Windows 資格情報マネージャーは確かに便利なのですが、正直言って、必要以上に複雑なツールの一つです。保存したパスワードが突然使えなくなったり、混乱を避けるために古い資格情報を消去したいと思ったりしたことがあるかもしれません。あるいは、保存したパスワードをすぐに確認したい場合もあるでしょう。ただし、パスワードの抽出は簡単ではなく、公式にサポートされていないため、注意が必要です。さて、このガイドでは、資格情報を開いて管理し、抽出する方法を詳しく説明します。とはいえ、正直に言うと、少し面倒に感じる部分もあります。
Windowsで資格情報マネージャーを開く方法
資格情報マネージャーへのアクセス
まず、従来のコントロールパネルから資格情報マネージャーにアクセスできます。コントロールパネル>ユーザーアカウント>資格情報マネージャーを開くだけです。あるいは、もっと簡単な方法としてWin + R、 を押して と入力しcontrol /name Microsoft. CredentialManager、Enter キーを押します。するとGUIが開き、保存されている資格情報を確認・管理できます。
そこには、Windows 資格情報(ネットワークドライブ、RDP 接続、NAS デバイスなど)、証明書ベースの資格情報(スマートカードと証明書)、汎用資格情報(サードパーティ製アプリ)、Web 資格情報(ブラウザのパスワード)といったさまざまなカテゴリがあります。ただし、資格情報マネージャーは Windows ログインパスワードを保存しません。パスワードはキャッシュされた資格情報またはログイン情報に保存されており、ここには保存されません。
一部のマシンでは、これが少し奇妙に思えることがあります。コントロールパネルから資格情報マネージャーを開くだけでうまくいく場合もあれば、コマンドラインを使う必要がある場合もあります。例えば、「ファイル名control /name Microsoft. CredentialManagerを指定して実行」や「コマンドプロンプト」と入力すれば、たいていうまくいきます。そして、保存されたパスワードが一覧表示されます。RDP接続用のパスワードのように見えますがTERMSRV\hostname、これはある程度理にかなっています。
クラシックインターフェースで資格情報を管理する方法
昔ながらの認証情報管理方法を好む場合は、 を実行できますrundll32.exe keymgr.dll, KRShowKeyMgr。これにより、保存済みの認証情報を追加、削除、編集できる専用ウィンドウが開きます。パスワードを直接確認する必要はありません(Windows の仕様上、そのようにはできません)。また、ここから認証情報ストアのバックアップや復元も可能ですが、このインターフェースではプレーンテキストのパスワードを確認できないことに注意してください。
CMDを使用してユーザー資格情報を管理する
cmdkey による資格情報の追加、一覧表示、削除
コマンドラインがお好きなら、cmdkeyこれはまさにお手のもの。認証情報用の万能ナイフのようなものです。例えば、ファイルサーバーの認証情報を追加するには、次のようにします。
cmdkey /add:FS01 /user:w.brandt /pass:Pa2sw0rd11
ドメイン アカウントの場合も同様です。
cmdkey /add:fs01.woshub.local /user:yourdomain\username /pass:YourPass123
RDP 資格情報を保存するには:
cmdkey /generic:termsrv/MUNRDS1 /user:w.brandt /pass:Pa2sw0rd11
保存されている内容を確認するには:
cmdkey /list
資格情報を削除する場合は、次のようにします。
cmdkey /delete:FS01
すべての RDP 資格情報をクリアするには (クリーンアップまたはトラブルシューティングの手順の 1 つ)、これを 1 行で実行できます (それほどエレガントではありませんが、機能します)。
for /F "tokens=1, 2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
これはちょっと奇妙ですが、アカウントをロックしたり後で問題を引き起こしたりする可能性のある古い RDP パスワードを消去する場合に役立ちます。
いくつかの癖に注意
あるセットアップでは、最初は失敗しましたが、再起動後には成功しました。Windowsとコマンドラインツールは必ずしも予測通りの動作をするとは限りません。また、資格情報が保存されない場合や「資格情報マネージャーサービスが実行されていません」などのエラーが表示される場合は、 VaultSvcサービスが で実行されていることを確認してくださいGet-Service VaultSvc。無効になっている場合は、Services.mscから起動するか、再起動してください。Windowsは当然ながら、この処理を必要以上に困難にしています。
