组策略不能直接启用或禁用凭据管理器的保存功能,但可通过“允许将凭据保存到凭据管理器”等策略间接控制新增凭据、同步范围与访问权限,其数据由DPAPI加密存储于用户配置文件中。
组策略本身不直接管理凭据管理器(credential manager)中保存的凭据数据,也无法通过策略“启用/禁用”其保存行为。但可通过策略间接控制凭据的存储范围、访问权限和同步机制,从而影响实际使用效果。
凭据管理器的数据本质与存储位置
凭据管理器保存的是 Windows 登录后用户上下文中的 Web 凭据(如网站账号)、Windows 凭据(如远程桌面、共享文件夹)和通用凭据(如自定义应用)。这些数据默认加密存储在用户配置文件下:
C:\Users\用户名\AppData\Local\Microsoft\Credentials
C:\Users\用户名\AppData\Local\Microsoft\Vault
它们受 DPAPI(数据保护 API)保护,密钥绑定到用户登录凭据,因此无法被其他用户或离线系统直接读取。
关键组策略设置及其作用
以下策略位于 计算机配置 或 用户配置 → 管理模板 → 系统 → 凭据分配 和 Windows 设置 → 安全设置 → 本地策略 → 安全选项 中:
- “允许将凭据保存到凭据管理器”:此策略若设为“已禁用”,会阻止用户通过 UI(如 IE/Edge 的“记住密码”提示、cmdkey 命令等)新增凭据,但不影响已存在的凭据读取或自动填充。
- “枚举并重定向凭据提供程序”:可限制第三方凭据提供程序(如企业单点登录插件)注册,避免非标准凭据混入 Vault。
- “网络访问:不允许存储网络身份验证的密码和凭据”:影响 Windows 身份验证流程(如映射网络驱动器时勾选“重新连接时使用不同凭据”),禁用后将拒绝缓存该类凭据,强制每次输入。
- 启用“凭据漫游”策略(需域环境 + Azure AD Join / Hybrid Join):通过 Enterprise State Roaming 同步 Vault 数据到云,实现跨设备一致体验;关闭则仅保留在本地。
运维中常见问题与建议
实际环境中容易混淆的点:
- 策略生效需刷新(
gpupdate /force)且依赖用户重新登录(Vault 加密密钥与会话绑定);仅重启资源管理器无效。 - 禁用保存策略后,部分旧版应用(如某些 Java 或 .NET 应用)仍可能绕过 UI 直接调用 CredWrite API 写入,此时需结合 AppLocker 或 EDR 进行行为拦截。
- 若凭据异常丢失,优先检查磁盘错误、Profile 损坏或杀软误删 Vault 文件夹,而非怀疑策略配置错误——策略不主动删除已有数据。
- 审计凭据操作可启用 高级审核策略 → 认证服务 → 凭据管理器操作,日志记录在事件查看器的 Security 日志中(事件 ID 4691)。
替代方案与补充控制
当组策略能力不足时,可配合以下方式强化管理:
- 使用 Intune 或 SCCM 部署脚本,在登录脚本中调用
cmdkey /delete清理特定目标凭据。 - 通过注册表策略锁定 Vault 文件夹 ACL(如限制 SYSTEM 和当前用户 Full Control,禁止 Administrators 组继承),防止提权后导出。
- 对高安全场景,禁用整个凭据管理器服务(VaultSvc)——但会导致 Windows Hello、自动填充、RDP 连接历史等功能失效,需全面评估。
