Windows 자격 증명 관리자 네트워크 리소스, 웹 사이트 및 앱에 액세스하기 위해 자격 증명(사용자 이름 및 암호)을 저장할 수 있습니다. Windows 자격 증명 관리자를 사용하면 암호를 입력하지 않고도 원격 리소스에 자동으로 연결할 수 있습니다. 앱은 Credential Manager 자체에 액세스하고 저장된 비밀번호를 사용할 수 있습니다.
내용:
- 자격 증명 관리자를 사용하여 Windows에 암호 저장
- PowerShell에서 Windows 자격 증명 관리자에 액세스
자격 증명 관리자를 사용하여 Windows에 암호 저장
Credential Manager는 Windows 7에 나타나며 비밀번호를 보관하기에 매우 안전한 위치에 있습니다.
Windows 10의 자격 증명 관리자는 다음 계정 유형을 유지할 수 있습니다.
- Windows 자격 증명 – Windows에 로그온하거나 원격 컴퓨터에 액세스하기 위한 자격 증명, RDP 연결을 위한 저장된 암호, Windows 인증 지원이 통합된 웹 사이트의 암호 등, Windows 자격 증명 관리자는 자동 로그인 Windows 또는 도메인 캐시 자격 증명을 위한 자격 증명을 저장하지 않습니다.
- 인증서 기반 자격 증명 – 스마트 카드를 사용한 인증
- 일반 자격 증명 – Credential Manager와 호환되는 타사 앱에서 사용됩니다.
- 웹 자격 증명 – Edge 및 IE, Microsoft 앱(MS Office, Teams, Outlook, Skype 등)에 저장된 비밀번호
예를 들어 "Save Password
” 옵션은 공유 네트워크 폴더에 접근할 때 입력한 비밀번호가 Credential Manager에 저장됩니다.
같은 방식으로 원격 RDP/RDS 호스트에 연결하기 위한 암호가 원격 데스크톱 연결(mstsc.exe) 클라이언트에 저장됩니다.
또한 자격 증명 관리자는 runas /savecred 명령을 사용하여 저장된 사용자 암호를 유지합니다.
클래식 제어판(Control Panel\User Accounts\Credential Manager
)에서 Windows 10의 자격 증명 관리자에 액세스할 수 있습니다. ).
보시다시피 이전에 저장한 Credential Manager에는 두 개의 비밀번호가 있습니다.
RDP 연결에 대해 저장된 암호는
TERMSRV\hostname
에 지정됩니다. 체재. 여기에서 저장된 자격 증명을 추가하거나 편집(그래픽 인터페이스에서 저장된 암호를 볼 수 없음)하거나 항목을 삭제할 수 있습니다.
또한 저장된 사용자 이름 및 비밀번호의 기본 인터페이스를 사용할 수 있습니다. , 저장된 비밀번호를 관리합니다. 호출하려면 아래 명령을 실행하십시오.
rundll32.exe keymgr.dll,KRShowKeyMgr
여기에서 저장된 자격 증명을 관리할 수도 있으며 자격 증명 관리자에 대한 몇 가지 백업 및 복원 기능이 있습니다(이를 사용하여 자격 증명 관리자 데이터베이스를 다른 컴퓨터로 전송할 수 있음).
vaultcmd
도구는 명령 프롬프트에서 자격 증명 관리자를 관리하는 데 사용됩니다. 예를 들어, 저장된 Windows 자격 증명 목록을 표시하려면 다음 명령을 실행하십시오.
vaultcmd /listcreds:"Windows Credentials"
Credential schema: Windows Domain Password Credential Resource: Domain:target=mun-dc01 Identity: RESDOM\j.brion Hidden: No Roaming: No Property (schema element id,value): (100,3) Property (schema element id,value): (101,SspiPfAc)
다음 명령은 자격 증명 관리자에서 저장된 모든 RDP 암호를 삭제합니다.
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
저장된 모든 비밀번호는 Windows Vault에 저장됩니다. . Windows Vault는 비밀, 암호 및 기타 민감한 사용자 정보를 보관하는 보호된 저장소입니다. Windows Vault에서 데이터는 구조화되고 Vault 구성표에 속하는 항목 집합처럼 보입니다. Windows Vault 항목에 대한 암호화 키 세트는 Policy.vpol에 저장됩니다. 파일.
도메인 사용자의 경우 %userprofile%\AppData\Roaming\Microsoft\Vault
에 있습니다. .
로컬 사용자의 경우 %userprofile%\AppData\Local\Microsoft\Vault
에서 찾을 수 있습니다. .
VaultSvc 자격 증명 관리자를 사용할 때 서비스가 실행 중이어야 합니다.
Get-Service VaultSvc
서비스가 비활성화된 경우 자격 증명 관리자에 액세스하려고 할 때 다음 오류가 표시됩니다.
Credential Manager Error The Credential Manager Service is not running. You can start the service manually using the Services snap-in or restart your computer to start the service. Error code: 0x800706B5 Error Message: The interface is unknown.
사용자가 자격 증명 관리자에서 네트워크 암호를 저장하지 못하도록 하려면 네트워크 액세스:네트워크 인증을 위한 암호 및 자격 증명 저장을 허용하지 않음을 활성화합니다. 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션에서 GPO 옵션을 선택합니다.
그런 다음 사용자가 Windows Vault 저장소에 암호를 저장하려고 하면 다음 오류가 표시됩니다.
Credential Manager Error Unable to save credentials. To save credentials in this vault, check your computer configuration. Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
PowerShell에서 Windows 자격 증명 관리자 액세스
Windows에는 PowerShell에서 PasswordVault 저장소에 액세스하기 위한 기본 제공 cmdlet이 없습니다. 그러나 CredentialManager를 사용할 수 있습니다. PowerShell 갤러리의 모듈입니다.
모듈 설치:
Install-Module CredentialManager
CredentialManager 모듈에서 cmdlet 목록을 표시할 수 있습니다.
Get-Command -module CredentialManager
모듈에는 4개의 cmdlet만 있습니다.
Get-StoredCredential
– Windows Vault에서 자격 증명을 얻기 위해Get-StrongPassword
– 임의의 비밀번호 생성New-StoredCredential
– 자격 증명 추가Remove-StoredCredential
– 자격 증명을 제거합니다.
Windows 자격 증명 관리자에 새 자격 증명을 추가하려면 다음 명령을 실행하십시오.
New-StoredCredential -Target 'woshub' -Type Generic -UserName '[email protected]' -Password 'Pass321-b' -Persist 'LocalMachine'
저장된 사용자 자격 증명이 자격 증명 관리자에 있는지 확인하려면:
Get-StoredCredential -Target woshub
PowerShell 스크립트의 자격 증명 관리자에서 저장된 암호를 사용할 수 있습니다. 예를 들어 Windows Vault에서 저장된 이름과 암호를 PSCredential 개체로 가져와 PowerShell에서 Exchange Online에 연결할 수 있습니다.
$psCred = Get-StoredCredential -Target "woshub"
Connect-MSolService -Credential $psCred
Windows Vault에서 자격 증명을 제거하려면 다음 명령을 실행하십시오.
Remove-StoredCredential -Target woshub
내장 CLI 도구를 사용하여 암호를 일반 텍스트로 표시할 수 없습니다. 그러나 Mimikatz와 유사한 유틸리티를 사용하여 credman
에서 저장된 비밀번호를 가져올 수 있습니다. 일반 텍스트(여기의 예 참조).