Magatzem de credencials de Windows

1 Març 2016
Josep Ma Solanes 0

Aquesta paraula tan estranya anomenada credencial no deixa de ser res més que un nom d’usuari amb una contrasenya associada, un certificat d’usuari o de dispositiu o token. La credencial ens identifica al sistema informàtic per poder accedir a un recurs de xarxa, una pàgina Web, una aplicació, etc…

En un entorn empresarial, normalment, iniciant la sessió en un dels equips de la xarxa amb el nom d’usuari i contrasenya que ens han facilitat per identificar-nos (la nostra credencial), ens dóna accés a tots els recursos de la xarxa als que hi tenim permís: els servidors de fitxers, la intranet, l’aplicació de gestió empresarial, la connexió a Internet, etc… sense necessitat de preguntar-nos a cada moment qui som (tornar a introduir les credencials).
Què passa quan no disposem d’un equip integrat a una xarxa empresarial (domini de Active Directory), com pot ser l’ordinador de casa; o hem d’accedir a recursos externs, com un altre ordinador a la xarxa de casa o un recurs extern a la xarxa empresarial. Per exemple un tècnic que viatja a diferents clients, on cada client té el seu domini de seguretat. Quan intenta connectar-se als recursos de l’altra xarxa, cada cop se li demana un nom d’usuari i contrasenya vàlid per aquella xarxa.
O creem el mateix usuari i contrasenya a tot arreu, cosa què és un forat de seguretat immens. O bé, establim unes credencials diferents a cada lloc i les guardem al nostre magatzem de credencials.
Per tant, el magatzem de credencials permet guardar les diferents credencials dels diferents recursos externs per tal que el sistema les utilitzi de forma transparent, sense demanar-nos-les cada vegada, quan les necessitem.
A partir de Microsoft Windows 8 en aquest magatzem de credencials també s’hi poden guardar les d’alguns tipus de pàgines Web a les que s’hi accedeix mitjançant Microsoft Edge o Internet Explorer. Com que no totes les webs ho permeten, depèn de la programació de cada lloc, millor us recomano utilitzar un gestor de contrasenyes tipus KeePass o 1Password.

 

Ull amb els bloquejos de comptes per tenir-los guardats al magatzem de credencials!

Sobretot quan es treballa amb sistemes que bloquegen els comptes després d’una sèrie d’intents fallits, com poden ser els dominis empresarials d’Active Directory. Si la contrasenya s’ha canviat o ha caducat, sense haver modificat les credencials del magatzem, quan l’equip intenta accedir al recurs per xarxa, es valida amb les credencials guardades al magatzem. Si aquestes ja no són vàlides, el sistema li denega l’accés una i una altra vegada fins que bloqueja el compte per evitar més intents fallits.

És un dels punts que tot administrador de sistemes ha de revisar i controlar quan té bloquejos constants d’un compte d’usuari.

Accedir a l’Administrador de Credencials de Windows

Des de la pantalla inicial, botó dret del ratolí damunt del botó de Inici i clicar a Tauler de control.

credencials-de-windows-01

Depenent de la vista que tinguem per defecte podrem veure les icones del tauler de control. Si no els veiem, a la part superior dreta, clicar a veure per i seleccionar Icones petites. Clicar a Administrador de credencials.

credencials-de-windows-02

S’inicia l’aplicació i l’únic que veiem són dos grups diferents:

  • Credencials Web. Disponible a partir de la versió de Microsoft Windows 8. En aquest apartat es guarden els comptes d’usuari i contrasenya de pàgines Web a les que s’hi accedeix mitjançant el navegador Edge o Internet Explorer. A banda de visualitzar les credencials emmagatzemades o esborrar-les del magatzem, poca cosa més hi podem fer en aquest apartat.
  • Credencials de Windows. Es guarden els comptes d’usuari i contrasenya, certificats i altres, dels accessos a altres equips o recursos externs al nostre equip. És la part interessant a la que està dedicada aquesta entrada.

credencials-de-windows-03

 

