La réponse de David Yu est à peu près sur la cible, mais il existe un moyen de le faire sans modifier directement le registre. Encore une fois, cela ne fonctionnera que si le paramètre n'est pas configuré par GPO.
Tout d'abord, je voudrais indiquer où sont stockées les données d'identification mises en cache. Cela vous aidera à démontrer (et, à des fins de dépannage, à vérifier) l'effet des modifications de configuration.
AVERTISSEMENT: j'ai trouvé ces informations à plusieurs endroits sur Internet, la plupart d'entre elles recommandant de ne pas modifier ces valeurs manuellement.
La clé de registre qui stocke les connexions de domaine mises en cache est masquée même pour les administrateurs. Il n'est accessible que par le compte SYSTEM. Par conséquent, pour le visualiser, vous aurez besoin d'un outil comme psexec(disponible auprès de Microsoft, mais non installé par défaut) qui vous permettra de fonctionner en regedittant que SYSTEM. La ligne de commande pour ce faire (en supposant qu'il est installé et dans votre %PATH%) est:
psexec -d -i -s regedit
Une fois que vous y êtes, accédez à HKLM\SECURITY\Cache\. Ici, vous devriez voir plusieurs valeurs BINARY. Il y en aura un nommé NL $ Control et d'autres nommés NL $ ## pour chaque emplacement dont vous disposez pour les informations d'identification mises en cache. (Par défaut 10)
Encore une fois, je tiens à souligner ici que vous ne devez pas modifier ou supprimer manuellement cette clé ou ses valeurs.
Donc, maintenant que nous savons où les données sont mises en cache et que nous ne devons pas y toucher , comment les effacer?
Encore une fois, la réponse de David Yu vous dirigera vers la bonne clé de registre. Mais, si vous préférez ne pas modifier directement le registre, il existe un autre moyen de le faire via la politique de sécurité locale.
secpol.msc
Dans l'arborescence des paramètres de sécurité, accédez à Local Policies\Security Options. Voici une politique appelée Interactive logon: Number of previous logons to cache (in case domain controller is not available).
Par défaut, il est défini sur 10 logons. Pour vider le cache, définissez-le sur zéro et cliquez sur OK. Sur Server 2008, cela prendra effet immédiatement. Pour Server 2003, vous devrez redémarrer. L'affect est visible HKLM\SECURITY\Cache\là où il n'y aura plus de valeur NL $ ##.
Pour réactiver la mise en cache des informations d'identification, modifiez la même stratégie pour refléter votre valeur préférée et cliquez sur OK. Encore une fois, si vous êtes sur Server 2008, cela prendra effet immédiatement. Server 2003 nécessitera un redémarrage. Notez que si vous effectuez cette opération sur Server 2008 et que vous ne vous êtes pas encore déconnecté ou redémarré, vous pouvez voir que les emplacements de cache ont été restaurés mais qu'aucune donnée réelle ne s'y trouve.
Cette opération sans déconnexion ni redémarrage dans Server 2008 peut être utile si vous souhaitez simplement effectuer une vérification rapide et unique de la fonction nécessitant une mise en cache des informations d'identification temporairement désactivée. Cela vous permet également de ne pas oublier d'annuler la modification après votre prochaine connexion.
La façon de modifier les informations d'identification mises en cache stockées est (curieusement) en modifiant les options de sécurité \ Ouverture de session interactive: nombre de connexions précédentes pour mettre en cache la stratégie via l'éditeur de stratégie de groupe (gpedit)
la source
J'ai pu effacer tous les mots de passe stockés en définissant toutes les entrées NL $ sur la même chose que la dernière (les dernières entrées NL $ étaient les mêmes, il semble donc que ce ne sont que des espaces réservés). J'ai testé cela sur des ordinateurs Windows 7 PRO 64 bits, je ne l'ai testé sur rien d'autre.
Copiez simplement le ci-dessous dans le bloc-notes et enregistrez-le en tant que .reg puis exécutez
regedit / s votrefichier.reg
comme compte système.
la source
La façon la plus pratique de supprimer les informations d'identification stockées consiste à exécuter MSTSC et à saisir le nom ou l'adresse IP du serveur Terminal Server mis en cache. S'il a été mis en cache en tant que nom de domaine complet, c'est ce que vous devez entrer, il remplira probablement le champ pour vous ainsi que votre domaine \ nom d'utilisateur. Cliquez ensuite sur Options. Si les informations d'identification sont stockées, vous pouvez les modifier ou les supprimer.
Pour empêcher le système de mettre en cache les informations d'identification, modifiez le fichier RDP avec le bloc-notes et remplacez le paramètre PromptCredentialOnce: i: 1 par PromptCredentialOnce: i: 0
la source