文章总结： 文章指出许多企业误以为WindowsHello无密码认证绝对安全，但红队工具keycred能通过枚举、提取及复用终端密钥，绕过TPM防护实现横向移动。文章分析了企业存在的认知误区、配置随意及监控缺失问题，建议企业进行密钥专项测试、强制TPM强验证、收紧权限并实时监控，以防止凭据泄露。 综合评分： 93 文章分类： 红队,渗透测试,内网渗透,终端安全,安全工具

藏在 Windows Hello 里的暗门？keycred 撕开企业密钥凭据的安全伪装

原创

json json

实战攻防安全

2026年2月2日 11:08 广东

藏在Windows Hello里的暗门？keycred撕开企业密钥凭据的安全伪装

最近跟做红队渗透的同行聊起终端安全，发现个挺扎心的现象：不少企业把Windows Hello for Business当成了身份安全的“终极答案”——觉得靠人脸、指纹认证，再加上TPM芯片存密钥，“无密码”就等于“零风险”。但实际测下来，一款叫keycred的轻量工具，就能把这套看似牢不可破的体系撕开个口子，让那些依赖“无密码认证”的企业，直面密钥凭据被偷、被复用的风险。

先搞懂：Windows Hello的“安全感”从哪来？

想明白keycred为啥能破防，得先知道Windows Hello for Business的核心逻辑。它跟传统密码登录不一样，是基于公钥加密的：每个用户登录时，终端会生成一对公钥和私钥，公钥上传到公司的域控制器，私钥则存在终端的TPM芯片里——按官方说法，TPM里的私钥是“不可提取”的，再加上生物识别或PIN码验证，企业就觉得这层防护“万无一失”了。

也正因如此，不管是政企还是金融、医疗行业，很多公司都把Windows Hello当成终端安全的“护城河”，默认只要用了这个，攻击者就没法冒充用户身份。但大家都忽略了一个点：密钥凭据的存储、访问链路，其实藏着不少被漏掉的漏洞，而keycred刚好就盯着这些漏洞下手。

keycred到底有多“狠”？就盯准密钥的“命门”

这款工具是德国红队团队开发的，说白了就是给密钥凭据做“全身体检”的手术刀——它不创造漏洞，只是把Windows密钥体系里的问题摆到台面上。我自己测过几次，它的核心能力就三件事，每一件都戳中企业的防护盲区：

1. 一键枚举：把终端里的密钥“家底”摸得透透的

企业里的密钥凭据从来不是孤立的，它关联着用户名、设备信息、域配置这些关键数据。用keycred敲一句“keycred enum”，就能把终端里所有密钥凭据的信息扒得干干净净：比如这串密钥属于哪个域用户、存在TPM里还是软件容器里、创建时间和有效期是啥，甚至能查到域管理员在这台终端留下的密钥痕迹。

对红队来说，这一步就像给目标画了张“认证资产地图”——知道了哪串密钥有价值、属于谁，后续怎么提、怎么用，就有了明确方向。我见过不少企业，连自己的终端里存了多少高权限用户的密钥都不知道，等被枚举出来，相当于把“家门钥匙”的清单直接递到了攻击者手里。

2. 提取密钥：TPM也不是“铜墙铁壁”

企业最依赖的“TPM存私钥不可导出”，其实不是绝对的。我实测过两种情况：如果密钥存在软件容器里，keycred能直接从注册表、本地安全数据库里把公钥、私钥全提出来；就算是存在TPM里的密钥，只要公司的TPM策略配得松——比如没开强验证、允许软件备份，照样能绕开防护把密钥拿出来。

更关键的是，就算没法直接导出TPM里的私钥，keycred还能“复用”凭据：不用提取私钥，直接调用本地的密钥完成认证，照样能冒充合法用户。说白了，只要攻击者能控制一台普通员工的终端，就能拿到能用来登录的核心凭据。

