Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

WindowsCredentialManagerを使用した保存されたパスワードの管理

Windowsクレデンシャルマネージャー ネットワークリソース、Webサイト、およびアプリにアクセスするための資格情報(ユーザー名とパスワード)を保存できます。 Windows Credential Managerを使用すると、パスワードを入力せずにリモートリソースに自動的に接続できます。アプリは自分自身で資格情報マネージャーにアクセスし、保存されたパスワードを使用できます。

内容:

  • CredentialManagerを使用してWindowsにパスワードを保存する
  • PowerShellからWindowsクレデンシャルマネージャーにアクセスする

クレデンシャルマネージャーを使用してWindowsにパスワードを保存する

クレデンシャルマネージャーはWindows7に登場し、パスワードを保持するのに非常に安全な場所として位置付けられています。

Windows10のクレデンシャルマネージャーは、次の種類のアカウントを保持できます。

  • Windowsクレデンシャル – Windowsにログオンするため、またはリモートコンピューターにアクセスするための資格情報、RDP接続用に保存されたパスワード、統合Windows認証サポートを備えたWebサイト用のパスワードなど。Windows資格情報マネージャーは、自動ログインWindowsまたはドメインのキャッシュ資格情報の資格情報を保存しません。
  • 証明書ベースの資格情報 –スマートカードを使用して認証する;
  • 一般的な資格情報 –CredentialManagerと互換性のあるサードパーティアプリによって使用されます。
  • Webクレデンシャル – EdgeおよびIE、Microsoftアプリ(MS Office、Teams、Outlook、Skypeなど)に保存されたパスワード。

たとえば、「Save Password」を有効にした場合 共有ネットワークフォルダにアクセスするときに「」オプションを選択すると、入力したパスワードが資格情報マネージャに保存されます。

WindowsCredentialManagerを使用した保存されたパスワードの管理

同様に、リモートRDP / RDSホストに接続するためのパスワードは、リモートデスクトップ接続(mstsc.exe)クライアントに保存されます。

WindowsCredentialManagerを使用した保存されたパスワードの管理

また、ユーザーパスワードがrunas / savecredコマンドを使用して保存されている場合、資格情報マネージャーはユーザーパスワードを保持します。

Windows 10のクレデンシャルマネージャーには、従来のコントロールパネル(Control Panel\User Accounts\Credential Manager)からアクセスできます。 。

ご覧のとおり、以前に保存した資格情報マネージャーには2つのパスワードがあります。

WindowsCredentialManagerを使用した保存されたパスワードの管理

RDP接続用に保存されたパスワードは、TERMSRV\hostnameで指定されます フォーマット。

ここで、保存されたクレデンシャルを追加したり、編集したり(グラフィックインターフェイスで保存されたパスワードを表示することはできません)、エントリを削除したりできます。

また、保存されたユーザー名とパスワードの従来のインターフェースを使用することもできます 、保存されたパスワードを管理します。これを呼び出すには、次のコマンドを実行します。

rundll32.exe keymgr.dll,KRShowKeyMgr

WindowsCredentialManagerを使用した保存されたパスワードの管理

ここでは、保存された資格情報を管理することもできます。また、資格情報マネージャーのバックアップおよび復元機能がいくつかあります(これらを使用して、資格情報マネージャーデータベースを別のコンピューターに転送できます)。

vaultcmd ツールは、コマンドプロンプトからクレデンシャルマネージャーを管理するために使用されます。たとえば、保存されているWindowsクレデンシャルのリストを表示するには、次のコマンドを実行します。

vaultcmd /listcreds:"Windows Credentials"

WindowsCredentialManagerを使用した保存されたパスワードの管理 

Credential schema: Windows Domain Password Credential
Resource: Domain:target=mun-dc01
Identity: RESDOM\j.brion
Hidden: No
Roaming: No
Property (schema element id,value): (100,3)
Property (schema element id,value): (101,SspiPfAc)

次のコマンドは、保存されているすべてのRDPパスワードを資格情報マネージャーから削除します。

For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H

保存されたパスワードはすべてWindowsVaultに保存されます 。 Windows Vaultは、秘密、パスワード、およびその他の機密性の高いユーザー情報を保持するための保護されたストアです。 Windows Vaultでは、データは構造化されており、Vaultスキームに属する一連のエントリのように見えます。 Windows Vaultエントリの暗号化キーのセットは、 Policy.vpolに保存されます。 ファイル。

ドメインユーザーの場合、これは%userprofile%\AppData\Roaming\Microsoft\Vaultにあります。 。

ローカルユーザーの場合は、%userprofile%\AppData\Local\Microsoft\Vaultにあります。 。

WindowsCredentialManagerを使用した保存されたパスワードの管理

VaultSvc 資格情報マネージャーを使用する場合は、サービスが実行されている必要があります:

Get-Service VaultSvc

サービスが無効になっている場合、資格情報マネージャーにアクセスしようとすると、次のエラーが表示されます。

Credential Manager Error
The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service.
Error code: 0x800706B5
Error Message: The interface is unknown.

