Einführung
Seit Jahren möchten Benutzer Zeit und Mühe sparen, wenn sie auf Server im Netzwerk zugreifen, Websites, die Anmeldeinformationen erfordern usw. Daher gab es im Betriebssystem Optionen zum Speichern von Benutzernamen und Kennwörtern für einen schnelleren und einfacheren Zugriff. Ich bin sicher, Sie haben dies entweder in einer Eingabeaufforderung oder in einem Kontrollkästchen gesehen, in dem Sie aufgefordert werden, das Kennwort zu speichern. In Windows haben Sie die Möglichkeit, die Anmeldeinformationen für Ressourcen zu speichern, auf die Sie häufig zugreifen, oder sich das Kennwort einfach nicht merken zu müssen. Obwohl dies eine zeitsparende Option ist, sollten Sie die Verwendung dieser Funktion aufgrund von Sicherheitsproblemen überdenken.
Wo finde ich diese Funktion?
Diese Funktion begann mit Windows XP und hat sich seitdem weiterentwickelt. Der Unterschied liegt im Namen und in den Funktionen, die für die Funktion bereitgestellt werden. In Windows XP wurde die Funktion gespeicherte Benutzernamen und Kennwörter genannt. Sie können auf diese Funktion über die Registerkarte Erweitert im Dialogfeld Benutzerkonten zugreifen. Auf der Registerkarte Erweitert klicken Sie auf die Schaltfläche Passwörter verwalten, um auf die Benutzeroberfläche für gespeicherte Benutzernamen und Passwörter zuzugreifen.
Windows 7 ändert dies geringfügig, da es jetzt eine andere Benutzeroberfläche, einen anderen Namen für die Funktion usw. gibt. Außerdem werden Kennwörter in Windows 7, das sich in einem Tresor befindet, auf andere Weise gespeichert. Um auf diese gespeicherten Anmeldeinformationen zuzugreifen oder selbst Anmeldeinformationen zu speichern, können Sie das Snap-In Benutzerkonten in der Systemsteuerung aufrufen und dann im linken Bereich die Option Anmeldeinformationen verwalten auswählen (siehe Abbildung 1).
Abbildung 1: Verwalten meiner Anmeldeinformationen im Snap-In Benutzerkonten
Im Wesentlichen öffnet dies den Anmeldeinformations-Manager, der auch über das Textfeld Suche starten ausgeführt werden kann, wenn Sie auf die Schaltfläche Start klicken. Wenn Sie Anmeldeinformationen auf einem Windows 7-Computer speichern, werden sie in C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. Die Dateien, in denen die Anmeldeinformationen gespeichert sind, sind verschlüsselt, das ist also zumindest ein Vorteil!
Beachten Sie hier, dass ALLE Anmeldeinformationen, die im Anmeldeinformations-Manager erstellt werden, eine Datei im Ordner Anmeldeinformationen unter dem oben aufgeführten Benutzerprofil erstellen. Wenn jedoch Anmeldeinformationen für Windows-Anmeldeinformationen eingegeben werden, werden sie auch in C:\Users\UserName\AppData\Local\Microsoft\Vault.
Windows Vault-Befehl
Um auf den Kennworttresor auf einem Windows 7-Computer (und Windows Server 2008 R2) zuzugreifen, können Sie vaultcmd verwenden.exe-Befehl von einer Eingabeaufforderung. Mit diesem Tool können Sie die Anmeldeinformationen im Tresor verwalten und sogar neue erstellen. Die Liste der für vaultcmd verfügbaren Switches sehen Sie in Abbildung 2.
Abbildung 2: Vaultcmd Befehl und Schalter.
Wenn wir diese Befehle verwenden, können Sie sehen, wie die Anmeldeinformationen gespeichert und darauf zugegriffen wird. In unserem Beispiel speichern wir Anmeldeinformationen, die als Benutzer namens xpuser angemeldet sind. Xpuser ist ein Domänenbenutzer im Beyondtrust.domain registrieren. Dieser Benutzer hat bereits Anmeldeinformationen für einen Domänencontroller mit dem Namen server1 gespeichert. Die Anmeldeinformationen, die dieser Benutzer gespeichert hat, beziehen sich auf einen Domänenbenutzer (der zufällig ein Domänenadministrator ist) namens Derek.
Um die Anmeldeinformationen des aktuell angemeldeten Benutzers anzuzeigen, können Sie den Befehl set mit dem Schalter username ausführen, der in Abbildung 3 zu sehen ist.
