Диспетчер учетных данных в Windows 7. (Credential Manager)
Диспетчер учетных данных (Credential Manager) — предназначен для хранения и управления учетных данных пользователей. Данный механизм позволяет автоматически выполнять вход на компьютер, сайт, почту и тд. Данные хранятся в так называемых хранилищах Windows локальная папка на компьютере в зашифрованном виде.
Например, вы подключаетесь к принтеру по локальной сети к другому компьютеру, выставляя галочку «запомнить учетные данные»:
или подключимся «удаленным рабочим столом», опять же в настройках выставляя галочку «запомнить учетные данные»:
При выставлении опции «запомнить учетные данные», мы вносим значения в хранилище windows. Как уже упоминалось выше, хранилище это папка «Credentials», расположенная по пути: «C:\Users\имя_пользователя\AppData\Local\Microsoft\», все файлы в ней зашифрованы и доступ к ней осуществляется как раз «диспетчером учетных данных (Credential Manager).
Чтобы запустить «Диспетчер учетных данных (Credential Manager)» необходимо перейти в «панель управления»:
В диспетчере имеются три группы:
Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
Учетные данные на основе сертификатов (Certificate-Based Credentials) — предназначены для аутентификации с помощью смарт-карт;
Общие учетные данные (Generic Credentials) — используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему.
Развернув одну из учетных записей можно её редактировать. 
Также можно заводить новые учетные записи в самом диспетчере. И при новом подключении их не потребуется вводить.
В Диспетчере учетных данных (Credential Manager), есть возможность архивирования хранилища и его восстановление, например для переноса на другой компьютер или повреждения хранилища.
Для запуска мастера архивирования нажмем соответствующую ссылку: 
Указываем где будем сохранять архив:
Идем далее по мастеру, мастер потребует введения пароля к архиву, в безопасном режиме с нажатием блокировки, нужно будет нажать сочетание клавиш:
Восстановление проходит в обратном порядке. Сохранять архив рекомендуется на отдельный носитель или локальный диск (не системный).
Диспетчер учетных данных в Windows 7
Диспетчер учетных данных, или Credential Manager — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).
Например, мы хотим получить доступ к папке, находящейся на другом компьютере, и удаленный компьютер запрашивает наши учетные данные. Вводим логин, пароль и отмечаем галочкой пункт «Запомнить учетные данные».
Или, при подключении к удаленному рабочему столу разрешаем сохранение учетных данных, чтобы не вводить их каждый раз.
Все сохраненные таким образом учетные данные попадают в так называемое Хранилище Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле, хранилище — это просто более понятное название папки Credentials. Для доменных пользователей эта папка находится по адресу: C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Roaming\Microsoft), для локальных — C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Local\Microsoft). Все файлы в этой папке, естесственно, зашифрованы, и доступ к ним осуществляется как раз с помощью Диспетчера учетных данных.
Открыть его можно через Панель управления, или просто набрав в строке поиска Диспетчер учетных данных (Credentials Manager для англоязычной версии).
Вот так выглядит Диспетчер учетных данных. Все данные в нем сгруппированы по трем категориям:
• Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
• Учетные данные на основе сертификатов (Certificate-Based Credentials) — предназначены для аутентификации с помощью смарт-карт;
• Общие учетные данные (Generic Credentials) — используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.
Все учетные данные можно развернуть и подробно посмотреть, а при желании и отредактировать.
Учетные данные можно не только сохранять в процессе подключения, но и вводить прямо в диспетчере. Для этого надо выбрать раздел и нажать на ссылку «Добавить учетные данные». В качестве примера добавим учетные данные для подключения к закрытому веб-сайту http://contoso.com в раздел «Общие учетные данные».
Теперь данные сохранены в хранилище, и при подключении к данному ресурсу не потребуется их вводить.
Строго говоря, с веб-сайтами история отдельная. Диспетчер учетных данных отвечает далеко не за все данные, используемые для для доступа к интернет-ресурсам. Большинство этих данных обрабатываются и хранятся в самом браузере. В Internet Explorer, например, есть для этого специальная функция автозаполнения (AutoComplete).
