我正在对 Windows 7 上的缓存凭据(特别是智能卡登录)进行故障排除,我想知道如何找出哪些用户当前已将其凭据缓存在计算机上。
我读过了缓存的 Windows 凭据如何存储在本地计算机上?
并且可以看到 HKLM/Security/cache 注册表项,但它们只是哈希值。
答案1
我不确定是否有官方支持的技术或 API。
获取此信息的一种方法是使用 Mimikatz(准备好触发计算机上的防病毒软件)。
mimikatz # lsadump::cache
如何知道哪些用户凭证缓存在本地系统上?