ConvertTo-SecureString在不同的服务器上提供不同的体验

Question

我遇到了从远程服务器上的XML文件创建凭据对象的问题.这是我用来测试的代码

XML文件

<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
  <Obj RefId="0">
     <TN RefId="0">
        <T>Selected.System.Management.Automation.PSCredential</T>
        <T>System.Management.Automation.PSCustomObject</T>
        <T>System.Object</T>
     </TN>
     <MS>
        <S N="UserName">domain\username</S>
        <S N="Password">01000000d08c9ddf0115d1118c7a00c04fc297eb010000001f19c6a42b9b0d48af2c531892e737ce000000000200000000001066000000010000200000006fb8862fbaea7b83cd2bcab35d7a8c8b4d71b7764c2a91d68eb3873864bc9d83000000000e8000000002000020000000fcbcc5552c3eb40ec337594f8286b08780709c1ac583d4679dcd7a3f5a92441b20000000c8e274811ed7a411b6741b2c65a67363f6aef380e684d13218d1ecc1281dfdb940000000c7279e81e21a1e57eed7da61e969f34fe2adf3d7e534bb5e10b89902adf4fdf20a69ec7e9b9e56dab512c789043a3b2cf0611e3b4893658b7c20f7892ce0ddfd</S>
</MS>

PowerShell代码

    $cred = Import-Clixml "Payload\DeploymentCredential.xml"
    write-host $cred
    $cred.Password = ConvertTo-SecureString $cred.Password 
    write-host $cred.Password
    $Credential = New-Object System.Management.Automation.PsCredential($cred.UserName, $cred.Password)
    write-host $Credential.GetNetworkCredential().password

在一台服务器(我的本地机器)上它完全正常,但在远程服务器上,我收到此错误

Key not valid for use in specified state.    
+ CategoryInfo          : InvalidArgument: (:) [ConvertTo-SecureString], CryptographicException
+ FullyQualifiedErrorId : ImportSecureString_InvalidArgument_CryptographicError,Microsoft.PowerShell.Commands.ConvertToSecureStringCommand

两者都有相同版本的PowerShell(3.0 Build -1 Revision -1),所以我不确定是什么问题.

Answer 1

问题是在导出到xml之前如何创建原始凭证.

使用该命令时,ConvertTo-SecureString它会使用您的用户帐户在本地计算机上使用加密密钥加密明文密码.这意味着如果将其导出到xml,则只能在同一本地计算机上使用它.

将xml文件复制到另一台计算机并尝试导入凭证对象的那一刻,它将无法工作,因为它将尝试使用不匹配的本地密钥对其进行解密.(因此错误信息).这是一项重要的安全措施,因为它阻止我复制文件并在另一台计算机上使用它.

如果您需要在另一台计算机上运行用户帐户,那么有两种选择:

1. (最安全)在您需要的每台远程计算机上创建凭据对象.这样它将使用本地加密密钥,并将阻止人们窃取帐户.
2. (最不安全)使用时创建凭据ConvertTo-SecureString可以指定-Key或-SecureKey参数.这种方式不是使用本地加密密钥,而是使用您指定的密钥.然后在您的脚本中,您提供相同的密钥来解密它.这不太安全,因为我所要做的就是窃取凭据文件,并查看您的脚本(查看密钥),然后我偷了帐户.

- 编辑 -

以下是如何使用共享密钥的示例.它只是在脚本中写入明文密码只有一步,而且仅用于模糊密码.在PowerShell远程处理等远程计算机上运行脚本还有很多其他方法(请参阅:了解如何在PowerShell中使用远程处理).或使用任务计划程序保存凭据.

$PlainPassword = "P@ssw0rd"
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force

$key = (3,4,2,3,56,34,254,222,1,1,2,23,42,54,33,233,1,34,2,7,6,5,35,43)

$SecurePasswordKey = ConvertFrom-SecureString $SecurePassword -Key $key

#Output the hash
$SecurePasswordKey

#Output
76492d1116743f0423413b16050a5345MgB8ADIAKwBZAEkALwB0ADUAZwBQAHoAbwBNAEEAUwA0AFQAagB0AGsANwBmAHcAPQA9AHwAYgA3ADgAMwBjAGIANAAzADIAZAAwADEAYQA1AGUAMwBjAGUAYgA2AGMAMQBkADcAYQA3ADMAZAA1ADQAYwA0ADMAYgBlAGEANQAyAGQANQA0AGUAYgA5AGEAMgA0AGIANwBhAGIAMQAzADAAMwAzAGEANAA4ADEANQA0AGEAMAA=

在远程机器上:

$SecurePasswordKey = '76492d1116743f0423413b16050a5345MgB8ADIAKwBZAEkALwB0ADUAZwBQAHoAbwBNAEEAUwA0AFQAagB0AGsANwBmAHcAPQA9AHwAYgA3ADgAMwBjAGIANAAzADIAZAAwADEAYQA1AGUAMwBjAGUAYgA2AGMAMQBkADcAYQA3ADMAZAA1ADQAYwA0ADMAYgBlAGEANQAyAGQANQA0AGUAYgA5AGEAMgA0AGIANwBhAGIAMQAzADAAMwAzAGEANAA4ADEANQA0AGEAMAA='

$key = (3,4,2,3,56,34,254,222,1,1,2,23,42,54,33,233,1,34,2,7,6,5,35,43)

$SecurePassword = ConvertTo-SecureString -String $SecurePasswordKey -Key $key