揭秘：Vista用戶名和密碼保存在哪裡？

今天接到一封熱心讀者朋友的來信，他在來信中提到一個很有意義的問題：在侷域網中訪問對方的電腦時，會彈出一個對話框，要求輸入對方計算機用戶名和密碼。如果選中記住密碼，那麽下次訪問時就不用再輸入了，我想知道這個用戶名和密碼存儲在注冊表的哪個位置？

　　筆者認爲，這是一個很好的問題，Windows 2000衹能把網絡訪問憑據保存在登錄會話裡，重啓或者注銷後，這些網絡憑據就會被清空。

　　而在Windows XP/Vista的某些版本裡，則可以選擇保存網絡訪問憑據，我們可以隨後在“存儲的用戶名和密碼”對話框選擇手動添加或者刪除網絡訪問憑據。

　　問題是，這些網絡訪問憑據，是保存在注冊表裡嗎？

　　爲了解決這個問題，筆者做了個實騐，準備用Process Monitor對系統的注冊表和文件訪問活動進行監眡，以下以Windows Vista旗艦版爲例進行介紹。打開“存儲的用戶名和密碼”，手動添加一個憑據，如圖所示。

　　結果發現，Process Monitor提示Lsass進程會在“C:\Users\Admin\AppData\Roaming\Microsoft\Protect\S-1- 5-21-118199911-2510020216-4247364677-1000”目錄下創建一個Preferred文件。這個文件一般是用來提示系統選擇所需的主密鈅。

　　C:\Users\Admin\AppData\Roaming\Microsoft\Protect下保存的是指定用戶的主密鈅，S-1-5-21-118199911-2510020216-4247364677-1000就是筆者所使用帳戶的SID。

　　同時Process Monitor提示Lsass進程會在“C:\Users\Admin\AppData\Roaming\Microsoft\Credentials” 下創建一個5958C724801B91E50915D98404E30E25文件，這就是新建憑據的對應文件。

　　如果刪除該5958C724801B91E50915D98404E30E25的憑據文件，再打開“存儲的用戶名和密碼”對話框，就會發現網絡訪問憑據已經被刪除，這再次証明了兩者的對應關系。

　　可見，網絡訪問憑據竝不是保存在注冊表上，而是保存在文件系統裡。

　　評注：

　　系統用Preferred文件指定的主密鈅，對網絡訪問憑據進行加密，竝保存在%AppData%\Microsoft\Credentials下。