Диспетчер учетных данных в Windows 7
Диспетчер учетных данных, или Credential Manager - это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).
Например, мы хотим получить доступ к папке, находящейся на другом компьютере, и удаленный компьютер запрашивает наши учетные данные. Вводим логин, пароль и отмечаем галочкой пункт «Запомнить учетные данные».
Или, при подключении к удаленному рабочему столу разрешаем сохранение учетных данных, чтобы не вводить их каждый раз.
Все сохраненные таким образом учетные данные попадают в так называемое Хранилище Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле, хранилище - это просто более понятное название папки Credentials. Для доменных пользователей эта папка находится по адресу: C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Roaming\Microsoft), для локальных - C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Local\Microsoft). Все файлы в этой папке, естесственно, зашифрованы, и доступ к ним осуществляется как раз с помощью Диспетчера учетных данных.
Открыть его можно через Панель управления, или просто набрав в строке поиска Диспетчер учетных данных (Credentials Manager для англоязычной версии).
Вот так выглядит Диспетчер учетных данных. Все данные в нем сгруппированы по трем категориям:
Учетные данные Windows
(Windows Credentials) - это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
Учетные данные на основе сертификатов
(Certificate-Based Credentials) - предназначены для аутентификации с помощью смарт-карт;
Общие учетные данные
(Generic Credentials) - используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.
Все учетные данные можно развернуть и подробно посмотреть, а при желании и отредактировать.
Учетные данные можно не только сохранять в процессе подключения, но и вводить прямо в диспетчере. Для этого надо выбрать раздел и нажать на ссылку «Добавить учетные данные». В качестве примера добавим учетные данные для подключения к закрытому веб-сайту http://contoso.com в раздел «Общие учетные данные».
Теперь данные сохранены в хранилище, и при подключении к данному ресурсу не потребуется их вводить.
Строго говоря, с веб-сайтами история отдельная. Диспетчер учетных данных отвечает далеко не за все данные, используемые для для доступа к интернет-ресурсам. Большинство этих данных обрабатываются и хранятся в самом браузере. В Internet Explorer, например, есть для этого специальная функция автозаполнения (AutoComplete).
Этот недостаток попытались исправить в Windows 8, где в Диспетчере учетных данных есть отдельный раздел под названием «Учетные данные для Интернета». И если вы укажете сохранить, к примеру пароль от Яндекс-почты, то он будет сохранен именно здесь. Однако работает эта возможность только с Internet Explorer, остальные браузеры ей не пользуются и по прежнему хранят все данные у себя.
Архивирование и восстановление
Прямо под значком «Хранилище Windows» расположены две ссылки: «Архивирование хранилища» и «Восстановление хранилища». Таким образом учетные данные можно забекапить на случай удаления или повреждения хранилища, или перенести с одного компьютера на другой.
Архивирование данных осуществляется специальным мастером. Процедура несложная - указываем, куда сохранить архив (рекомендуется на съемный носитель), затем задаем пароль для доступа к нему. Пароль задается обязательно с использованием безопасного рабочего стола (Secure Desktop). Это необходимо даже в том случае, если безопасный рабочий стол отключен.
Восстановление проходит по схожему сценарию - указываем месторасположение архива и вводим пароль, также на Secure Desktop.
Диспетчер учетных данных особенно удобен при отсутствии домена, когда все разрешения на сетевые ресурсы прописываются локально. В этом случае архив учетных данных можно использовать для автоматизации процесса раздачи прав. Впрочем, диспетчером учетных данных можно пользоваться и в домене, для доступа к внешним ресурсам. В общем вещь полезная, специальной настройки не требует, данные сохраняет. Правда иногда отдельные учетные данные могут неожиданно пропадать, так что архив все же стоит делать.