Credencials de Windows

És la part on s’emmagatzemen les credencials externes que guardem al nostre sistema. Per exemple, quan accedim a un recurs extern de la xarxa i indiquem que guardi l’usuari i contrasenya per no tornar-lo a demanar cada cop que s’utilitza el recurs es guarda aquí dins. Per tant, és un punt important a tenir controlat, veiem-ho amb un exemple. S’intenta accedir a un equip extern a l’ordinador al que no em coincideix el nom d’usuari i la contrasenya. El sistema demana les credencials per accedir a aquest recurs, donant la possibilitat de guardar-les. Introdueixo les correctes i clico el piscu de guardar.

credencials-de-windows-04

Anant a l’Administrador de Credencials, a l’apartat de Credencials de Windows, s’ha afegit al llistat el nom de l’equip extern.

credencials-de-windows-05

Clicant damunt el recurs, en la foto l’equip que es diu Jarvis, es visualitza el destí, el nom d’usuari i la possibilitat d’editar la contrasenya guardada o esborrar-la del magatzem. Així de senzill.

credencials-de-windows-06

És possible afegir les credencials manualment, sense haver d’esperar a accedir a l’equip en qüestió per marcar recordar, per exemple, per indicar les credencials d’accés a tot un domini de seguretat. Per fer-ho, només cal clicar a l’opció Afegir de cada apartat corresponent de credencials (de Windows, certificat o genèrica), depenent de la necessitat.

credencials-de-windows-07

Indicar el nom del recurs extern, ja sigui l’adreça IP (192.168.0.1), el nom de l’equip (servidor) amb el què s’accedeix a ell o el domini sencer amb l’asterisc (*.nomdeldomini) per incloure tots els equips que portin la cua. Escriure el nom d’usuari i la contrasenya correcta a utilitzar. Clicar el botó Acceptar.

credencials-de-windows-08

 

Estan segures aquestes credencials?

És la pregunta del milió i la resposta és sempre la mateixa: No. No hi ha res segur al 100% en aquest món. Encara que agafis un ordinador, el desconnectis de totes les xarxes existents i per existir, el posis dins d’una caixa forta i l’enterris a 30 metres sota terra, etc… Cosa que tampoc he entès mai si el seu ús seria massa pràctic, s’hi podria arribar a accedir. Mireu el cas del virus Flame dirigit a equips molt específics (centrifugadores nuclears) desconnectats de qualsevol xarxa i que els van aconseguir infectar.

Ara bé, si la pregunta és: Em puc refiar de guardar les credencials en aquest magatzem? La resposta és Sí amb matisos. Sí pels accessos transparents a diferents recursos de les xarxes internes (no recursos que estan a Internet), amb les que he d’estar físicament connectat per accedir-hi i sempre i quan tingui el sistema de control de comptes d’usuari de Windows (UAC – User Account Control) activat, per saber quan una aplicació fora del sistema operatiu intenta accedir a aquest magatzem i així poder-ho bloquejar en cas que no hagi estat jo qui ho ha demanat.

Ho podeu comprovar anat al Tauler de control > Comptes d’Usuari > Canviar la configuració del Control de comptes d’Usuari.

credencials-de-windows-09

El Control de Comptes d’Usuari pot arribar a ser una mica molest al principi, però t’hi arribes a acostumar i us salva d’aquests petits detalls que poden acabar amb lamentacions molt grans.

El magatzem de credencials està xifrat, és a dir, que de forma normal no es veu el seu contingut, però això no vol dir que es pugui veure. De fet, les aplicacions i el sistema operatiu necessiten poder accedir-hi i veure-les de forma clara. Existeixen aplicacions externes al sistema com Network Password Recovery que són capaces de llegir i ensenyar en clar les contrasenyes guardades al magatzem. I sí, per accedir al magatzem amb aquesta aplicació i el control de comptes d’usuari habilitat, abans demana permís per fer-ho, depenent de la nostra resposta hi tindrà accés o no. En la foto podeu veure el simple i ràpid de veure els comptes i contrasenyes amb aquesta aplicació, el recurs jarvis pertany a un domini i s’hi accedeix amb l’usuari Usuaridecasa que té com a contrasenya 1234.

credencials-de-windows-10

Com a resum, no guardeu contrasenyes molt sensibles en aquests magatzem, com ara les bancàries, de la mateixa forma que no ho fareu en cap navegador Web (Firefox, Chrome, Opera, etc…). Com he comentat anteriorment, tot i que tampoc estareu exempts al 100%, però sí una mica més segurs, utilitzeu un gestor de contrasenyes (KeePass, 1Password…).
Pels recursos de xarxes interns, com que és necessari tenir-hi accés físic, fora de l’accés lliure d’Internet, sí que podeu utilitzar aquest magatzem sempre que ho feu en equips controlats per vosaltres mateixos. Tampoc es tracta d’anar escampant les contrasenyes per tots els equips de la xarxa.

