazwa użytkownika\AppData\Roaming\Microsoft),

dla lokalnego — C:\Użytkownicy\Nazwa użytkownika\AppData\Local\Microsoft

(w wersji angielskiej C:\Użytkownicy\Nazwa użytkownika\AppData\Local\Microsoft).

Wszystkie pliki w tym folderze są oczywiście zaszyfrowane, a dostęp do nich odbywa się za pomocą menedżera poświadczeń.

Możesz go otworzyć za pomocą Panelu sterowania lub po prostu wpisując Menedżera poświadczeń w pasku wyszukiwania (Menedżer poświadczeń dla wersji angielskiej).

Wszystkie dane w Menedżerze poświadczeń są pogrupowane w trzy kategorie:
Poświadczenia Windows(Poświadczenia systemu Windows) — są to nazwy i hasła używane do uzyskiwania dostępu do udziałów sieciowych, witryn internetowych korzystających ze zintegrowanego uwierzytelniania systemu Windows, a także podczas łączenia się ze zdalnym pulpitem;
Poświadczenia oparte na certyfikatach(Certificate-Based Credentials) - przeznaczone do uwierzytelniania za pomocą kart inteligentnych;
Poświadczenia ogólne(Poświadczenia ogólne) — używane przez aplikacje innych firm, które wymagają oddzielnej autoryzacji przy użyciu poświadczeń innych niż używane do logowania. Ta partycja może przechowywać prawie wszystkie poświadczenia zgodne ze standardami firmy Microsoft.

Założę się, że prawie nikt z was nie słyszał o Credential Manager, nie mówiąc już o tym, czym jest i jak z niego korzystać. Jednak do niedawna przeznaczenie tego narzędzia pozostawało dla mnie zagadką, chociaż wiedziałem o jego istnieniu. W tym artykule opowiem Ci wszystko, co o nim wiem i jak z niego korzystać.

Co to jest menedżer poświadczeń?

„Menedżer poświadczeń” to „cyfrowy sejf”, w którym system Windows przechowuje poświadczenia (nazwę użytkownika, hasła itp.) dla innych komputerów w sieci, serwerów lub witryn internetowych. Te dane są używane jako system operacyjny oraz aplikacje, które wiedzą, jak z nich korzystać, na przykład: narzędzia zawarte w Windows Live niezbędniki, Microsoft Office lub aplikacje do uruchamiania maszyn wirtualnych.

Poświadczenia są podzielone na trzy kategorie:

• „Poświadczenia Windows”– używany tylko przez system Windows i jego usługi. Na przykład system Windows może użyć tych danych, aby automatycznie zalogować się do udostępnione foldery na innym komputerze w Twojej sieci. Lub, aby zapisać hasło grupy domowej, której jesteś członkiem. Użytkownik może zmienić lub usunąć takie poświadczenia, ale omówimy to w dalszej części tego artykułu.
• „Poświadczenia oparte na certyfikacie”– są używane razem z kartami inteligentnymi, głównie w złożonych sieciowych środowiskach biznesowych. Większość z was nigdy nie będzie musiała używać tych poświadczeń, a ta sekcja będzie pusta na waszych komputerach, ale jeśli chcesz dowiedzieć się o nich więcej, przeczytaj od Microsoft.
• „Poświadczenia ogólne”- są używane przez niektóre programy w celu uzyskania pozwolenia na korzystanie z określonych zasobów. Najczęściej używanym poświadczeniem ogólnym jest , które jest używane przez programy zawarte w pakiecie Windows Live Security Essentials.

Wszystkie te poświadczenia są automatycznie przechowywane i zarządzane przez system Windows i używane aplikacje. Aby wyświetlić poświadczenia przechowywane na komputerze lub usunąć lub edytować niektóre z nich, użyj Menedżera poświadczeń.

Ważny: Windows 8 dodał inny rodzaj poświadczeń o nazwie „Poświadczenia internetowe”. Jak sama nazwa wskazuje, dane te są wykorzystywane przeglądarka internetowa Explorer do automatycznej autoryzacji na niektórych stronach internetowych.

„Poświadczenia internetowe” są tworzone i usuwane za pomocą wbudowanych funkcji zarządzania hasłami przeglądarki Internet Explorer. Nie będziesz w stanie utworzyć tych danych za pomocą "Menedżera poświadczeń" - możesz tylko przeglądać istniejące i usuwać je.

Jak otworzyć menedżera poświadczeń?

Jednym ze sposobów otwarcia Menedżera poświadczeń jest otwarcie Panelu sterowania, następnie przejście do Konta użytkowników i Bezpieczeństwo rodzinne, a następnie wybranie Menedżera poświadczeń.

Najpopularniejsze poświadczenia

Na większości komputerów z systemem Windows 7 i Windows 8 zobaczysz zasadniczo te same poświadczenia. Wśród najczęstszych:

• Szczegóły dotyczące logowania do grupy domowej- nazwa użytkownika (HomeGroupUser$) jest przechowywana tutaj wraz z hasłem dostępu do grupy domowej.
• wirtualna aplikacja/didlogiczny– Niewiele wiadomo o tych referencjach. Niektórzy twierdzą, że są używane przez funkcje wirtualizacji zawarte w Windows 7 i Windows 8.
• Windows Live- Informacje logowania do identyfikatora Windows Live.