Этот недостаток попытались исправить в Windows 8, где в Диспетчере учетных данных есть отдельный раздел под названием «Учетные данные для Интернета». И если вы укажете сохранить, к примеру пароль от Яндекс-почты, то он будет сохранен именно здесь. Однако работает эта возможность только с Internet Explorer, остальные браузеры ей не пользуются и по прежнему хранят все данные у себя.
Архивирование и восстановление
Прямо под значком «Хранилище Windows» расположены две ссылки: «Архивирование хранилища» и «Восстановление хранилища». Таким образом учетные данные можно забекапить на случай удаления или повреждения хранилища, или перенести с одного компьютера на другой.
Архивирование данных осуществляется специальным мастером. Процедура несложная — указываем, куда сохранить архив (рекомендуется на съемный носитель), затем задаем пароль для доступа к нему. Пароль задается обязательно с использованием безопасного рабочего стола (Secure Desktop). Это необходимо даже в том случае, если безопасный рабочий стол отключен.
Восстановление проходит по схожему сценарию — указываем месторасположение архива и вводим пароль, также на Secure Desktop.
Диспетчер учетных данных особенно удобен при отсутствии домена, когда все разрешения на сетевые ресурсы прописываются локально. В этом случае архив учетных данных можно использовать для автоматизации процесса раздачи прав. Впрочем, диспетчером учетных данных можно пользоваться и в домене, для доступа к внешним ресурсам. В общем вещь полезная, специальной настройки не требует, данные сохраняет. Правда иногда отдельные учетные данные могут неожиданно пропадать, так что архив все же стоит делать.
Как извлечь данные из диспетчера учетных данных Windows
Диспетчер учетных данных Windows (Credential Manager), — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и прочих).
В этой статье я покажу, как вытащить информацию из диспетчера учетных данных Windows.
Как извлечь данные из диспетчера учетных данных Windows
Рассмотрим работу с диспетчером учетных данных на примере RDP.
Сохраненные учетные данные в WCM через графический интерфейс
Найти те же данные с помощью командной строки можно следующим образом (для английской локалки следует использовать строку /listcreds:»Windows Credentials».):
Сохраненные учетные данные в WCM через командную строку
Эти учетные данные хранятся в каталоге пользователя:
Учетные данные пользователя
Посмотрим на эти данные.
«> Содержимое хранилища учетных данных
Самое интересное здесь — это pbData (данные, которые нужно расшифровать) и guidMasterKey. Как получить мастер-ключ, мы рассмотрели раньше (эту стадию мы пропустим). Давайте расшифруем учетные данные.
«> Расшифрованные учетные данные пользователя
Подобным образом можно извлечь любые данные, сохраненные в WCM.
На этом все. Теперь вы знаете, как расшифровать и просмотреть пароль в диспетчере учетных данных Windows.
Управление сетевыми учетными данными в Microsoft Windows
В верхней части окна расположен значок Хранилища Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле «хранилище» — это просто более удобоваримое название папки «Credentials». На компьютерах, подключенных к домену, она расположена по адресу «C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft» (в англоязычной версии — «C:\Users\Имя_пользователя\AppData\Roaming\Microsoft»).
На компьютерах в пиринговой сети адрес другой — «C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft» ((в англоязычной версии — «C:\Users\Имя_пользователя\AppData\Local\Microsoft»). Файлы в этой папке, естественно, зашифрованы.
Архивация и восстановление Хранилища Windows Vault
Под значком Хранилища Windows расположены две ссылки: «Архивация хранилища» (Back Up Vault) и «Восстановление хранилища» (Restore Vault). Архивация не только позволяет иметь резервную копию на случай удаления или повреждения хранилища, но и облегчает перенос учетных данных с одного компьютера на другой.
Ссылка «Архивация хранилища» запускает мастер архивирования, состоящий из нескольких этапов (рис. D), включая доступ к безопасному рабочему столу (Secure Desktop) через [Ctrl]+[Alt]+[Delete] для создания пароля к резервной копии хранилища. Это необходимо даже в том случае, если безопасный рабочий стол обычно отключен.
Во время восстановления хранилища из резервной копии (рис. E) тоже нужен доступ к безопасному рабочему столу для ввода пароля.
