Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 1

[English]Ich hole nochmals ein unleidiges Thema hoch. Die Anmeldeinformationsverwaltung (‘Credentials Manager’) ist beim Windows 10 Mai 2020 Update (Version 2004) sowie bei Windows 10 20H2 unbrauchbar. Denn die Anmeldeinformationsverwaltung vergisst die Zugangsdaten, was sich auf alle Anwendungen auswirkt, die auf dieser Funktion aufsetzen.


Anzeige

Problem: Kaputte Anmeldeinformationsverwaltung

Die Anmeldeinformationsverwaltung (‘Credentials Manager’) ermöglicht in Windows die Speicherung von Anmeldeinformationen in einem sicheren Safe. Eigentlich eine coole Sache, können die gespeicherten Zugangsdaten doch zur Anmeldung an Websites, verbundene Anwendungen und Netzwerke verwendet werden. Das wird von Outlook über OneDrive bis hin zu Browsern und weiterer Software für eine Anmeldung an Konten genutzt. Zudem ermöglicht die Anmeldeinformationsverwaltung diese Anmeldeinformationen anzuzeigen und zu löschen. Microsoft hat diesen Beitrag veröffentlicht, der den Umfang mit der Funktion zeigt.

Das Problem ist allerdings, dass die Windows-Entwickler eine fatale Neigung hegen, Funktionen des Betriebssystems per (Feature-) Updates kaputt zu machen. Seit Windows 10 Version 2004 ist die Anmeldeinformationsverwaltung schlicht kaputt und funktioniert nicht mehr. Ich hatte das Thema bereits Mitte August 2020 im Blog-Beitrag Windows 10 2004: ‘Credentials Manager’ kaputt [Workaround] aufgegriffen und nach Erfahrungen gefragt. In den Kommentaren haben eine Reihe Blog-Leser das aufgegriffen und ihre Erfahrungen geschildert. Der Kommentar hier ist typisch für das Problem:

Nach dem letzten Update: Mein Outlook verliert alle Passwörter alle 6 bis 7 Stunden und dann muss ich für jeden Account das PW erneut eingeben. Auch wird die Domain regelmäßig mit mail.outlook365 überschrieben, was ich dann auch wieder neu eingeben muss. Bei MS-Cloud, Google etc. muss ich mich nach jedem Neustart wieder anmelden…….

Das kann man auf weitere Software – auch VPN-Clients etc. ausweiten – Kennwörter müssen ständig neu eingegeben werden. Gut, böse Zungen behaupten eh, dass Windows 10 mehr Beschäftigungstherapie als Betriebssystem ist – aber das mag ich nicht stützen, sonst wird mir das ja wieder als Majestätsbeleidigung übel genommen. Aber ich kann mir vorstellen, dass das irgendwo echt nervig ist, ständig Kennwörter neu eintippen zu müssen. Kluge Nutzer bleiben daher auf Windows 10 Version 1909, da funktioniert das Ganze nämlich.

Verdacht: Lokale Konten sind Schuld

In den Kommentaren zum Blog-Beitrag Windows 10 2004: ‘Credentials Manager’ kaputt [Workaround] gibt es mehrere Meldungen, dass Benutzer mit lokalen Benutzerkonten betroffen sind. Hier eine Stimme:

Hier sind zwei PCs nur mit lokalen Benutzerkonten im Einsatz. Ich kann nur implizit feststellen, dass ich von dem Problem betroffen bin.

In den Kommentaren zum englischsprachigen Blog-Beitrag sind die Nutzer ziemlich angepisst und einer vermutet, dass es mit den Konten in Windows zu tun haben könnte.

Call me paranoid, but many of the users I support are not part of any domain and log into their Win10 computer with a local account. Is this an attempt by Microsoft to “force” users to login with a known Microsoft account — for easier tracking ;D

My laptop uses a Microsoft account login and has had no problems after the May v2004 update. It does have newer hardware than this desktop; surely there isn’t a subtle push to upgrade all hardware too.

Dann hat sich Benutzer Richard mit diesem Kommentar gemeldet und schreibt, dass es kein Bug, sondern ein Feature sei, welches ein Microsoft-Konto voraussetze.

Vorschlag für Workarounds?

In den Artikeln gab es dann den Vorschlag, das betroffene Benutzer ein lokales Benutzerkonto zu einem Microsoft-Konto hochstufen sollten. Wer mit einem Microsoft-Konto unterwegs sei, solle dieses zu einem lokalen Benutzerkonto herunter stufen. Dann dieses Benutzerkonto wieder hochstufen und die Kennwörter erneut eingeben. Blog-Leser Michael Bonjour hat das in diesem Kommentar nochmals detaillierter beschrieben (danke dafür).

Michael führt in seinem Kommentar aus, dass das Microsoft Konto bestätigt sein muss. Lest einfach seine Ausführungen im betreffenden Kommentarthread nach. Ich plädiere aber dafür, den folgenden Abschnitt samt dem dort skizzierten Test und Anpassung des Registry-Keys zu testen.

