Windowsi mandaadihaldur võimaldab salvestada mandaate (kasutajanimesid ja paroole), et pääseda juurde võrguressurssidele, veebisaitidele ja rakendustele. Windowsi mandaadihalduriga saate kaugressurssidega automaatselt ühenduse luua ilma parooli sisestamata. Rakendused pääsevad mandaadihaldurile ise juurde ja saavad kasutada salvestatud paroole.
Sisu:
- Mandaadihalduri kasutamine paroolide salvestamiseks Windowsis
- Windowsi mandaadihalduri juurdepääs PowerShellist
Mandaadihalduri kasutamine paroolide salvestamiseks Windowsis
Mandaadihaldur ilmus operatsioonisüsteemis Windows 7 ja see on üsna turvaline koht paroolide hoidmiseks.
Windows 10 mandaadihaldur võib säilitada järgmist tüüpi kontosid.
-
Windowsi mandaat – mandaadid Windowsi sisselogimiseks või kaugarvutitele juurdepääsuks, salvestatud paroolid RDP ühenduste jaoks, integreeritud Windowsi autentimistoega veebisaitide paroolid jne;Windowsi mandaadihaldur ei salvesta mandaate Windowsi automaatne sisselogimine või domeeni vahemällu salvestatud mandaadid.
- Sertifikaadipõhised volikirjad – autentida kiipkaartide abil;
- Üldised volitused – neid kasutavad mandaadihalduriga ühilduvad kolmanda osapoole rakendused;
- Veebimandaadid – salvestatud paroolid Edge'is ja IE-s, Microsofti rakendustes (MS Office, Teams, Outlook, Skype jne).
Näiteks kui lubate "Save Password
” suvandit jagatud võrgukausta juurde pääsemisel salvestatakse sisestatud parool mandaadihaldurisse.
Samamoodi salvestatakse kaugtöölauaühenduse (mstsc.exe) klienti kaug-RDP/RDS-hostiga ühenduse loomise parool.
Windows 10 mandaadihaldurile pääsete juurde klassikaliselt juhtpaneelilt (Control Panel\User Accounts\Credential Manager
).
Nagu näete, on Credential Manageris kaks parooli, mille me varem salvestasime.
RDP-ühenduse jaoks salvestatud parool on määratud TERMSRV\hostname
vormingus.
Siin saate lisada salvestatud mandaadi, seda redigeerida (salvestatud parooli ei saa graafilises liideses vaadata) või kirjeid kustutada.
Samuti saate kasutada klassikalist liidest Salvestatud kasutajanimed ja paroolid, et hallata salvestatud paroole. Selle helistamiseks käivitage allolev käsk:
rundll32.exe keymgr.dll, KRShowKeyMgr
Siin saate hallata ka salvestatud mandaate ning sellel on mõned Credential Manageri varundamise ja taastamise funktsioonid (saate neid kasutada Credential Manageri andmebaasi teise arvutisse ülekandmiseks).
The vaultcmd
tööriista kasutatakse mandaadihalduri haldamiseks käsurealt. Näiteks salvestatud Windowsi mandaatide loendi kuvamiseks käivitage järgmine käsk:
vaultcmd /listcreds:"Windows Credentials"
Mandaadiskeem: Windowsi domeeni parooli mandaat. Allikas: Domeen: target=mun-dc01. Identiteet: RESDOM\j.brion. Peidetud: Ei. Rändlus: Ei. Atribuut (skeemi elemendi ID, väärtus): (100,3) Atribuut (skeemi elemendi ID, väärtus): (101,SspiPfAc)
Järgmine käsk kustutab kõik salvestatud RDP paroolid mandaadihaldurist:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
Kõik salvestatud paroolid salvestatakse Windows Vault. Windows Vault on kaitstud pood saladuste, paroolide ja muu tundliku kasutajateabe hoidmiseks. Windows Vaultis on andmed struktureeritud ja näevad välja nagu Vaulti skeemi kuuluvate kirjete komplekt. Windows Vaulti kirjete krüpteerimisvõtmete komplekt on talletatud Policy.vpol faili.
Domeeni kasutajate jaoks asub see %userprofile%\AppData\Roaming\Microsoft\Vault
.
Kohalike kasutajate jaoks leiate selle siit %userprofile%\AppData\Local\Microsoft\Vault
.
The VaultSvc teenus peab mandaadihalduri kasutamisel töötama:
Get-Service VaultSvc
Kui teenus on keelatud, näete mandaadihaldurile juurdepääsu proovimisel järgmist tõrget:
Mandaadihalduri viga. Mandaadihalduri teenus ei tööta. Teenuse saate teenuse käivitamiseks käsitsi käivitada, kasutades teenuste lisandmoodulit, või taaskäivitada arvuti. Veakood: 0x800706B5. Veateade: liides on tundmatu.
Kui soovite takistada kasutajatel võrguparoolide salvestamist mandaadihaldurisse, lubage Juurdepääs võrgule: ärge lubage võrgu autentimiseks paroolide ja mandaatide salvestamist GPO valik jaotises Arvuti konfiguratsioon -> Windowsi sätted -> Turvasätted -> Kohalikud poliitikad -> Turvasuvandid.
Kui kasutaja proovib parooli Windows Vaulti poodi salvestada, kuvatakse järgmine tõrge:
Mandaadihalduri viga. Mandaate ei saa salvestada. Sellesse hoidlasse mandaatide salvestamiseks kontrollige oma arvuti konfiguratsiooni. Veakood: 0x80070520. Veateade: määratud sisselogimisseanssi pole olemas. See võib olla juba lõpetatud.
Windowsi mandaadihalduri juurdepääs PowerShellist
Windowsil pole sisseehitatud cmdlet-käske, et pääseda PowerShellist PasswordVaulti poodi. Kuid võite kasutada Credential Manager moodul PowerShelli galeriist.
Installige moodul:
Install-Module CredentialManager
Saate kuvada cmdlet-käskude loendi moodulis CredentialManager.
Get-Command -module CredentialManager
Moodulil on ainult 4 cmdlet-käsku:
-
Get-StoredCredential
– mandaatide hankimiseks Windows Vaultist; -
Get-StrongPassword
- kuni genereerida juhuslik parool; -
New-StoredCredential
– mandaatide lisamiseks; -
Remove-StoredCredential
– mandaatide eemaldamiseks.
Windowsi mandaadihaldurisse uute mandaatide lisamiseks käivitage see käsk:
New-StoredCredential -Target 'woshub' -Type Generic -UserName '[email protected]' -Password 'Pass321-b' -Persist 'LocalMachine'
Kontrollimaks, kas mandaadihalduris on salvestatud kasutaja mandaate, tehke järgmist.
Get-StoredCredential -Target woshub
Saate oma PowerShelli skriptides kasutada Credential Manageri salvestatud paroole. Näiteks saan Windows Vaultist saada salvestatud nime ja parooli PSCredential objektina ja Ühendage PowerShellist Exchange Online'iga:
$psCred = Get-StoredCredential -Target "woshub"
Connect-MSolService -Credential $psCred
Mandaatide eemaldamiseks Windows Vaultist käivitage see käsk:
Remove-StoredCredential -Target woshub
Sisseehitatud CLI-tööriistade abil ei saa paroole lihttekstina kuvada. Kuid salvestatud paroolide hankimiseks võite kasutada Mimikatzi-laadseid utiliite credman
lihttekstina (vt näidet siin).