uto*_*tom 3 powershell credentials securestring networkcredentials powershell-core
我想知道我是否采取了任何可能导致代码故障的隐含假设?
我想避免使用 Import-Clixml cmdlet 是有原因的吗?因此,我开发了一种替代方案,即一系列命令,旨在从使用 Export-Clixml 创建的 CliXml 文件中提取用户名和密码。它现在可以工作,但我不确定分割解决方案是否可靠。
$credFileUriBld = [UriBuilder]::New('file','localhost',-1,"MyCredentials.xml"))
$credFile = [Xml.XMLDocument]::New()
$nsMgr4ps1xml = [Xml.XmlNamespaceManager]::New($credFile.NameTable)
$nsMgr4ps1xml.AddNamespace('ps1xml','http://schemas.microsoft.com/powershell/2004/04')
$credFile.Load($credFileUriBld.Path)
$netCredInfo = [System.Net.NetworkCredential]::New($credFile.SelectSingleNode('/ps1xml:Objs/ps1xml:Obj/ps1xml:Props/ps1xml:S[@N=''UserName'']/text()',$nsMgr4ps1xml).Get_Value(),
($credFile.SelectSingleNode('/ps1xml:Objs/ps1xml:Obj/ps1xml:Props/ps1xml:SS[@N=''Password'']/text()',$nsMgr4ps1xml).Get_Value().Split('00') |
ForEach-Object { if([String]::IsNullOrEmpty($_)) { } else { $_.Trim() } } |
ForEach-Object { [convert]::ToInt32($_,16) } |
ForEach-Object { [convert]::ToChar($_) } |
ForEach-Object -Begin { $ss=[SecureString]::New() } -Process {$ss.AppendChar($_)} -End { $ss }))
$netCredInfo.UserName
$netCredInfo.Password
您能否看一下并建议是否存在任何使代码不可靠的假设?
您的方法仅适用于类 Unix 平台(macOS、Linux)上的PowerShell Core,但出于安全原因不应在此处使用- 它不适用于 Windows(无论是在 Windows PowerShell 中还是在 PowerShell Core 中),因为那里的密码实际上是真正加密的,而您的代码则假定密码存储是非加密的。
安全警告:
[securestring]在类 Unix 平台上不提供任何保护 - 字符存储时未加密[securestring] - Windows 上的加密仅依赖于 Windows 专用的DPAPI(数据保护 API)。
[securestring]通常不建议用于新代码- 请参阅此 Roslyn 分析器建议。如果您通过类 Unix 平台(例如使用)将实例保存[securestring]到文件Export-CliXmlGet-Credential | Export-CliXml MyCredentials.xml中,则任何可以读取该文件的人都可以轻松检索“安全”数据(密码)。相比之下,在 Windows 上,存储的 DPAPI 加密表示只能由同一台计算机上的同一用户解密。
正如您的代码所示,在 Unix 上,持久[securestring]实例只是一个“字节字符串”,其中包含构成纯文本内容的字符的 Unicode 代码点;例如,[securestring]包含字符串'test'被持久化为'7400650073007400',可以按如下方式构造:
-join [Text.Encoding]::Unicode.GetBytes('test').ForEach({ $_.Tostring('x2') })
...并转换回来:
[Text.Encoding]::Unicode.GetString([byte[]] ('7400650073007400' -split '(..)' -ne '' -replace '^', '0x'))
简而言之:在类 Unix 平台(PowerShell Core)上,不要使用Get-Credential | Export-CliXml持久凭据- 它们将以未加密的方式存储。要提供任何保护,您必须通过文件权限拒绝其他人对该文件的读取访问权限。
仅适用于 Windows,如果您确实需要避免Import-CliXml,这里有一个大大简化的解决方案,它的性能也应该更好。
虽然该代码从技术上讲也可以在类 Unix 平台上运行,但如上所述,它不提供任何保护。
请注意,它需要使用 cmdletConvertTo-SecureString才能将CLIXML 文件中的DPAPI加密密码表示形式转换为安全字符串([securestring]实例)。
# Load the CLIXML file into a [System.Xml.XmlDocument] ([xml]) instance.
($credXml = [xml]::new()).Load($PWD.ProviderPath + '\MyCredentials.xml')
# Take an XPath shortcut that avoids having to deal with namespaces.
# This should be safe, if you know your XML file to have been created with
# Get-Credential | Export-CliXml MyCredentials.xml
$username, $encryptedPassword =
$credXml.SelectNodes('//*[@N="UserName" or @N="Password"]').'#text'
$networkCred = [System.Net.NetworkCredential]::new(
$username,
(ConvertTo-SecureString $encryptedPassword)
)
$networkCred.UserName
# $networkCred.Password # CAUTION: This would echo the plain-text password.