Ein Test auf eine kaputte API …

Im englischsprachigen Blog-Beitrag hat sich Nutzer Kevin noch mit einem sachdienlichen Hinweis gemeldet, den Betroffene auf jeden Fall ausprobieren sollten. Auf GitHub gibt es das Windows-Programm DPAPITest, das nicht installiert werden muss und mit lokalen Benutzerrechten läuft. Diese Anwendung testet, ob das betreffende Benutzerkonto von einem Problem betroffen ist, das durch ‚das letzte Windows-Update‘ verursacht wurde (was immer diese Aussage zum letzten Update heißen mag). Es wird ausgeführt, dass die Data Protection-API durch ein kaputtes Manifest nicht mehr funktioniere.


Anzeige

DPAPITest
(Ergebnisse des Programms DPAPITest)

Kevin hat dann obigen Screenshot des Test-Ablaufs gepostet. Werden die Fehler wie obigen gemeldet, ist die DP-API durch das gebrochene Manifest kaputt, die in der Anmeldeinformationsverwaltung gespeicherten Kennwörter können nicht mehr erfolgreich durch Anwendungen verwendet werden.

… und ein Fix per Registry

Benutzer AyrA.ch hat in Microsoft Answers diesen Beitrag mit einer Erklärung zum Fehler gepostet. Die Verschlüsselung durch einen Benutzer-Key funktioniert per DPAPI nicht mehr, es muss der System-Key verwendet werden. Daher hat AyrA.ch dies durch einen Registry-Eingriff umgebogen. Dazu muss der Registrierungseditor mit administrativen Berechtigungen gestartet und anschließend zum Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

navigiert werden. Dort ist ein 32-Bit-DWORD-Wert ProtectionPolicy anzulegen und auf 1 zu setzen (der Wert ist auch hier thematisiert). Das sollte dazu führen, dass die Passwörter nach einem Windows-Neustart wieder erhalten bleiben und auch das oben erwähnte Test-Tool alles OK meldet. Vielleicht können Betroffene dies ja testen.

Ergänzung: In Teil 2 gehe ich auf weitere Erklärungen ein, die von Microsoft und Tavis Ormandis gepostet wurden.

Artikelreihe:
Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 1
Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 2

Ähnliche Artikel:
Windows 10 2004: ‘Credentials Manager’ kaputt [Workaround]
Windows 10 vergisst Zertifikate beim Upgrade
Microsoft bestätigt Zertifikatsverlust bei Windows 10-Upgrades
Office 365: Download scheitert nach Oktober 2020 Updates
Windows 10 20H2: Abstürze von lsass.exe (Okt. 2020)
Windows 10 2004/20H2 lsass.exe-Absturzproblem (Okt. 2020) bestätigt
Windows 10: Ist der Defender GUI-Bug zu definierten Ausschlüssen gefixt?
Windows 10 2004: Ist der Black-Sceen-Bug bei externen Display gefixt?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Windows 10 abgelegt und mit Problem, Windows 10 2004 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 1

  1. 1ST1 sagt:

    Falls das mit der Majestätsbeleidingng angeht, bin vielleicht ich angesprochern. Getroffene Hunde bellen ja bekanntlich, aber nein, stimmt schon, Windows ist Beschäftigungstherapie, Linux aber auch. Momentan kämpfe ich mit einem 80386 PC mit Windows 3.11 for Workgroups, was ein Bock, was war das damals alles umständlich! Verschiedene Grafiktreiber für verschiedene Auflösungen mit einer bestimmten VGA-Karte da durchzutesten, ob/welcher am besten funktioniert, und wenn nicht, warum, das kann schon durchaus ein Abend-füllender Vorgang sein!

    • Günter Born sagt:

      Nicht unbedingt – ich kriege über meine vielen Kanäle diese Rückmeldungen – juckt aber nicht wirklich – wer austeilt muss auch einstecken können ;-). Ich stehe seit 35 Jahren als Schreiberling ‚vorne in der Bütt‘ – das hält man nur aus, wenn man wie die deutsche Eiche denkt. Und provozieren gehört zum Handwerk.

      • 1ST1 sagt:

        Na dann bleibt mir nur noch darauf hin zu weisen, dass das mit dem MS-Konto nicht so schlimm ist, und durchaus praktisch ist, wie ich aus eigener Erfahrung berichten kann, und ich somit nicht von dem geschilderten Problem betroffen bin (zumal ich privat Thunderbird und Firefox nutze, obwohl ich auch Office 365 habe…).

  2. Bernhard Diener sagt:

    Tavis Ormandy von Google hat das schon vor längerer Zeit analysiert und eine Lösung aufgezeigt:
    https://bugs.chromium.org/p/chromium/issues/detail?id=1069383#c90
    I think if you’re experiencing this bug, then I think you have a scheduled task using „S4U“.
    Here is how to check, open a powershell console as Administrator and paste this:

    Get-ScheduledTask | foreach { If (([xml](Export-ScheduledTask -TaskName $_.TaskName -TaskPath $_.TaskPath)).GetElementsByTagName(„LogonType“).’#text‘ -eq „S4U“) { $_.TaskName } }

    If you open task scheduler and disable all the tasks it lists, I think this bug will go away.

