bahrialtay - Fotolia
Gespeicherte Windows-Anmeldeinformationen mit Tools löschen
Das die Windows-Zugangsdaten lokal gespeichert werden, ist für Anwender eine feine Sache, kann aber auch zum Sicherheitsproblem werden. Admins können diese per PowerShell löschen.
Anwender wissen es durchaus zu schätzen, dass die Windows-Anmeldeinformationen auf dem System zwischengespeichert werden. Probleme gibt es allerdings, wenn die Berechtigung und das aktuelle Passwort nicht synchronisiert wurden, oder übereinstimmen. Hat man irgendwo remote sein Passwort geändert, kann es schon mal passieren, dass zunächst auf einem anderen System noch die alten Credentials aktiv sind. Und spätestens wenn der Computer in falsche Hände gerät, kann dies ein Sicherheitsrisiko darstellen.
Die Anmeldeinformationen sind auf dem System sicher abgelegt, aber wenn kriminelle Energie im Spiel ist, dann können sich auch verschlüsselte Anmeldedaten auslesen lassen. Infolgedessen sollten Admins sich darüber im Klaren sein, wie sie einfach die Anmeldedaten vom System löschen können. Manuell kann das der Anwender natürlich einfach über die Systemsteuerung und den Credential Manager beziehungsweise der Anmeldeinformationsverwaltung erledigen. Windows 7 und Windows 10 unterscheiden sich da nur geringfügig. Dort dann einfach alle Anmeldedaten in einem Rutsch löschen.
Das wäre für Admins selbstredend zu zeitaufwändig, diese können den Prozess mithilfe des Kommandozeilen-Tools cmdkey und der PowerShell automatisieren.
Das Kommandozeilen-Tool cmdkey
Die einfachste Methode, um die gespeicherten Anmeldeinformationen zu löschen, ist das Kommandozeilen-Werkzeug cmdkey. Hiermit lassen sich die Anmeldedaten auflisten, entfernen oder aber auch neue hinzufügen. Zudem lässt sich cmdkey auch ganz trefflich ein PowerShell-Skript integrieren, um Vorgänge zu automatisieren.
Das Tool selbst funktioniert recht einfach, die Syntax lautet wie folgt:
CMDKEY [{/add | /generic}:Zielname {/smartcard | /user:Benutzername {/pass{:Kennwort}}} | /delete{:Zielname | /ras} | /list{:Zielname}]
Die verfügbaren Anmeldeinformationen lassen sich so auflisten:
cmdkey /list
oder
cmdkey /list:Zielname
Um neue Domänen-Anmeldeinformationen anzulegen, sind folgende Varianten möglich:
cmdkey /add:Zielname /user:Benutzername /pass:password
cmdkey /add:Zielname /user:Benutzername /pass
cmdkey /add:Zielname /user:Benutzername
cmdkey /add:Zielname /smartcard
Wenn das Passwort nicht mit übergeben wird, erfolgt eine entsprechende Anfrage und es muss eingegeben werden. Beim Anlegen von generischen Anmeldeinformationen ist der Schalter /add durch /generic zu ersetzen.
Bestehende Anmeldeinformationen löschen, erfolgt über folgenden Parameter:
cmdkey /delete:Zielname
Das funktioniert für RAS-Anmeldeinformationen so:
cmdkey /delete /ras
Werden englischsprachige Windows-Versionen genutzt, dann heißen die Parameter targetname (Zielname), username (Benutzername) sowie password (Kennwort).
Die PowerShell zum Löschen der Anmeldeinformationen nutzen
Für Admins ist es komfortabler die PowerShell für den Einsatz von cmdkey zu nutzen. Damit lassen sich die Aktionen auf mehreren Systemen gleichzeitig remote durchführen. Hierfür findet sich in der PowerShell Gallery das Modul PSCredentialManager. Admins können das Modul herunterladen und
PS> Install-Module -Name PSCredentialManager
installieren.
Nachdem das Modul installiert ist, stehen alle darin enthaltenen Kommandos zur Verfügung. Um beispielweise alle lokal gespeicherten Anmeldeinformationen abzufragen, führen Sie Get-CachedCredential aus. Auf einem Remote-Computer hinterlegte Anmeldeinformationen lassen sich wie folgt abfragen: Get-CachedCredential -ComputerName FOO. Das klappt selbstredend auch für mehrere Systeme auf einmal. Anstatt einen einzelnen Namen an den Parameter –ComputerName zu übergeben, lassen sich mehrere, durch Komma getrennte, Namen übergeben:
PS> Get-CachedCredential -ComputerName FOO,BAR,BAZ
Die anderen Kommandos funktionieren entsprechend mit den gleichen, allgemeinen Parametern. So lassen sich per Remove-CachedCredential gespeicherte Anmeldeinformationen entfernen. Entsprechend funktioniert das Anlegen von Anmeldeinformationen mit Add-CachedCredential.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
