はじめに
長年、ユーザーはネットワーク上のサーバー、資格情報を必要とするWebサイトなどにアクセスする際の時間と労力を節約したいと考えていました。 そのため、オペレーティングシステムには、ユーザー名とパスワードを保存して、より速く簡単にアクセスできるようにするオプションがありました。 私はあなたがパスワードを保存するように求めて、プロンプトまたはチェックボックスのいずれかで、これを見てきたと確信しています。 Windowsでは、頻繁にアクセスするリソースの資格情報を保存するか、パスワードを覚えておく必要がないようにすることができます。 これは時間を節約するオプションですが、セキュリティ上の問題があるため、この機能の使用を再考することをお勧めします。
この機能はどこで見つけることができますか?
この機能はWindows XPを中心に開始され、それ以来進化してきました。 進化は、その機能のために提供される名前と機能にあります。 Windows XPでは、この機能は保存されたユーザー名とパスワードと呼ばれていました。 この機能には、ユーザーアカウントダイアログボックスの詳細タブからアクセスできます。 [詳細設定]タブで、[パスワードの管理]ボタンをクリックして、保存されているユーザー名とパスワードのインターフェイスにアクセスします。
Windows7は、異なるインターフェイス、機能の異なる名前などがあるため、これをわずかに変更します。 また、パスワードはvaultにあるWindows7では別の方法で保存されます。 これらの保存された資格情報にアクセスしたり、資格情報を自分で保存したりするには、コントロールパネルのユーザーアカウントスナップインに移動し、図1に示すように、左側のパネルの[資格情報の管理]オプションを選択します。
図1: ユーザーアカウントスナップイン
内の資格情報を管理する本質的には、これはまた、スタートボタンをクリックしたときに検索の開始テキストボック Windows7コンピューターに資格情報を格納すると、資格情報は次の場所に格納されますC:\Users\UserName\AppData\Roaming\Microsoft\Credentials….. 資格情報を格納するファイルは暗号化されているため、少なくとも利点があります。
ここでは、資格情報マネージャーで作成されたすべての資格情報が、上記のユーザープロファイルの下の資格情報フォルダーにファイルを作成することに注 ただし、windows資格情報の資格情報が入力されると、資格情報は次の場所にも格納されますC:\Users\UserName\AppData\Local\Microsoft\Vault…..
Windows Vaultコマンド
Windows7(およびWindows Server2008R2)コンピューター上のパスワードのVaultにアクセスするには、vaultcmdを使用できます。コマンドプロンプトからexeコマンドを実行します。 このツールを使用すると、ボールトにある資格情報を管理したり、新しい資格情報を作成したりすることができます。 図2に、vaultcmdで使用可能なスイッチのリストを示します。
図2:Vaultcmdコマンドとスイッチ
これらのコマンドを使用すると、資格情報がどのように保存され、アクセスされるかを見ることができます。 この例では、xpuserという名前のユーザーとしてログオンした資格情報を保存します。 Xpuserは、beyondtrustのドメインユーザーです。デモドメイン。 このユーザーは、server1という名前のドメインコントローラーの資格情報を既に格納しています。 このユーザーが保存した資格情報は、Derekという名前のドメインユーザー(ドメイン管理者)用のものです。
現在ログオンしているユーザーの資格情報を確認するには、usernameスイッチを使用してsetコマンドを実行します。
図3:setコマンドを使用して現在ログオンしているユーザー。
vaultcmdコマンドを使用すると、このユーザーが既に保存している資格情報を確認できます。 これは、図4に示すように、listスイッチを使用することによって実現されます。
図4:リストスイッチを使用したVaultcmdコマンド。
その後、listpropertiesスイッチを使用して各ボールトの内容を表示し、その後にlistcredsスイッチを使用して各ボールト内の資格情報を表示できます。 両方とも図5で見ることができます。
図5: Listpropertiesスイッチとlistcredsスイッチの両方を使用するVaultcmdコマンド。
vaultcmdを使用したこれらのすべてのコマンドからわかるように、格納域の内容に簡単にアクセスできます。 ここでも、パスワードが表示されないことに注意してくださいが、これらの”代替資格情報”は、ユーザー xpuserがログインしてこのコンピュータにアクセスできる誰
この機能を使用しない理由
vaultが資格情報を格納する方法と、vaultcmdコマンドがこれらの資格情報とそれらに関する情報にアクセスする方法を見てきま しかし、この機能は安全に使用できますか? 次のシナリオを考えてみましょう。
Xpuserは、ドメインコントローラであるServer1にアクセスする必要があるときのために、Windows7コンピュータに資格情報を保存しています。 Credential Managerを使用して保存された資格情報は、derekがドメイン管理者であるDerek用です。 Xpuserがコンピュータを離れると、この場合はxpclient、unlockedという名前の場合、xpclientまで歩いている人は誰でもドメイン管理者としてServer1にアクセスすることができます。
上記のvaultcmdを使用して公開したシナリオでは、これが問題になる可能性があることが明確にわかります。 これを証明するために、私たちのシナリオを詳しく見てみましょう。 私たちのユーザー、xpuserは、ログインし、コンピュータから離れて歩いています。 別のユーザーであるBettyは、xpuserがログインした状態でxpclientまで歩き、server1への接続を試みます。 図6に示すように、この接続は簡単に行われることがわかります。
図6:xpuserがログインしているが資格情報がserver1に保存されているserver1への接続。ご覧のとおり、ユーザーがログインして資格情報が保存されているだけで、攻撃者はvaultcmdで必要なすべての情報を収集し、保存された資格情報を持つコンピ
概要
Credential Managerと資格情報をWindows7コンピュータに保存する機能は強力ですが、おそらく巨大な悪用です。 多くの場合、この機能を使用するユーザーはITグループ内にいませんが、組織内で重大なセキュリティホールを引き起こしている可能性があります。 ユーザーがITグループに属していなくても、財務、人事、または幹部に所属している可能性がある場合でも、この資料で説明するように、資格情報がコンピューターに保 何年もの間、ユーザーは自分のユーザー名とパスワードをコンピュータに保存する方法や、毎回自分の資格情報を入力する責任がない方法を望んでいました。 しかし、この機能には明らかなリスクがあり、保存されている環境で検討する必要があります。 企業にとって、資格情報を保存することは、デスクトップの露出のために良い考えではなく、ユーザーがコンピュータから離れたときにコンピュータをロック