PowerShell 経由で資格情報マネージャーにアクセスする
CredentialManagerモジュールの使用
PowerShellには残念ながら資格情報マネージャー用の組み込みコマンドレットがありませんが、CredentialManagerというコミュニティモジュールを使うと簡単にインストールできます。インストールするには、以下を実行します。
Install-Module CredentialManager -Scope CurrentUser
インストールが完了すると、資格情報の追加などの操作が可能になります。
New-StoredCredential -Target 'woshub' -Type Generic -UserName '[email protected]' -Password 'Pass321-b' -Persist 'LocalMachine'
保存された資格情報を確認します:
Get-StoredCredential -Target 'woshub'
資格情報を削除するには:
Remove-StoredCredential -Target 'woshub'
これは、スクリプトを使用してバックグラウンドで静かにパスワードを管理したり、テストやサーバー接続を自動化したりする場合に役立ちます。
資格情報マネージャーからパスワードを抽出する
それは可能ですか?まあ…
ここからが厄介なところです。Windowsでは、保存したパスワードを簡単に確認する方法が用意されていません。セキュリティ上のGet-StoredCredential理由から、意図的に隠されているからです。それでも、PowerShellといくつかのトリックを使えば、どうしても必要な場合はプレーンテキストのパスワードを抽出できます。鍵となるのは、CredentialManagerモジュールを使用することです。
まず、資格情報をリストします。
cmdkey.exe /list
抽出したいターゲットを選択します。そして、以下を実行します。
$cred = Get-StoredCredential -Target 'LegacyGeneric:target=termsrv/MUNRDS1'
パスワードを明らかにするには、安全な文字列からパスワードを復号化する必要があります。
[System. Runtime. InteropServices. Marshal]::PtrToStringAuto([System. Runtime. InteropServices. Marshal]::SecureStringToBSTR($cred. Password))
これは一応機能しますが、注意が必要です。公式にはサポートされていません。ハッキングに興味があるなら、Mimikatzなどのツールを使えばもっと簡単にできます。Windowsはパスワードをロックしたままにしておくように最大限の努力をしているので、注意して使用してください。
また、手っ取り早い方法としては、プレーンテキストまたは金庫に保存されているパスワードを取得できる Mimikatz などのツールがありますが、これは別の話であり、独自のシステムをテストしているのでなければ、あまりお勧めできません。
まとめ
正直なところ、Windows での資格情報の管理は面倒な作業です。特に、何かが壊れていたり、パスワードが保存されなかったりするとなおさらです。しかし、資格情報マネージャーにアクセスし、パスワードを追加、削除、さらには取得する方法を知っていれば、多少の手間は省けます。ただし、何をしているのかよく理解していない限り、パスワード抽出に熱中しすぎないようにしましょう。うまくいかない場合は、VaultSvc サービスと関連する GPO を再確認してください。
まとめ
- コントロール パネルまたはコマンド ラインから資格情報マネージャーにアクセスできます。
cmdkey資格情報の追加、一覧表示、削除などの迅速な管理に使用します。- CredentialManager モジュールを備えた PowerShell を使用すると、資格情報の処理を自動化したりスクリプト化したりできます。
- パスワードの抽出には、保存されている安全な文字列の暗号化解除が含まれるため、注意して使用してください。
まとめ
資格情報マネージャーを使いこなすのは、必ずしもスムーズではありません。特にWindowsがエラーを出したり、情報を隠したりする場合はなおさらです。しかし、少なくとも資格情報のトラブルシューティングやクリーンアップを行うためのコマンドとツールは手に入りました。これで、ログイン関連のトラブルで頭を悩ませる人が減ることを願っています。頑張ってください!