盆盆认为，这是一个很好的问题，Windows 2000只能把网络访问凭据保存在登录会话里，重启或者注销后，这些网络凭据就会被清空。

　　而在Windows XP/Vista的某些版本里，则可以选择保存网络访问凭据，我们可以随后在“存储的用户名和密码”对话框选择手动添加或者删除网络访问凭据。

　　问题是，这些网络访问凭据，是保存在注册表里吗？

　　为了解决这个问题，盆盆做了个实验，准备用Process Monitor对系统的注册表和文件访问活动进行监视，以下以Windows Vista旗舰版为例进行介绍。打开“存储的用户名和密码”，手动添加一个凭据，如附图所示。

　　

　　　结果发现，Process Monitor提示Lsass进程会在“C:\Users\Admin\AppData\Roaming\Microsoft\Protect\S-1- 5-21-118199911-2510020216-4247364677-1000”目录下创建一个Preferred文件。这个文件一般是用来提示系统选择所需的主密钥。如附图所示。



　　C:\Users\Admin\AppData\Roaming\Microsoft\Protect下保存的是指定用户的主密钥，S-1-5-21-118199911-2510020216-4247364677-1000就是盆盆所使用帐户的SID。

　　同时Process Monitor提示Lsass进程会在“C:\Users\Admin\AppData\Roaming\Microsoft\Credentials” 下创建一个5958C724801B91E50915D98404E30E25文件，这就是新建凭据的对应文件。如附图所示。


　　如果删除该5958C724801B91E50915D98404E30E25的凭据文件，再打开“存储的用户名和密码”对话框，就会发现网络访问凭据已经被删除，这再次证明了两者的对应关系。

　　可见，网络访问凭据并不是保存在注册表上，而是保存在文件系统里。

　　盆盆评注：系统用Preferred文件指定的主密钥，对网络访问凭据进行加密，并保存在%AppData%\Microsoft\Credentials下。