Dodawanie poświadczeń

Proces dodawania poświadczeń jest bardzo prosty. Najpierw zdecyduj o rodzaju poświadczenia. Którego z trzech potrzebujesz?

Załóżmy, że chcesz dodać „Poświadczenia systemu Windows”, aby móc otwierać foldery na innym komputerze.

Następnie musisz wprowadzić wymagane dane logowania. Najpierw wprowadź adres IP lub nazwę komputera. Następnie wprowadź nazwę użytkownika, która będzie używana do logowania. Przy okazji, nie zapomnij wpisać nazwy komputera przed nazwą użytkownika, jak pokazano na poniższym zrzucie ekranu. Teraz wprowadź hasło i kliknij OK.

Poświadczenia są przechowywane i będą automatycznie używane za każdym razem, gdy uzyskasz dostęp ten komputer Twoja sieć.

Usuń poświadczenia

Aby usunąć dane uwierzytelniające, najpierw znajdź je i rozwiń, klikając ich nazwę lub strzałkę po prawej stronie.

Zostaniesz poproszony o potwierdzenie usunięcia. Kliknij przycisk „Tak”.

Poświadczenia zostały usunięte i nie będą już używane.

Edycja istniejących poświadczeń

Aby zmienić szczegóły istniejącego poświadczenia, tak jak w przypadku usuwania, zlokalizuj je i rozwiń. Następnie kliknij „Edytuj”.

Po edycji nie zapomnij kliknąć przycisku „Zapisz”, aby zmiany zaczęły obowiązywać.

Wniosek

Jak widać, "Menedżer poświadczeń" odgrywa ważną rolę na twoim komputerze. Jedyną rzeczą jest to, że nie zorientowałem się jeszcze, jak dobrze te dane są zaszyfrowane, więc będę dalej studiował to narzędzie i napiszę o nim jeszcze co najmniej jeden artykuł.

Miłego dnia!

Pamięć Windows

W górnej części okna znajduje się ikona Windows Vault, która domyślnie przechowuje wszystkie poświadczenia. W rzeczywistości „skarbiec” to po prostu bardziej przyswajalna nazwa folderu „Poświadczenia”. Na komputerach przyłączonych do domeny znajduje się on pod adresem „ C:\Użytkownicy\Nazwa użytkownika\AppData\Roaming\Microsoft"(w wersji angielskiej -" C:\Użytkownicy\Nazwa użytkownika\AppData\Roaming\Microsoft»).

Na komputerach w sieci peer-to-peer adres jest inny - ” C:\Użytkownicy\Nazwa użytkownika\AppData\Local\Microsoft"((w wersji angielskiej -" C:\Użytkownicy\Nazwa użytkownika\AppData\Local\Microsoft"). Pliki w tym folderze są naturalnie zaszyfrowane.

Tworzenie kopii zapasowej i przywracanie Windows Vault

Poniżej ikony Windows Vault znajdują się dwa łącza: Utwórz kopię zapasową skarbca i przywróć skarbiec. Archiwizacja nie tylko umożliwia utworzenie kopii zapasowej na wypadek usunięcia lub uszkodzenia skarbca, ale także ułatwia przenoszenie poświadczeń z jednego komputera na drugi.

Łącze „Backup Vault” uruchamia wieloetapowy kreator archiwizacji (Rysunek D), w tym dostęp do Bezpiecznego pulpitu za pośrednictwem ++ w celu utworzenia hasła dla utworzyć kopię zapasową przechowywanie. Jest to konieczne, nawet jeśli bezpieczny pulpit jest normalnie wyłączony.

Rysunek D Podczas tworzenia kopii zapasowej musisz uzyskać dostęp do bezpiecznego pulpitu i ustawić hasło do kopii zapasowej skarbca.

Podczas przywracania skarbca z kopii zapasowej (Rysunek E) potrzebny jest również dostęp do bezpiecznego pulpitu w celu wprowadzenia hasła.

Rysunek E Aby przywrócić sejf z kopii zapasowej, musisz uzyskać dostęp do bezpiecznego pulpitu i wprowadzić hasło.

Rodzaje poświadczeń

W menedżerze poświadczeń wszystkie dane są pogrupowane w trzy kategorie: poświadczenia systemu Windows, poświadczenia oparte na certyfikacie i poświadczenia ogólne.

Poświadczenia systemu Windows to nazwy użytkownika i hasła używane do uzyskiwania dostępu do udziałów sieciowych, witryn internetowych korzystających ze zintegrowanego uwierzytelniania systemu Windows oraz połączeń pulpitu zdalnego.
Poświadczenia oparte na certyfikacie dotyczą kart inteligentnych i innych podobnych urządzeń.
Udostępnione poświadczenia są używane przez aplikacje innych firm, które wymagają oddzielnej autoryzacji przy użyciu poświadczeń innych niż te używane do logowania. Ta partycja może przechowywać prawie wszystkie poświadczenia zgodne ze standardami firmy Microsoft.

Należy pamiętać, że Menedżer poświadczeń nie ponosi odpowiedzialności za wszystkie dane używane do logowania się na stronach internetowych. Na przykład większość poświadczeń w programie Internet Explorer jest przetwarzana przy użyciu funkcji autouzupełniania.