禁用Windows自动保存网络凭据的深度实践指南

1. 背景与安全风险分析

在企业或公共计算环境中，Windows操作系统默认启用“凭据管理器”（Credential Manager），用于缓存用户访问远程桌面（RDP）、共享文件夹（SMB）、Web资源（如IE/Edge保存的HTTP凭据）时输入的用户名和密码。虽然此功能提升了用户体验，但在多用户终端、共享工作站或高安全等级网络中，自动保存凭据可能导致严重的安全漏洞。

攻击者可通过物理访问或恶意脚本导出存储的凭据（例如使用mimikatz或cmdkey /list命令），进而横向移动或提权。尤其在域环境中，若普通用户账户被滥用，可能危及整个Active Directory基础设施。

2. 凭据存储机制解析

Windows通过以下组件管理网络凭据：

• Windows Credential Manager：图形化界面，管理Web、Windows和第三方应用凭据
• LSA Secrets：本地安全机构存储部分系统级凭据
• Credential Locker：Modern应用凭据存储
• Registry 存储路径：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Credentials

理解这些底层机制是制定有效策略的前提。

3. 组策略配置（推荐方式）

对于域环境，使用组策略对象（GPO）是最可靠且可集中管理的方法。以下策略适用于Windows 10/11及Windows Server 2016及以上版本。

策略名称	路径	设置值	适用场景
不允许保存密码	计算机配置 → 管理模板 → 系统 → 凭据分配	已启用	RDP连接
枚举存储的凭据时不显示密码	同上	已启用	增强安全性
禁止访问凭据管理器	用户配置 → 控制面板 → 禁止访问控制面板项	已启用，指定“credentialmanager”	防止用户手动添加
始终提示输入凭据	计算机配置 → 管理模板 → 网络 → LANA Manager 身份验证	已启用	SMB共享访问

4. 注册表级控制（适用于非域环境）

当无法使用组策略时，可通过修改注册表实现等效控制。以下为关键注册表项：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableDomainCreds"=dword:00000001

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefaultCredentials"=dword:00000000
"AllowSavedCredentials"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"fPromptForPassword"=dword:00000001
"fDisablePasswordSaving"=dword:00000001

上述设置将强制RDP客户端每次提示输入密码，并禁用SMB凭据缓存。

5. PowerShell自动化脚本部署

为批量部署，可使用PowerShell脚本统一配置注册表策略：

$RegistryPath_TS = "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services"
$RegistryPath_Cred = "HKCU:\Software\Policies\Microsoft\Windows\CredentialsDelegation"

New-Item -Path $RegistryPath_TS -Force
New-Item -Path $RegistryPath_Cred -Force

Set-ItemProperty -Path $RegistryPath_TS -Name "fDisablePasswordSaving" -Value 1 -Type DWord
Set-ItemProperty -Path $RegistryPath_TS -Name "fPromptForPassword" -Value 1 -Type DWord
Set-ItemProperty -Path $RegistryPath_Cred -Name "AllowSavedCredentials" -Value 0 -Type DWord

Write-Host "RDP与凭据缓存策略已禁用" -ForegroundColor Green

该脚本可集成至登录脚本或MDT部署流程中。

6. 实际影响与兼容性考量

禁用自动保存凭据后，需评估对业务的影响：

• 正面效果：减少凭据泄露面，符合ISO 27001、NIST SP 800-53等合规要求
• 潜在问题：自动化任务（如计划任务映射网络驱动器）可能失败
• 缓解措施：使用服务账户+Kerberos委托，或通过脚本动态传入凭据（不持久化）

7. 安全加固流程图

graph TD A[开始] --> B{是否为域环境?} B -- 是 --> C[配置GPO策略] B -- 否 --> D[执行本地注册表修改] C --> E[链接GPO至OU] D --> F[运行PowerShell脚本] E --> G[强制组策略更新: gpupdate /force] F --> G G --> H[验证凭据是否仍被缓存] H --> I[测试RDP/SMB连接行为] I --> J[完成安全加固]

8. 验证与审计方法

实施后应进行如下验证：

1. 尝试RDP连接目标主机，确认是否提示输入密码
2. 运行cmdkey /list，检查无新凭据被保存
3. 查看事件日志Security通道，ID 4648（显式凭据登录）是否正常记录
4. 使用Get-StoredCredential（需安装模块）检测遗留凭据
5. 模拟低权限用户登录，确认无法访问他人凭据
6. 定期审计注册表项和GPO应用状态
7. 监控LSA保护机制是否启用（Device Guard）
8. 检查BitLocker与TPM是否配合保护离线数据
9. 审查第三方RDP管理工具是否绕过策略
10. 开展红队演练测试凭据提取可行性