标签: credentials

我有一个凭据提供程序没有按照我希望的方式行事。它提供辅助身份验证，但它的范围是针对主机范围内的所有交互式 Windows 登录，而不是针对特定用户。

除了凭据提供程序之外，还安装了凭据提供程序过滤器。凭据提供程序过滤器将登录屏幕上的凭据提供程序的使用限制为仅此凭据提供程序。然而，如果凭证提供者过滤器被移除（通过删除下面的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters），那么用户可以将凭证提供者更改为任何其他可用的凭证提供者（包括我们的好老朋友PasswordProvider）。

我的目的是强制某些用户使用凭证提供程序。例如，如果此用户尝试使用另一个凭据提供程序登录，那很好，但我希望 AD 拒绝此请求……只允许从正确的凭据提供程序调用的请求。

这可能吗？我希望有一种方法可以在 AD 中配置用户对象来限制可接受的凭据提供程序。

谢谢

假设我们的 ActiveDirectory 域中有大约 300 台 Windows XP 计算机用于处理某些内容。每个都有一个帐户，该帐户以机器名称为模式。由于这些被视为普通域帐户，因此它们需要遵守每月更改密码的要求。

我们有技术人员每个月都会检查并更改密码，但这很乏味、容易出错且耗时。为了让它变得更好，我将开始以编程方式更改 300 多个帐户的密码。

然而，这提出了一个问题。机器以我们正在更改的用户帐户登录，默认情况下不更新缓存的凭据，这最终会在尝试访问网络上的位置时锁定帐户。

有没有办法在不锁定/记录的情况下更新机器上的缓存凭据？也许是策略设置？

一位 SEO 顾问已询问（要求）网络环境的凭据，以便他可以做......无论他们做什么。

我是公司的新手，但我是一位经验丰富的系统工程师。我刚刚陷入这种情况，但我对给他证书的反应是非常坚定的“不”，除非他能提供一个令人信服的理由，这将是即将到来的。在我被带进来之前，他已经得到了相关文件的存档，但他说这还不够。

我对 SEO 知之甚少（无可否认）告诉我，他应该能够获得他想要的所有内容view source或文件副本，并且我们将在审查后在生产部署中实施他的更改。

我在 Windows 上，使用 SVN 作为 SharpSVN 库的一部分。我需要以纯文本形式存储我的密码。我尝试将以下内容放入我的servers文件中：

store-passwords = yes
store-plaintext-passwords = yes
store-auth-creds = yes
store-ssl-client-cert-pp-plaintext = yes

这是我在config文件中的内容：

### To disable all password stores, use an empty list:
password-stores =

然而，这是我在检出存储库后在 \auth\svn.simple\0675.. 文件中看到的内容：

K 8
passtype
V 8
wincrypt
K 8
password
V 372
AQAA...

我在这里做错了什么？

我想清除用户在远程机器上存储的凭据。无需让用户登录并打开 Cred 管理器 GUI 或在他们登录的情况下运行 CMDKEY。

用户配置文件下的文件系统上是否有存储凭据的位置？我可以通过这种方式将它们从文件系统中删除以清除其他用户的缓存凭据吗？

设置：我有一个应用程序，我目前在服务器上手动部署。它需要多个凭据（外部服务的客户端机密、令牌以及 AES 密钥和 IV 等），我目前已将这些凭据存储在使用gpg. 每当我重新启动应用程序时，我都会gpg在控制台中解锁-key，然后服务将从应用程序脚本中再次解密文件（因为gpg-agent密码在内存中保留有限的时间）并通过管道解析它们。

这种方法的优点是，gpg访问它们所需的凭据和-passphrase 都不会持久化到磁盘，只保存在内存中。因此，即使具有完全的 root 访问权限，也无法恢复凭据。唯一的机会是在gpg-key 保持解锁状态的短时间内获得访问权限。

缺点是 (a) 其他用户无法启动该服务（除非我们共享我的帐户）和 (b) 应用程序无法通过任何自动方式启动。

github 上的creds项目与我正在做的类似，但仍然存在上述缺点。可以使用多个gpg密钥对文件进行加密，然后尝试使用所有密钥对其进行解密，直到成功为止。

问题：有什么更好的方法来处理 (a) 多个用户无需共享密钥或帐户即可访问的凭据，(b) 可通过 CI/CD 系统访问（每次部署发生时我都没有控制台）， (c) 只在内存中保存密码数据？使用多个gpg键的“解决方法”看起来像一个复杂的黑客，并且不适用于 CI/CD 系统。

我使用 Powershell 将 vSphere 环境的凭据保存到文本文件中ConvertFrom-SecureString。我想使用以下命令在我的 powershell 脚本中使用此凭据：

$password4host = get-content C:\shutdown\HostsCred.txt | convertto-securestring

如果我想通过服务执行 powershell 脚本，我会收到无法从文本文件中读取凭据的错误。这似乎属于这样的事实：将安全字符串保存在文本文件中与将这些凭据保存到文本文件的用户绑定在一起。只有用户自己才能解密凭证。

代码片段：

$time = ( get-date ).ToString('HH-mm-ss')
$date = ( get-date ).ToString('dd-MM-yyyy')
$logfile = New-Item -type file "C:\shutdown\ShutdownLog-$date-$time.txt" -Force
Import-Module -Name VMware.*
# Some variables
$vcenter = "10.10.10.10"
$username = "fakeuser@vsphere.local"
$username4host = "fakeuser"
$cluster = "ESXi-Cluster"
$datacenter = "Datacenter"
$vCenterVMName = "VMware vCenter Server" #Name of vCenter VM
$StarWindVM1 = "Starwind-VM" #Name of first StarWind VM
$StarWindVM2 = "Starwind-VM (1)" #Name of …

许多非技术用户目前在 Windows 上使用 FileZilla 管理安全数据。因此，SFTP 凭据在组织中广泛共享。

我想集中管理凭据，以便用户无法直接查看它们。使用 FileZilla，凭据存储在非加密文件 Settings.xml 中。

是否有使用任何用户友好的 Windows SFTP 客户端来集中管理 SFTP 凭据并防止用户直接访问凭据的方法？

我们有几个 Windows Server 2003 机器，一夜之间，他们安装了自动更新。

今天早上，用户无法访问他们以前可以访问的共享，并被提示输入凭据。输入凭据时，身份验证似乎失败。

更令人担忧的是，我作为管理员，也总是被提示输入凭据，而我以前从未这样做过。当我输入凭据时，身份验证也失败。

即使尝试转到服务器的根目录以查看所有共享（即“\Server_name\”）时也会发生这种情况

有没有其他人发现情况如此？

我有一个客户，他的用户都通过 RDP 访问解决方案，并且在 AD 中都设置为“密码永不过期”。

我们正在执行密码过期策略并引入自助凭据管理器，以允许用户在密码过期时更改其密码。

但是，我注意到，一旦我取消选中用户的“密码永不过期”，该用户将立即无法登录。如果我在本地尝试该帐户，则会提示我密码已过期。如果我进入 AD 并更改密码，该帐户可以再次登录。

如果我不得不猜测，我会说 Windows 可能会识别出我当前的密码大于 X 天之类的。

值得一提的是，“帐户到期”选项仍设置为“从不”，但我已尝试将其调整到未来，但没有任何区别。

我真正想做的是让时钟倒转，这样当我取消选中“密码永不过期”选项时，用户有很短的时间......也许是 7 天左右的时间来更新他们的密码，然后他们无法登录，但在此期间他们可以保留和使用现有密码。

任何帮助是appriciated :)