我遇到了从远程服务器上的XML文件创建凭据对象的问题。这是我用来测试的代码
XML文件
<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
<Obj RefId="0">
<TN RefId="0">
<T>Selected.System.Management.Automation.PSCredential</T>
<T>System.Management.Automation.PSCustomObject</T>
<T>System.Object</T>
</TN>
<MS>
<S N="UserName">domain\username</S>
<S N="Password">01000000d08c9ddf0115d1118c7a00c04fc297eb010000001f19c6a42b9b0d48af2c531892e737ce000000000200000000001066000000010000200000006fb8862fbaea7b83cd2bcab35d7a8c8b4d71b7764c2a91d68eb3873864bc9d83000000000e8000000002000020000000fcbcc5552c3eb40ec337594f8286b08780709c1ac583d4679dcd7a3f5a92441b20000000c8e274811ed7a411b6741b2c65a67363f6aef380e684d13218d1ecc1281dfdb940000000c7279e81e21a1e57eed7da61e969f34fe2adf3d7e534bb5e10b89902adf4fdf20a69ec7e9b9e56dab512c789043a3b2cf0611e3b4893658b7c20f7892ce0ddfd</S>
</MS>
PowerShell代码
$cred = Import-Clixml "Payload\DeploymentCredential.xml"
write-host $cred
$cred.Password = ConvertTo-SecureString $cred.Password
write-host $cred.Password
$Credential = New-Object System.Management.Automation.PsCredential($cred.UserName, $cred.Password)
write-host $Credential.GetNetworkCredential().password
在一台服务器(我的本地计算机)上它完全正常,但在远程服务器上,我收到此错误
Key not valid for use in specified state.
+ CategoryInfo : InvalidArgument: (:) [ConvertTo-SecureString], CryptographicException
+ FullyQualifiedErrorId : ImportSecureString_InvalidArgument_CryptographicError,Microsoft.PowerShell.Commands.ConvertToSecureStringCommand
两者都有相同版本的PowerShell(3.0 Build -1 Revision -1),所以我不确定是什么问题。
答案 0 :(得分:10)
问题是如何在导出到xml之前创建原始凭证。
当您使用命令ConvertTo-SecureString
时,它会使用您的用户帐户下的本地计算机上的加密密钥加密明文密码。这意味着如果将其导出到xml,则只能在相同的本地计算机上使用它。
将xml文件复制到另一台计算机并尝试导入凭据对象的那一刻,它就不会起作用,因为它会尝试用它的本地密钥解密它比赛。 (因此错误信息)。这是一项重要的安全措施,因为它阻止我复制文件并在另一台计算机上使用它。
如果您需要让另一台计算机上的用户帐户运行某些内容,则有两种选择:
ConvertTo-SecureString
创建凭据时,您可以指定-Key
或-SecureKey
参数。这种方式不是使用本地加密密钥,而是使用您指定的密钥。然后在您的脚本中,您提供相同的密钥来解密它。这样做不太安全,因为我所要做的就是窃取凭据文件,查看你的脚本(看密钥),然后我偷了帐户。- 编辑 -
以下是如何使用共享密钥的示例。它只是在脚本中写入明文密码只有一步,而且仅用于模糊密码。在PowerShell Remoting等远程计算机上运行脚本还有很多其他方法(参见:Learn to Use Remoting in PowerShell)。或者使用任务计划程序保存凭据。
$PlainPassword = "P@ssw0rd"
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$key = (3,4,2,3,56,34,254,222,1,1,2,23,42,54,33,233,1,34,2,7,6,5,35,43)
$SecurePasswordKey = ConvertFrom-SecureString $SecurePassword -Key $key
#Output the hash
$SecurePasswordKey
#Output
76492d1116743f0423413b16050a5345MgB8ADIAKwBZAEkALwB0ADUAZwBQAHoAbwBNAEEAUwA0AFQAagB0AGsANwBmAHcAPQA9AHwAYgA3ADgAMwBjAGIANAAzADIAZAAwADEAYQA1AGUAMwBjAGUAYgA2AGMAMQBkADcAYQA3ADMAZAA1ADQAYwA0ADMAYgBlAGEANQAyAGQANQA0AGUAYgA5AGEAMgA0AGIANwBhAGIAMQAzADAAMwAzAGEANAA4ADEANQA0AGEAMAA=
在远程计算机上:
$SecurePasswordKey = '76492d1116743f0423413b16050a5345MgB8ADIAKwBZAEkALwB0ADUAZwBQAHoAbwBNAEEAUwA0AFQAagB0AGsANwBmAHcAPQA9AHwAYgA3ADgAMwBjAGIANAAzADIAZAAwADEAYQA1AGUAMwBjAGUAYgA2AGMAMQBkADcAYQA3ADMAZAA1ADQAYwA0ADMAYgBlAGEANQAyAGQANQA0AGUAYgA5AGEAMgA0AGIANwBhAGIAMQAzADAAMwAzAGEANAA4ADEANQA0AGEAMAA='
$key = (3,4,2,3,56,34,254,222,1,1,2,23,42,54,33,233,1,34,2,7,6,5,35,43)
$SecurePassword = ConvertTo-SecureString -String $SecurePasswordKey -Key $key
答案 1 :(得分:0)
如果您选择使用HAL9256的答案,这里有一种创建密钥随机性的方法。
[byte[]]$Rand = for($var=1;$var -le 24){
Get-Random -min 1 -max 255
$var++
}
我们创建一个字节数组,其中包含从1到255的24个随机数。这些数字不会显示,只有在运行脚本时才存在。
然后我们有一个可用于上述答案的密钥。一旦脚本执行,或者您使用Remove-Variable Rand
请确保将数据从$Rand
保存到安全的某个位置,否则用于加密数据的密钥将丢失。