Доступ к диспетчеру учетных данных от имени доверенного вызывающего
В этой статье описываются рекомендуемые методики, расположение, значения, управление политиками и рекомендации по безопасности для диспетчера учетных данных для доступа в качестве параметра политики безопасности доверенного вызывающего абонента .
Справочные материалы
Параметр политики Access Credential Manager в качестве доверенного вызывающего абонента используется диспетчером учетных данных во время резервного копирования и восстановления. Ни у каких учетных записей не должно быть этих привилегий, так как они назначены только службе Winlogon. Сохраненные учетные данные пользователей могут быть скомпрометированы, если эти привилегии предоставлены другим сущностям.
Возможные значения
- Определяемый пользователей список учетных записей
- Не определено
Рекомендации
- Не изменяйте этот параметр политики по умолчанию.
Расположение
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию
В следующей таблице показано значение по умолчанию для типа сервера или групповая политика Object (GPO).
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Не определено |
| Действующие параметры по умолчанию для контроллера домена | Не определено |
| Действующие параметры по умолчанию для рядового сервера | Не определено |
| Действующие параметры клиентского компьютера по умолчанию | Не определено |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Для активации этого параметра политики не требуется перезагрузка компьютера.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются в следующем порядке через объект групповая политика , который перезаписывает параметры на локальном компьютере при следующем обновлении групповая политика:
- Параметры локальной политики
- Параметры политики сайта
- Параметры политики домена
- Параметры политики подразделения
Если локальный параметр выделен серым цветом, он указывает, что объект групповой политики в настоящее время управляет этим параметром.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Если учетной записи предоставлено это право, пользователь учетной записи может создать приложение, которое вызывает диспетчер учетных данных и возвращает учетные данные для другого пользователя.
Противодействие
Не определяйте диспетчер учетных данных доступа как параметр политики доверенного вызывающего абонента для любых учетных записей, кроме диспетчера учетных данных.
Возможное влияние
Нет. Не определена конфигурация по умолчанию.
Доступ к диспетчеру учетных данных
Диспетчер учетных данных позволяет просматривать и удалять сохраненные учетные данные для веб-сайтов, приложений и сетей.
- Чтобы открыть диспетчер учетных данных, введите диспетчер учетных данных в поле поиска на панели задач и выберите панель управления диспетчера учетных данных.
- Выберите Учетные данные веб-сайтов или Учетные данные Windows для доступа к учетным данным, которыми вы хотите управлять.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Использование диспетчера учетных данных Git для проверки подлинности в Azure Repos
Диспетчер учетных данных Git упрощает проверку подлинности с помощью репозиториев Git Azure Repos. Диспетчеры учетных данных позволяют использовать те же учетные данные, что и для веб-портала Azure DevOps Services. Диспетчеры учетных данных поддерживают многофакторную проверку подлинности с помощью учетной записи Майкрософт или идентификатора Microsoft Entra. Помимо поддержки многофакторной проверки подлинности с помощью Azure Repos, диспетчеры учетных данных также поддерживают двухфакторную проверку подлинности с помощью репозиториев GitHub.
Azure Repos обеспечивает IDE для учетной записи Майкрософт и проверки подлинности Microsoft Entra с помощью следующих клиентов:
- Team Explorer в Visual Studio
- IntelliJ и Android Studio с подключаемым модулем Azure Repos для IntelliJ
Если в вашей среде нет доступной интеграции, настройте интегрированную среду разработки с использованием личного маркера доступа или SSH для подключения к репозиториям.
Установка диспетчера учетных данных Git
Windows
Скачайте и запустите последний установщик Git для Windows, который включает диспетчер учетных данных Git. Обязательно включите параметр установки диспетчера учетных данных Git.
macOS и Linux
Вы можете использовать ключи SSH для проверки подлинности в Azure Repos или использовать диспетчер учетных данных Git.
Инструкции по установке включены в репозиторий GitHub для GCM. В Mac рекомендуется использовать Homebrew. В Linux можно установить из deb или tarball.
Использование диспетчера учетных данных Git
При первом подключении к репозиторию Git из клиента Git диспетчер учетных данных запрашивает учетные данные. Укажите учетную запись Майкрософт или учетные данные Microsoft Entra. Если у вашей учетной записи включена многофакторная проверка подлинности, диспетчер учетных данных также предложит вам пройти этот процесс.
После проверки подлинности диспетчер учетных данных создает и кэширует личный маркер доступа для будущих подключений к репозиторию. Команды Git, которые подключаются к этой учетной записи, не будут запрашивать учетные данные пользователя до истечения срока действия маркера. Маркер можно отозвать с помощью Azure Repos.
Получение справки
Вы можете открыть и сообщить о проблемах с диспетчером учетных данных Git в проекте GitHub.
Диспетчер учетных данных
Диспетчер учетных данных аналогичен поставщику сети тем, что он предоставляет точки входа, вызываемые маршрутизатором с несколькими поставщиками (MPR). На самом деле некоторые сетевые поставщики также являются диспетчерами учетных данных.
Реализация функций управления учетными данными в той же библиотеке DLL, что и функции поставщика сети, зависит от требований приложения. Диспетчеры учетных данных получают уведомления при изменении сведений о проверке подлинности. Например, диспетчеры учетных данных получают уведомления при входе пользователя в систему или изменении пароля учетной записи. Когда процесс входа, например Winlogon, находится в процессе входа или изменения пароля для учетной записи, он вызывает соответствующую функцию MPR Windows Networking (WNet). Затем MPR вызывает соответствующую точку входа для каждого диспетчера учетных данных. Эти функции управления учетными данными всегда будут вызываться в системном контексте LocalSystem, а не в контексте пользователя. Дополнительные сведения о функциях WNet см. в разделе Сеть Windows. Дополнительные сведения об интерфейсе, который должны реализовать диспетчеры учетных данных, см. в разделе API управления учетными данными.
Обратная связь
Были ли сведения на этой странице полезными?