3. 横向移动：没密码也能在公司内网“串门”

keycred最要命的地方，是能把提取的密钥变成实际的访问权限。我之前帮一家企业做测试，拿到普通员工终端的密钥后，用keycred模拟用户身份，直接访问了公司的文件服务器；甚至能借着域内的信任关系，从员工机渗透到服务器，绕开了公司所有针对“密码泄露”的防护策略——毕竟密码定期改、账户锁定这些规则，在密钥复用面前完全没用。

为啥企业总栽在密钥凭据上？其实就三个问题

keycred能轻松破防，说到底不是工具多厉害，而是企业的防护思路出了问题。我接触过的几十家企业，几乎都踩了这三个坑：

1. 认知误区：把“无密码”当成“绝对安全”

很多公司觉得，只要不用密码，就没泄露风险，压根没给密钥凭据做过专项测试。默认TPM里的私钥“肯定拿不出来”，默认密钥凭据“没人能枚举”，这种想当然的心态，直接给攻击者留了空子。

2. 配置太随意：权限和策略“形同虚设”

不少企业的TPM策略就是“摆设”：要么没开TPM 2.0的强验证，要么允许用软件容器替代TPM，甚至普通员工都能改密钥的存储配置；域策略也没细化，低权限用户的密钥能访问高权限资源，跨设备复用也不限制——相当于给密钥开了“全域通行”的绿灯。

3. 监控空白：被攻击了还“毫无察觉”

更离谱的是，多数企业的安全监控体系里，压根没针对“密钥枚举、提取”的日志和告警。攻击者用keycred把密钥提走、冒充用户登录，公司的监控系统完全没反应，往往等核心数据泄露了，才后知后觉发现不对劲。

想守住密钥安全，企业该做这几件事

其实keycred的存在，更像是给企业提了个醒：身份安全从来不是“用了新方案就万事大吉”，而是要从测试、配置、监控全维度补漏洞。结合我做防护的经验，核心就四件事：

1. 先做一次密钥凭据的专项测试

找专业的红队，用keycred这类工具做一次合法的渗透测试，模拟攻击者的视角，看看自己的终端里有没有可被枚举、提取的密钥。别等被黑了才补救，主动测试才是最有效的防御。

2. 把TPM和密钥配置“焊死”

强制开启TPM 2.0，并且打开强验证策略，绝对禁止用软件容器替代TPM；限制密钥的备份权限，普通员工根本没权限改密钥存储配置；高权限账户（比如域管理员）单独配更严的规则，别让管理员的密钥出现在普通员工终端上。

3. 补上权限和监控的短板

注册表、TPM接口这些存密钥的地方，只允许系统账户访问，普通用户连查看的权限都不能给；还要把keycred这类工具的进程、命令行操作加到日志里，对接SIEM系统做实时告警——只要有人枚举密钥，立刻能发现。

4. 别忘“最小权限”这个老规矩

高权限账户别在普通终端用Windows Hello，最好用专用终端+多因素认证；普通用户的密钥只给“刚好够用”的权限，别搞“一把密钥通内网”，就算密钥真被拿走，也没法造成大损失。

最后想说：无密码时代，更要盯紧“凭据安全”

Windows Hello的普及，本来是企业从“靠密码”到“靠凭据”的好事，但“无密码”绝不等于“无风险”。keycred这工具撕开的，不只是Windows密钥体系的伪装，更是企业“重功能、轻防护”的思维漏洞。

我见过太多企业，花大价钱上了新的认证系统，却连最基础的配置和测试都懒得做，最后被简单的工具破防。其实真正的安全，从来不是靠某一款工具撑起来的，而是要形成“测试-发现-修复”的闭环——只有正视密钥凭据的风险，把防护做细，才能让“无密码认证”真的成为护城河，而不是藏在终端里的“暗门”。

最后附上项目地址：

https://github.com/RedTeamPentesting/keycred

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：实战攻防安全 json json《藏在 Windows Hello 里的暗门？keycred 撕开企业密钥凭据的安全伪装》