 

On és el magatzem que guarda les nostres credencials?

Depèn de si l’equip i l’usuari pertany a una xarxa particular o empresarial (es troba dins un domini de seguretat):

  • Si el compte d’usuari és d’un domini, xarxa empresarial, com que és possible que l’usuari pugui canviar d’equip (perfils mòbils), el magatzem de credencials es troba dins l’apartat mòbil del perfil de l’usuari (Appdata\Local), a la ruta: %appdata%\Microsoft\Vault.
  • Si el compte d’usuari és local, com el cas d’una particular, el magatzem de credencials es troba dins el perfil local de l’usuari (Appdata\Roaming), a la ruta: %localappdata%\Microsoft\Vault.

Si escrivim la ruta anterior, segons correspongui, a l’Explorador de Windows o a la comanda executar de Windows (combinació de tecles Windows +R),

credencials-de-windows-11

Apareix la carpeta amb els diferents fitxers que conformen el magatzem de credencials.

credencials-de-windows-12

És interessant saber on paren aquests fitxers, però recordeu que estan xifrats. No serveix de massa copiar aquesta carpeta en un altre ordinador per veure’n o recuperar el seu contingut.

 

Còpia de seguretat del magatzem

Els fitxers no es poden copiar tal qual, però sí es pot fer una còpia de seguretat del magatzem per recuperar-lo al mateix o en un altre ordinador. De fet, si es volen conservar els comptes amb les contrasenyes de Windows és molt recomanable fer aquesta còpia de tant en tant. Les credencials de les Webs no entren dins aquesta còpia de seguretat i per tant, no es podran recuperar.

Per fer la còpia de seguretat, des de l’administrador de credencials, a l’apartat Credencials de Windows. Clicar a Còpia de seguretat de credencials.

credencials-de-windows-13

Clicar el botó Examinar per indicar la ubicació i el nom del fitxer que contindrà la còpia de seguretat de les credencials de Windows. Clicar el botó Següent per continuar.

credencials-de-windows-14

S’adverteix que per fer la còpia de seguretat, s’ha de fer en un entorn segur que requereix validar-se. Prémer la combinació de tecles CONTROL ALT i SUPRIMIR alhora.

credencials-de-windows-15

Escriure una contrasenya pel fitxer de la còpia de seguretat. Cal repetir-la per assegurar que s’ha introduït correctament. Clicar el botó Següent per continuar.

credencials-de-windows-16

S’informa que s’ha fet correctament la còpia de seguretat. Clicar el botó Finalitzar.

 

credencials-de-windows-17

Recuperar el magatzem de credencials de Windows

Tornant a l’administrador de Credencials, a l’apartat de Credencials de Windows, clicar a Recuperar credencials.

credencials-de-windows-18

Indicar el fitxer amb la còpia de seguretat de les credencials de Windows. Clicar el botó Següent.

credencials-de-windows-19

S’informa que la recuperació ha de ser en un entorn segur, cal prémer la combinació de tecles CONTROL ALT i SUPRIMIR alhora.

credencials-de-windows-20

Introduir la contrasenya del fitxer de còpia de seguretat de les credencials de Windows i clicar el botó Següent.

credencials-de-windows-21

S’informa que s’ha recuperat el magatzem. Clicar el botó Finalitzar.

credencials-de-windows-22

D’entrada no es veu cap modificació, però si cliquem damunt Credencials de Windows per refrescar el llistat apareixen les credencials que s’han recuperat de la còpia de seguretat.

La recuperació és total, és a dir, es recuperen les credencials tal com estaven a la còpia de seguretat. Si al magatzem hi ha una credencial que no existeix a la còpia de seguretat, quan aquesta es recupera es perden.

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada