Windows 凭据管理器

对手可能会从 Windows 凭据管理器中获取凭据。凭据管理器存储用于通过 NTLM 或 Kerberos 进行身份验证的网站、应用程序和/或设备的凭据，存储在凭据锁中（以前称为 Windows 保险库）。(引用: Microsoft Credential Manager store)(引用: Microsoft Credential Locker) Windows 凭据管理器将网站凭据与应用程序或网络凭据分开存储在两个锁中。作为 来自 Web 浏览器的凭据 的一部分，Internet Explorer 和 Microsoft Edge 网站凭据由凭据管理器管理，并存储在 Web 凭据锁中。应用程序和网络凭据存储在 Windows 凭据锁中。 凭据锁将凭据存储在加密的 .vcrd 文件中，位于 %Systemdrive%\Users\\[Username]\AppData\Local\Microsoft\\[Vault/Credentials]\ 下。加密密钥可以在名为 Policy.vpol 的文件中找到，通常位于与凭据相同的文件夹中。(引用: passcape Windows Vault)(引用: Malwarebytes The Windows Vault) 对手可能通过多种机制列出由 Windows 凭据管理器管理的凭据。vaultcmd.exe 是一个本机 Windows 可执行文件，可用于通过命令行界面枚举存储在凭据锁中的凭据。对手还可以通过直接读取凭据锁内的文件来收集凭据。Windows API，例如 CredEnumerateA，也可能被滥用来列出由凭据管理器管理的凭据。(引用: Microsoft CredEnumerate)(引用: Delpy Mimikatz Crendential Manager) 对手还可能从凭据备份中获取凭据。可以通过运行 rundll32.exe keymgr.dll KRShowKeyMgr 然后在“存储的用户名和密码”GUI 上选择“备份...”按钮来执行凭据备份和恢复。 密码恢复工具还可以从凭据管理器中获取明文密码。(引用: Malwarebytes The Windows Vault)