360安全卫士开启后远程桌面无法保存密码

一、问题现象与初步定位

在启用360安全卫士后，Windows远程桌面连接（Remote Desktop Connection, mstsc.exe）无法保存账户密码，每次连接均需手动输入。该问题广泛存在于企业IT运维场景中，尤其影响需要频繁访问多台服务器的管理员。

典型表现为：用户在远程桌面客户端勾选“允许我保存凭据”后，重启连接仍提示输入密码，且通过控制面板 → 凭据管理器查看时，未生成对应的远程桌面凭据条目。

初步判断指向第三方安全软件对系统关键组件的干预，尤其是涉及凭据存储的敏感操作。

二、技术原理深度剖析

Windows远程桌面凭据保存依赖于Credential Manager服务，其底层调用credui.dll和LSASS进程完成凭据加密与持久化存储。当360安全卫士启用“系统防护”模块时，其内核级驱动会监控以下关键行为：

• 对Windows Credentials的写入请求
• mstsc.exe进程尝试调用CredWrite API
• 注册表HKEY_CURRENT_USER\Software\Microsoft\Credentials的修改

360的“远程桌面保护”功能默认策略可能将此类行为标记为潜在风险，触发拦截机制，导致凭据写入失败。

三、诊断流程与分析方法

为精准定位问题，建议按以下流程进行排查：

1. 确认是否仅在启用360时出现该问题（可临时退出360验证）
2. 检查事件查看器中是否存在Security或Application日志中的访问拒绝记录
3. 使用Process Monitor监控mstsc.exe对注册表和文件系统的写入行为
4. 查看360安全卫士的“防护日志”中是否有相关拦截记录
5. 验证组策略是否禁用了凭据保存功能（Computer Configuration\Administrative Templates\System\Credentials Delegation）

四、解决方案汇总

五、高级配置示例

若选择方案2，可通过以下步骤将远程桌面程序加入信任：

# 360安全卫士v12.x路径示例
1. 打开360安全卫士 → 功能大全 → 系统防护
2. 进入“信任区”设置
3. 添加程序路径：
   C:\Windows\System32\mstsc.exe
4. 在“防护日志”中筛选“凭证管理拦截”事件，确认无后续阻断
    

六、自动化检测脚本（PowerShell）

可用于批量检测终端是否存在凭据写入限制：

function Test-RDP CredentialPersistence {
    $testPath = "$env:USERPROFILE\AppData\Local\Microsoft\Credentials"
    if (-not (Test-Path $testPath)) {
        Write-Host "凭据目录缺失，可能存在系统策略限制" -ForegroundColor Red
        return $false
    }

    $process = Get-Process -Name "mstsc" -ErrorAction SilentlyContinue
    if ($process) {
        $mod = $process.Modules | Where-Object { $_.ModuleName -eq "credui.dll" }
        if ($mod -and $mod.FileName -match "blocked") {
            Write-Host "检测到credui.dll被拦截" -ForegroundColor Red
            return $false
        }
    }

    # 检查360相关驱动加载
    $driver = Get-WindowsDriver -Online -All | Where-Object { $_.ProviderName -like "*Qihoo*" }
    if ($driver) {
        Write-Host "检测到360驱动加载：" $driver.Driver -ForegroundColor Yellow
    }
    return $true
}
    

七、Mermaid 流程图：问题排查逻辑树