bahrialtay - Fotolia

Gespeicherte Windows-Anmeldeinformationen mit Tools löschen

Das die Windows-Zugangsdaten lokal gespeichert werden, ist für Anwender eine feine Sache, kann aber auch zum Sicherheitsproblem werden. Admins können diese per PowerShell löschen.

Anwender wissen es durchaus zu schätzen, dass die Windows-Anmeldeinformationen auf dem System zwischengespeichert werden. Probleme gibt es allerdings, wenn die Berechtigung und das aktuelle Passwort nicht synchronisiert wurden, oder übereinstimmen. Hat man irgendwo remote sein Passwort geändert, kann es schon mal passieren, dass zunächst auf einem anderen System noch die alten Credentials aktiv sind. Und spätestens wenn der Computer in falsche Hände gerät, kann dies ein Sicherheitsrisiko darstellen.

Die Anmeldeinformationen sind auf dem System sicher abgelegt, aber wenn kriminelle Energie im Spiel ist, dann können sich auch verschlüsselte Anmeldedaten auslesen lassen. Infolgedessen sollten Admins sich darüber im Klaren sein, wie sie einfach die Anmeldedaten vom System löschen können. Manuell kann das der Anwender natürlich einfach über die Systemsteuerung und den Credential Manager beziehungsweise der Anmeldeinformationsverwaltung erledigen. Windows 7 und Windows 10 unterscheiden sich da nur geringfügig. Dort dann einfach alle Anmeldedaten in einem Rutsch löschen.

Das wäre für Admins selbstredend zu zeitaufwändig, diese können den Prozess mithilfe des Kommandozeilen-Tools cmdkey und der PowerShell automatisieren.

Das Kommandozeilen-Tool cmdkey

Die einfachste Methode, um die gespeicherten Anmeldeinformationen zu löschen, ist das Kommandozeilen-Werkzeug cmdkey. Hiermit lassen sich die Anmeldedaten auflisten, entfernen oder aber auch neue hinzufügen. Zudem lässt sich cmdkey auch ganz trefflich ein PowerShell-Skript integrieren, um Vorgänge zu automatisieren.

Das Tool selbst funktioniert recht einfach, die Syntax lautet wie folgt:

CMDKEY [{/add | /generic}:Zielname {/smartcard | /user:Benutzername {/pass{:Kennwort}}} | /delete{:Zielname | /ras} | /list{:Zielname}]

Die verfügbaren Anmeldeinformationen lassen sich so auflisten:

cmdkey /list

oder

cmdkey /list:Zielname

Um neue Domänen-Anmeldeinformationen anzulegen, sind folgende Varianten möglich:

cmdkey /add:Zielname /user:Benutzername /pass:password

cmdkey /add:Zielname /user:Benutzername /pass

cmdkey /add:Zielname /user:Benutzername

cmdkey /add:Zielname /smartcard

Wenn das Passwort nicht mit übergeben wird, erfolgt eine entsprechende Anfrage und es muss eingegeben werden. Beim Anlegen von generischen Anmeldeinformationen ist der Schalter /add durch /generic zu ersetzen.

Mit Hilfe des Kommandozeilen-Tools cmdkey lassen sich unter Windows Anmeldeinformationen entfernen oder hinzufügen.
Abbildung 1: Mit Hilfe des Kommandozeilen-Tools cmdkey lassen sich unter Windows Anmeldeinformationen entfernen oder hinzufügen.

Bestehende Anmeldeinformationen löschen, erfolgt über folgenden Parameter:

cmdkey /delete:Zielname

Das funktioniert für RAS-Anmeldeinformationen so:

cmdkey /delete /ras

Werden englischsprachige Windows-Versionen genutzt, dann heißen die Parameter targetname (Zielname), username (Benutzername) sowie password (Kennwort).

Die PowerShell zum Löschen der Anmeldeinformationen nutzen

Für Admins ist es komfortabler die PowerShell für den Einsatz von cmdkey zu nutzen. Damit lassen sich die Aktionen auf mehreren Systemen gleichzeitig remote durchführen. Hierfür findet sich in der PowerShell Gallery das Modul PSCredentialManager. Admins können das Modul herunterladen und

PS> Install-Module -Name PSCredentialManager

installieren.

Nachdem das Modul installiert ist, stehen alle darin enthaltenen Kommandos zur Verfügung. Um beispielweise alle lokal gespeicherten Anmeldeinformationen abzufragen, führen Sie Get-CachedCredential aus. Auf einem Remote-Computer hinterlegte Anmeldeinformationen lassen sich wie folgt abfragen: Get-CachedCredential -ComputerName FOO. Das klappt selbstredend auch für mehrere Systeme auf einmal. Anstatt einen einzelnen Namen an den Parameter –ComputerName zu übergeben, lassen sich mehrere, durch Komma getrennte, Namen übergeben:

PS> Get-CachedCredential -ComputerName FOO,BAR,BAZ

Die anderen Kommandos funktionieren entsprechend mit den gleichen, allgemeinen Parametern. So lassen sich per Remove-CachedCredential gespeicherte Anmeldeinformationen entfernen. Entsprechend funktioniert das Anlegen von Anmeldeinformationen mit Add-CachedCredential.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Windows Defender per PowerShell verwalten

PowerShell-Beispiele zur Steuerung von Windows Defender

Per Gruppenrichtlinie die PowerShell absichern

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close