Abbildung 3: Aktuell angemeldeter Benutzer mit dem Befehl set.
Mit dem Befehl vaultcmd können wir die Anmeldeinformationen anzeigen, die dieser Benutzer bereits gespeichert hat. Dies wird mithilfe des Listenschalters erreicht, der in Abbildung 4 zu sehen ist.
Abbildung 4: Vaultcmd Befehl mit dem List-Schalter.
Sie können dann den Inhalt jedes Tresors anzeigen, indem Sie den Schalter listproperties und anschließend den Schalter listcreds verwenden, um die Anmeldeinformationen in jedem Tresor anzuzeigen. Beides ist in Abbildung 5 zu sehen.
Abbildung 5: Vaultcmd-Befehl, der sowohl die Schalter listproperties als auch listcreds verwendet.
Wie Sie anhand all dieser Befehle mit vaultcmd sehen können, kann auf den Inhalt der Tresore leicht zugegriffen werden. Beachten Sie erneut, dass die Kennwörter nicht angezeigt werden, diese „alternativen Anmeldeinformationen“ jedoch von jedem verwendet werden können, der mit dem angemeldeten Benutzer xpuser auf diesen Computer zugreifen kann.
Gründe, diese Funktion nicht zu verwenden
Wir haben gesehen, wie der Tresor die Anmeldeinformationen speichert und wie der Befehl vaultcmd auf diese Anmeldeinformationen und Informationen darüber zugreifen kann. Ist diese Funktion jedoch sicher zu verwenden? Betrachten Sie das folgende Szenario.
Xpuser hat Anmeldeinformationen auf seinem Windows 7-Computer gespeichert, wenn er auf Server1 zugreifen muss, bei dem es sich um einen Domänencontroller handelt. Die mit Credential Manager gespeicherten Anmeldeinformationen gelten für Derek, der Domänenadministrator ist. Wenn xpuser jemals den Computer, in diesem Fall xpclient, entsperrt verlässt, kann jeder, der zu xpclient geht, auch als Domänenadministrator auf Server1 zugreifen.
In unserem Szenario, das wir oben mit vaultcmd exponiert haben, können Sie deutlich sehen, dass dies ein Problem sein kann. Um dies zu beweisen, schauen wir uns unser Szenario genauer an. Unser Benutzer xpuser hat sich angemeldet und den Computer verlassen. Ein anderer Benutzer, Betty, geht mit angemeldetem xpuser zu xpclient und versucht, eine Verbindung zu server1 herzustellen. Sie können in Abbildung 6 sehen, dass diese Verbindung leicht hergestellt werden kann.
Abbildung 6: Verbindung zu server1 mit xpuser angemeldet, aber Anmeldeinformationen auf server1 gespeichert.
Wie Sie sehen können, kann der Angreifer mit nur dem angemeldeten Benutzer und den gespeicherten Anmeldeinformationen alle Informationen sammeln, die er mit vaultcmd benötigt, und dann den Computer mit den gespeicherten Anmeldeinformationen ausnutzen.
Zusammenfassung
Credential Manager und die Möglichkeit, Anmeldeinformationen auf einem Windows 7-Computer zu speichern, sind leistungsstark, aber möglicherweise ein großer Exploit. Häufig befinden sich die Benutzer, die diese Funktion verwenden, nicht in der IT-Gruppe, aber sie können sicherlich eine erhebliche Sicherheitslücke in Ihrer Organisation verursachen. Selbst wenn sich der Benutzer nicht in der IT-Gruppe befindet, sondern möglicherweise im Finanzwesen, im Personalwesen oder in einer Führungskraft tätig ist, wird die Tatsache, dass Anmeldeinformationen auf dem Computer gespeichert werden, zu einem Problem, wie in diesem Artikel beschrieben. Seit Jahren möchten Benutzer, dass ihr Benutzername und ihr Kennwort auf dem Computer gespeichert werden oder dass sie nicht jedes Mal für die Eingabe ihrer Anmeldeinformationen verantwortlich sind. Es gibt jedoch offensichtliche Risiken für diese Funktion, die in der Umgebung, in der sie gespeichert werden, abgewogen werden müssen. Für Unternehmen ist das Speichern von Anmeldeinformationen keine gute Idee, da die Desktops exponiert sind und den Benutzern nicht vertraut werden kann, dass sie ihren Computer nicht sperren, wenn sie ihn verlassen.