Типы учетных данных
В Диспетчере учетных данных все данные сгруппированы по трем категориям: «Учетные данные Windows» (Windows Credentials), «Учетные данные на основе сертификатов» (Certificate-Based Credentials) и «Общие учетные данные» (Generic Credentials).
• Учетные данные Windows — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу.
• Учетные данные на основе сертификатов предназначены для смарт-карт и других устройств такого рода.
• Общие учетные данные используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.
Стоит учитывать, что Диспетчер учетных данных отвечает далеко не за все данные, используемые для входа на веб-сайты. Большинство учетных данных в Internet Explorer, например, обрабатывается с помощью функции автозаполнения (AutoComplete).
Управление сохраненными паролями с помощью Windows Credential Manager
Windows Credential Manager (диспетчер учетных данных) позволяет сохранять учетные записи и пароли для доступа к сетевым ресурсам, сайтам и приложениям. Благодаря диспетчеру учётных записей Windows вы можете подключаться к удаленным ресурсам автоматически, без ввода пароля. Приложения могут самостоятельно обращаться в Credential Manager и использовать сохраненный пароль.
Используем диспетчер учетных данных Windows для хранения паролей
Впервые Credential Manager появился в Windows 7 и позиционируется как достаточное безопасное место для хранения ваших паролей.
В диспетчере учетных данных могут хранится следующие типы аккаунтов:
Например, если при доступе к сетевой папке вы включите опцию “Сохранить пароль”, то введенный вами пароли будет сохранен в Credential Manager.
Аналогично пароль для подключения к удаленному RDP/RDS серверу сохраняется в клиенте Remote Desktop Connection (mstsc.exe).
Как вы видите, в Credential Manager теперь хранятся два пароля, которые мы сохранили ранее.
Здесь вы можете добавить сохранённый пароль, отредактировать (просмотреть сохраненный пароль из графического интерфейса нельзя) или удалить любую из записей.
Также для работы с сохраненными паролями можно использовать классический диалоговый интерфейс Windows – Stored User Names and Password. Для его вызова, выполните:
Здесь вы также можете управлять сохраненными учетными данными, а также есть функции резервного копирования и восстановления данных в Credential Manager (можно использовать для переноса базы Credential Manager на другой компьютер).
vaultcmd /listcreds:»Windows Credentials»
Следующая команда удалит из Credential Manager все сохраненные пароли для RDP доступа:
For /F «tokens=1,2 delims= » %G in (‘cmdkey /list ^| findstr «target=TERMSRV»‘) do cmdkey /delete %H
Все сохраненные пароли хранятся в хранилище Windows Vault. Windows Vault это защищенное хранилище секретов, паролей и другой информации пользователя. Данные в Windows Vault структурированы и представляют собой набор записей, принадлежащих определенной схеме Vault. Набор ключей шифрования для записей Windows Vault хранится в файле Policy.vpol.
Для работы Credential Manager должна быть запущена служба VaultSvc:
Если служба отключена, при попытке получить доступ к Credential Manager появится ошибка
Теперь, если пользователь попытается сохранить пароль в хранилище, появится ошибка:
Доступ к менеджеру учетных данных Windows из PowerShell
В Windows нет встроенных командлетов для обращения к хранилищу PasswordVault из PowerShell. Но вы можете использовать модуль CredentialManager из галереи PowerShell.
Список командлетов в модуле можно вывести так:
В модуле всего 4 командлета:
Чтобы добавить новые данные в хранилище CredentialManager, выполните команду:
Проверить, есть в хранилище сохраненные данные для пользователя:
Сохраненные пароли из Credential Manager можно использовать в ваших скриптах PowerShell. Например, в следующем примере я получаю сохраненные имя и пароль в виде объекта PSCredential и подключаюсь с ними к Exchange Online из PowerShell:
Чтобы удалить определенную учетные данные из Windows Vault, выполните:
Отобразить пароли в открытом виде с помощью встроенных средств нельзя. Но вы можете использовать утилиты типа Mimikatz для получения сохраненных паролей из credman в открытом виде (смотри пример).