  3. Phant sagt:

    Die S4U-Tasks aus dem Task-Scheduler herauszunehmen scheint mir keine allgemeine Lösung des Problems zu sein. Auf den (paar) Rechnern, die ich in meiner Obhut habe und die das Credentials-Problem auf Win 10 2004 haben, wurde durch den PowerShell-Befehl keine Ausgaben erzeugt. Ergo lässt sich in der Richtung auch nichts ändern.

    Auf einem Rechner habe ich bereits früher den Reg-Fix vorgenommen, und tatsächlich werden die Cookies und Zugangsdaten in manchen Browsern nicht mehr vergessen. Eine statistische Erhebung ist das natürlich noch wahrlich nicht.

    Mir sind die Risiken und Nebenwirkungen diese Reg-Fixes außerdem noch nicht ganz klar. Soweit ich das verstanden habe, wird dadurch ein lokaler Backup des DPAPI-MasterKeys wieder zugelassen und man sollte den Kniff nur nutzen, solange man nicht in Domain-Umgebungen zugange ist.
    Quelle: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/dpapi-masterkey-backup-failures

    Auf den Gedanken, dass MS die Online-Konten indirekt damit pushen möchte, bin ich auch schon gekommen. Ganz abwegig ist das nicht, zumal ich noch keine offizielle Aussage seitens MS gefunden habe, die das Ganze als Problem bewertet.

    • Bernhard Diener sagt:

      @Phant
      Moin.
      „Die S4U-Tasks aus dem Task-Scheduler herauszunehmen scheint mir keine allgemeine Lösung des Problems zu sein. Auf den (paar) Rechnern, die ich in meiner Obhut habe und die das Credentials-Problem auf Win 10 2004 haben, wurde durch den PowerShell-Befehl keine Ausgaben erzeugt. Ergo lässt sich in der Richtung auch nichts ändern.“
      Wurde das nur als Nutzer ausgeführt, oder auch elevated? Ich würde beides versuchen. Habe von 2 Personen bislang das Feedback, dasss solche Tasks gefunden wurden und dass deren Deaktivierung dann tatsächlich half.

  4. Uwe sagt:

    1909 ist ja alles iO. 2004 WARUM???? Das jetzige Update, schätze so ab März 2021 in Erwägung ziehen. Kritische Systeme LTSC. Es wäre eine MEGAkatastrophe, alle PW nach jedem Start eingeben zu müssen u wenn ich was von MS Konto sage …

    • 1ST1 sagt:

      Benutze Keepass, das funktioniert immer. Passwörter sollte man, wenn man schon Wert auf Sicherheit legt, niemals im Betriebssystem oder Browser gespeichert werden. Schon garnicht durch die Cloud von einem aufs andere Gerät gesynct… Wer das braucht, lege sich seine Keepass-Datei auf einem Cloud-Drive ab und installiere seine Keepass-Datei auf jedem damit verbundenem Gerät.

  5. Herr IngoW sagt:

    Hab mal den Test mit dem Tool von „GitHub“ gemacht. Hier zeigt es alles OK an (Hatte auch keine Probleme, aber man kann ja mal sehen, ob da was ist).
    Download: https://github.com/AyrA/DPAPITest/releases/download/v1.0/DPAPITest.exe
    Ich habe Win10Pro Version 2004 Build: 19041.610.
    Der Laptop ist 09.2020 neu gekauft. Drauf war Win10Pro Version 1909. Das Update habe ich mit dem Windows-Update-Tool (Windows10Upgrade9252.exe).
    Das Konto ist ein MS-Account, wodurch alles von meinem alten Laptop, fast Komplett, übernommen wurde. Passwörter sind nur einige wenige im Betriebssystem gespeichert (NAS im Heimnetz, MS-Konto und in Outlook365 sind fünf E-Mail-Adressen/Konten gespeichert). Die wollen beim Anmelden kein Passwort.

  6. Fred Feuerstein sagt:

    Da wird bei mir leider nicht zurück gemeldet

  7. Emily sagt:

    Ich bin mega angepisst, warum kann dieser Bug nicht einfach behoben werden? Jetzt hab ich zig Benutzerkonten und jedes einzelne hat seine Probleme und ich nutze wieder nur das Erste, was dieses Problem mit dem anmelden hat. Es nervt einfach vor allem wenn man mit Photoshop arbeitet dann stützt es ab und man muss erst mal wieder seine ganzen Logindaten heraussuchen da ich diese komplizierten Passwörter nicht alle im Kopf haben kann. Ich sollte nur noch auf dem Mac arbeiten am PC ist man halt echt nur damit beschäftigt irgendwas zum Laufen zu bringen aber die eigentliche Arbeit wird dann wieder hinten angestellt. Zum Kotzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.