ユーザーが資格情報マネージャーにネットワークパスワードを保存できないようにする場合は、ネットワークアクセス:ネットワーク認証用のパスワードと資格情報の保存を許可しないを有効にします。 [コンピューターの構成]->[Windowsの設定]->[セキュリティの設定]->[ローカルポリシー]->[セキュリティのオプション]のGPOオプション。

WindowsCredentialManagerを使用した保存されたパスワードの管理

次に、ユーザーがパスワードをWindows Vaultストアに保存しようとすると、次のエラーが表示されます。

Credential Manager Error
Unable to save credentials. To save credentials in this vault, check your computer configuration.
Error code: 0x80070520
Error Message: A specified logon session does not exist. It may already have been terminated.
PowerShellからWindowsクレデンシャルマネージャーにアクセスする

Windowsには、PowerShellからPasswordVaultストアにアクセスするための組み込みのコマンドレットがありません。ただし、 CredentialManagerは使用できます PowerShellギャラリーのモジュール。

モジュールをインストールします:

Install-Module CredentialManager

CredentialManagerモジュールでコマンドレットのリストを表示できます:

Get-Command -module CredentialManager

WindowsCredentialManagerを使用した保存されたパスワードの管理

モジュールには4つのコマンドレットしかありません:

  • Get-StoredCredential –WindowsVaultから資格情報を取得するため。
  • Get-StrongPassword –ランダムなパスワードを生成します。
  • New-StoredCredential –資格情報を追加する;
  • Remove-StoredCredential –資格情報を削除します。

Windowsクレデンシャルマネージャーに新しいクレデンシャルを追加するには、次のコマンドを実行します。

New-StoredCredential -Target 'woshub' -Type Generic -UserName 'maxbak@woshub.com' -Password 'Pass321-b' -Persist 'LocalMachine'

WindowsCredentialManagerを使用した保存されたパスワードの管理

保存されたユーザー資格情報が資格情報マネージャーに存在するかどうかを確認するには:

Get-StoredCredential -Target woshub

PowerShellスクリプトで、資格情報マネージャーから保存されたパスワードを使用できます。たとえば、保存された名前とパスワードをWindows VaultからPSCredentialオブジェクトとして取得し、PowerShellからExchangeOnlineに接続できます。

$psCred = Get-StoredCredential -Target "woshub"
Connect-MSolService -Credential $psCred

また、Windowsにパスワードを安全に保存するために使用できる新しいPowerShellシークレット管理モジュールにも注意してください。 KeePass、LastPass、HashiCorp Vault、Azure Key Vault、Bitwardenなどの多数のパスワードボールトをサポートしています。

Windows Vaultから資格情報を削除するには、次のコマンドを実行します。

Remove-StoredCredential -Target woshub

組み込みのCLIツールを使用してパスワードをプレーンテキストとして表示することはできません。ただし、Mimikatzのようなユーティリティを使用して、credmanから保存されたパスワードを取得できます。 プレーンテキストとして(ここの例を参照)。


  1. Windows で Credential Manager を使用する方法

    Credential Manager は、将来の使用のために Windows アプリに関連するユーザー名とパスワードを保存できる Windows ツールです。保存された情報には、ウェブサイトやアプリに関連する情報も含まれます。 Windows 7 で最初に導入されて以来、Windows オペレーティング システムのエクスペリエンスに欠かせないものになっています。 Windows を長期間使用しているが、Credential Manager を使用していない場合は、この記事が役に立ちます。 以下では、Windows PC で Credential Manager をセットアップして最大限に活

  2. Windows 10 2022 のベスト パスワード マネージャー 10

    何かを安全に隠しておくことを考えるたびに、あなたはそれを金庫に保管します.貴重なファイルやフォルダーをパスワードでロックすることは、それらを安全に保つ良い方法ですが、パスワードを忘れてファイルにアクセスできない場合はどうなりますか?最も必要なときに銀行口座やメール アカウントのパスワードを忘れてしまったらどうしますか?イライラしますよね?しかし、パスワードを失うことはなく、パスワードを覚える必要もないと言ったらどうでしょうか? Windows 10 8 および 7 用の最高のパスワード マネージャーがここにリストされているため、この提案に惹かれた場合は、適切な場所に来たことになります。 先に