trekki1990
Goto Top

Generische Anmeldeinformationen abschalten

Einen wunderschönen guten Tag gewünscht!

Gibt es einen Weg zu verhindern, dass die Nutzer die Generischen Anmeldeinformationen befüllen können?
Die Windows-Anmeldeinformationen bzw. Zertifikatbasierte Anmeldeinformationen konnte ich erfolgreich per GPO ausknipsen.
Verhindert jedoch nicht, dass die generischen weiterhin genutzt werden können...

Die Nutzer speichern da ständig irgendeinen Müll und sperren sich somit selbst aus diversen Anwendungen aus.
Google spuckt leider nichts richtiges aus. Immer nur der Verweis auf die GPOs ... ja danke dafür.

Auf der Suche nach einem RegKey der das eventuell steuert, bin ich leider auch nicht fündig geworden.
Kennt noch jemand eine Lösung außer Script und über cmdkey? Wäre wirklich dankbar...

VG
credvault

Content-ID: 2160177625

Url: https://administrator.de/contentid/2160177625

Ausgedruckt am: 05.11.2024 um 23:11 Uhr

1915348599
1915348599 14.03.2022 aktualisiert um 13:16:16 Uhr
Goto Top
Dann deaktiviere halt den Dienst "Anmeldeinformationsverwaltung" ...

screenshot

Dann kommt beim Aufruf der Anmeldeinformationsverwaltungs Konsole auch

screenshot

Voila, keine Möglichkeit mehr Credentials darüber zu nutzen.
Trekki1990
Trekki1990 14.03.2022 um 13:18:08 Uhr
Goto Top
Hi Pretty,

die Idee hatte ich auch schon.
Bin mir nur unsicher in Hinsicht auf eventuelle Seiteneffekte, wenn man den Manager komplett deaktiviert.

Werden dadurch die zwischengespeicherten Anmeldeinformationen des Domänen Kontos des Benutzers auf einem Laptop z.B. weiterhin gespeichert, sodass er sich außerhalb des Netzwerks auch am Gerät anmelden kann?

VG
1915348599
1915348599 14.03.2022 aktualisiert um 13:28:24 Uhr
Goto Top
Zitat von @Trekki1990:
Werden dadurch die zwischengespeicherten Anmeldeinformationen des Domänen Kontos des Benutzers auf einem Laptop z.B. weiterhin gespeichert, sodass er sich außerhalb des Netzwerks auch am Gerät anmelden kann?
Kannst du ja einfach selbst in einer VM testen. Eine andere Möglichkeit generische Creds abzuschalten ist mir nicht bekannt.
Trekki1990
Trekki1990 14.03.2022 um 13:48:08 Uhr
Goto Top
Mh. Deaktivieren über die GPO funktioniert schon mal ohne Probleme (Testrechner). Jedoch bleiben die bisherigen Anmeldeinfos im Speicher enthalten und wenn man in irgendeinem Windows Dialog den Haken setzt bei Anmeldedaten speichern, werden die trotzdem noch im Speicher gesichert ... face-sad

Bei Skype for Business z.B. konnte ich es reproduzieren. Haken gesetzt, zack im Speicher drin. Auch wenn das Passwort nicht stimmt. Kotzt mich total an das MS hier keine Policy anbietet.... Werde ich um ein Aufräumscript wohl nicht drumherum kommen.
Trekki1990
Trekki1990 14.03.2022 um 14:04:18 Uhr
Goto Top
Habe es jetzt über ein Script als Startup in der GPO hinterlegt:

For /F "tokens=1,2 delims= " %%G in ('cmdkey /list ^| findstr "target"') do cmdkey /delete %%H  

Funktioniert. Klar während der Sitzung können Daten gespeichert werden, aber beim erneuten Anmelden, wird der Speicher leergeräumt. Damit können wir denke ich erst mal leben.