Бьюсь об заклад, почти никто из вас не слышал о «Диспетчере учетных данных», не говоря уже о том, что это такое и как его использовать. Впрочем, до недавнего времени назначение этого инструмента оставалось загадкой и для меня, хотя и знал о его существовании. В этой статье я расскажу все, что мне известно о нем и как его использовать.
Что такое «Диспетчер учетных данных»?
«Диспетчер учетных данных» – это «цифровой сейф», в котором Windows хранит учетные данные (имя пользователя, пароли и т.д.) для других компьютеров в сети, серверов или веб-сайтов. Эти данные использует как сама операционная система, так и приложения, которые знают, как их использовать, например: инструменты, входящие в состав Windows Live Essentials, Microsoft Office, или приложения для запуска виртуальных машин.
Учетные данные разделены на три категории:
- «Учетные данные Windows» – используются только Windows и ее службами. К примеру, Windows может использовать эти данные для автоматического входа в общие папки на другом компьютере в вашей сети. Или, для хранения пароля домашней группы, к которой вы присоединены. Пользователь может изменять или удалять такие учетные данные, но это мы затронем в последующих разделах данное статьи.
- «Учетные данные на основе сертификата» – они используются вместе со смарт-картами, в основном в сложных сетевых бизнес-средах. Большинству из вас никогда не потребуется использовать эти учетные данные и этот раздел на ваших компьютерах будет пуст, но если вы хотите узнать о них больше, почитайте от Microsoft.
- «Общие учетные данные» – используются некоторыми программами для получения разрешения на использование определенных ресурсов. Самыми часто используемыми общими учетными данными является , который используется программами, включенными в пакет Windows Live Security Essentials.
Все эти учетные данные автоматически сохраняются и управляются Windows и приложениями, которые вы используете. Для просмотра учетных данных, хранящихся на компьютере, или для удаления или редактирования некоторых из них, используется «Диспетчер учетных данных».
Важно: в Windows 8 добавлен еще один тип учетных данных, который носит имя «Учетные данные для Интернета». Как следует из названия, такие данные используются браузером Internet Explorer для автоматической авторизации на определенных веб-сайтах.
«Учетные данные для Интернета» создаются и удаляются через встроенные в Internet Explorer функции для управления паролями. Вы не сможете создавать эти данные через «Диспетчер учетных данных» – можно только просматривать существующие и удалять их.
Как открыть «Диспетчер учетных данных»?
Один из способов открытия «Диспетчера учетных данных»: откройте «Панель управления», затем перейдите в раздел «Учетные записи пользователей и Семейная безопасность», ну а дальше выберите «Диспетчер учетных данных».
Наиболее распространенные учетные данные
На большинстве компьютеров с Windows 7 и Windows 8 вы увидите в основном одни и те же учетные данные. Среди наиболее распространенных:
- Детали для входа в домашнюю группу – здесь хранится имя пользователя (HomeGroupUser$) с паролем для доступа к домашней группе.
- virtualapp/di dlogical – об этих учетных данных известно очень мало. Некоторые говорят, что они используются функциями виртуализации, включенными в Windows 7 и Windows 8.
- WindowsLive – данные для входа в Windows Live ID.
Добавление учетных данных
Процесс добавления учетных данных очень простой. Во-первых, определитесь с типом учетных данных. Как из трех вам нужен?
Предположим, вы хотите добавить «Учетные данные Windows» для того, чтобы вы могли открывать папки на другом компьютере.
Дальше вам нужно ввести необходимые данные для входа. Сначала введите IP-адрес или имя компьютера. Далее введите имя пользователя, которое будет использоваться для входа. Кстати, не забудьте ввести имя компьютера перед именем пользователя, как показано на скриншоте ниже. Теперь введите пароль и нажмите кнопку «OK».
Учетные данные сохраняться и будут автоматически использоваться при каждом доступе к данному компьютеру вашей сети.
Удаление учетных данных
Для удаления учетных данных, сперва найдите их и раскройте, кликнув на их название или на стрелку справа.
Вас попросят подтвердить удаление. Нажмите на кнопку «Да».
Учетные данные удалены и больше не будут использоваться.
Редактирование существующих учетных данных
Чтобы изменить сведения о существующих учетных данных, как и в случае с удалением, найдите их и раскройте. Далее нажмите «Изменить».
После редактирования не забудьте нажать на кнопку «Сохранить», чтобы изменения вступили в силу.
Заключение
Как видим, «Диспетчер учетных данных» играет важную роль на вашем компьютере. Единственное, я пока не выяснил, насколько хорошо зашифрованы эти данные, поэтому буду и дальше изучать этот инструмент, и напишу о нем по крайней мере еще одну статью.
Отличного Вам дня!
Хранилище WindowsВ верхней части окна расположен значок Хранилища Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле «хранилище» - это просто более удобоваримое название папки «Credentials». На компьютерах, подключенных к домену, она расположена по адресу «C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft » (в англоязычной версии - «C:\Users\Имя_пользователя\AppData\Roaming\Microsoft »).
На компьютерах в пиринговой сети адрес другой - «C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft » ((в англоязычной версии - «C:\Users\Имя_пользователя\AppData\Local\Microsoft »). Файлы в этой папке, естественно, зашифрованы.
Архивация и восстановление Хранилища Windows Vault
Под значком Хранилища Windows расположены две ссылки: «Архивация хранилища» (Back Up Vault) и «Восстановление хранилища» (Restore Vault). Архивация не только позволяет иметь резервную копию на случай удаления или повреждения хранилища, но и облегчает перенос учетных данных с одного компьютера на другой.
Ссылка «Архивация хранилища» запускает мастер архивирования, состоящий из нескольких этапов (рис. D), включая доступ к безопасному рабочему столу (Secure Desktop) через ++ для создания пароля к резервной копии хранилища. Это необходимо даже в том случае, если безопасный рабочий стол обычно отключен.
Рисунок D. Во время архивации нужно получить доступ к безопасному рабочему столу и задать пароль к резервной копии хранилища.
Во время восстановления хранилища из резервной копии (рис. E) тоже нужен доступ к безопасному рабочему столу для ввода пароля.
Рисунок E. Чтобы восстановить хранилище из резервной копии, нужно получить доступ к безопасному рабочему столу и ввести пароль.
Типы учетных данных
В Диспетчере учетных данных все данные сгруппированы по трем категориям: «Учетные данные Windows» (Windows Credentials), «Учетные данные на основе сертификатов» (Certificate-Based Credentials) и «Общие учетные данные» (Generic Credentials).
Учетные данные Windows - это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу.
Учетные данные на основе сертификатов предназначены для смарт-карт и других устройств такого рода.
Общие учетные данные используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.
Стоит учитывать, что Диспетчер учетных данных отвечает далеко не за все данные, используемые для входа на веб-сайты. Большинство учетных данных в Internet Explorer, например, обрабатывается с помощью функции автозаполнения (AutoComplete).
Windows сохраняет пароли в обратимом виде не только в секретах LSA, но и в других местах.
Учетные записи сетевых служб
Windows сохраняет пароли в обратимом виде не только в секретах LSA, но и в других местах.Когда вы заходите на сетевой ресурс, например, общую папку, прокси-сервер с NTLM-аутентификацией, СУБД, почтовый сервер и.т.п, то часто вы можете сохранить свой пароль, просто поставив галочку в поле “Запомнить пароль”.
На самом деле в таких случаях Windows сохраняет имена пользователей и пароли в диспетчере учетных данных (Credential Manager). Хранение учетных данных позволяет Windows использовать технологию единого доступа (SSO), введенную еще в Windows XP. Благодаря SSO, каждый раз, когда пользователю необходимо аутентифицироваться на сетевом ресурсе, ему не нужно заново вводить свои учетные данные.
Пароли в диспетчере учетных данных шифруются с помощью подсистемы DPAPI, и их можно получить в незашифрованном виде .
В диспетчере учетных данных вы можете также просматривать, редактировать и добавлять информацию . На системах Windows Vista и выше диспетчер доступен в Control Panel\User Accounts and Family Safety\Credential Manager или Control Panel\User Accounts and Family Safety\User Accounts \\Manage your credentials (Панель управления\Учетные записи пользователей\Администрирование учетных записей).
Для схожих целей в Windows существует Защищенное хранилище (Protected Storage). Приложения типа Internet Explorer и Outluook Express сохраняют в защищенном хранилище пароли от почтовых учетных записей; почтовые пароли шифруются с помощью CryptoAPI, причем ключ шифрования генерируется из пользовательского пароля, следовательно, почтовые пароли также можно получить в незашифрованном виде .
Сторонние программы (Chrome, RealVNC Client, Thunderbird и др.) сохраняют пароли от web-сайтов разными способами: некоторые в реестре, другие с помощью Windows API сохраняют их в диспетчере учетных записей или в защищенном хранилище, третьи хранят пароли в файлах. Но в независимости от того, какой именно способ используется программой, пароли хранятся в обратимом виде, и, значит, у нас есть возможность получить незашифрованные пароли от сайтов.
Получение информации из диспетчера учетных записей
Способы взаимодействия с диспетчером учетных данных документированы Microsoft и применены в некоторых утилитах, позволяющих слить информацию из диспетчера.Также может успешно слить информацию из диспетчера учетных данных. Единственная проблема заключается в том, что утилита работает только локально, и поэтому, если на целевой системе прав устанавливать программное обеспечение у вас нет, лучше утилиту не использовать.
Не следует использовать пост-эксплойт модуль windows/gather/credentials/enum_cred_store из фреймворка Metasploit, так как модуль всегда завершается аварийно, вне зависимости от версии Windows.
Получение информации из защищенного хранилища
Первое место отдаю (pspv) от NirSoft. Утилита работает стабильно и представляет собой самостоятельный EXE-файл.А вот утилита в данном случае неэффективна, ее использовать не советую.
Получение учетных данных из сторонних программ
NirSoft предлагает широкий выбор утилит для получения учетных данных из стороннего программного обеспечения. Многие из этих утилит объединены в самостоятельный EXE-файл, carrot.Также если удалось запустить Meterpreter на целевой системе, то вам очень пригодятся фреймворк Metasploit: во фреймворке есть несколько пост-эксплойт модулей, специально для таких целей. Некоторые из модулей работают стабильно, а другие пока бета-версии и часто завершаются аварийно.
К каким угрозам ведет получение учетных записей сетевых служб
Во время анализа внутренней инфраструктуры сети вам, скорее всего, сначала удастся захватить простую рабочую станцию, а не сервер.Важный шаг на пути к компрометации всей сети – это получение информации о том, какую роль играет именно захваченная вами машина. Если рабочая станция используется ежедневно, то высоки шансы, что пользователь этой рабочей станции имеет доступ к корпоративной почте, внутренним web-сайтам, корпоративному прокси-серверу и другим службам. И, что еще более вероятно, пользователь везде, где можно выбрал “Запомнить пароль”.
“Бесплатный” доступ к таким корпоративным сервисам даже с правами низкопривилегированного пользователя на самом деле бесценен. Автоматический ввод учетных данных поможет вам расширить контроль в сети, а также показать заказчику, что к защите даже самой незначительной, удаленной от демилитаризованной зоны рабочей станции нужно подходить с особой внимательностью.
Очень часто пользователи для доступа к почте, общим папкам и другим сетевым ресурсам используют одни и те же пароли (иногда даже пароль совпадает с паролем учетной записи доменного пользователя), поэтому получение учетных записей сетевых служб имеет огромное значение во время теста на проникновение.
Описанные в этой статье утилиты я добавил в таблицу . Буду рад вашим отзывам и предложениям!
