lcer00
25.09.2019
view4934
view10
0
Goto Top

Credentials verschlüsselt speichern in Powershell

gelöstFrageMicrosoftWindows Server
Hallo,

ich möchte vom Host aus auf einer VM ein Skript starten - Hintergrund ist ein Acronis-Sicherungsjob, bei dem bestimmte Software vorher beendet werden muss.

siehe auch https://kb.acronis.com/de/node/63044

Es geht um das Skript, mit dem ein Kommando auf der VM gestartet werden soll:

$password = ConvertTo-SecureString 'MyPassword' -AsPlainText -Force  
$credential = New-Object System.Management.Automation.PSCredential ('<VM\user>', $password)  
Invoke-Command -VMName <virtual machine name> -ScriptBlock { path_to_the_bat_file_on_VM } -Credential $credential

Ist es möglich, die credentials irgendwie verschlüsselt abzulegen? Mir gefällt nicht, dass sie im Skript als Klartext stehen.

Grüße

lcer
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 498205

Url: https://administrator.de/forum/credentials-verschluesselt-speichern-in-powershell-498205.html

Ausgedruckt am: 08.04.2025 um 19:04 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
em-pie
Lösung em-pie 25.09.2019 um 22:01:31 Uhr
Goto Top
Moin,

Lies dich hier mal ein:
https://www.pdq.com/blog/secure-password-with-powershell-encrypting-cred ...

Das dürfte exakt das sein, was du benötigst...

Hier werden die credantials erfragt und in einen „verschlüsselten“ String konvertiert und verwendet...

Ob das aber deutlich sicherer ist, weiß ich nicht...

Gruß
em-pie
emeriks
emeriks 25.09.2019 um 22:23:11 Uhr
Goto Top
Hi,
Zitat von @em-pie:
Ob das aber deutlich sicherer ist, weiß ich nicht...
Sicherer ja, aber nicht deutlich.

E.
emeriks
Lösung emeriks 25.09.2019 um 22:27:03 Uhr
Goto Top
Wenn beide Computer in einer Domäne sind oder in vetrauten Domänen, dann wäre es sinnvoller, das Invoke-Command gleich in einer Shell auszuführen, welche mit einem Domänenkonto gestartet wurde, das diese Aktion auf dem Zielcomputer ausführen darf.
lcer00
lcer00 25.09.2019 um 22:27:52 Uhr
Goto Top
Danke, sowas hab ich gesucht.

Das fühlt sich jedenfalls sicherer an, als wenn ich das Passwort im Klartext lese.

Wobei der folgende Teil interessant ist:

This will not stop anybody who knows what they’re doing from decrypting your password or from reusing your encrypted password if they ever are able to compromise your login. The whole point of converting your password to a SecureString and storing it in a file is to keep it out of plain text in your scripts so that it’s not as easily discovered. It’s not foolproof, but it’s pretty good.

so schlecht ist das gar nicht.

lcer
lcer00
lcer00 29.09.2019 um 18:46:47 Uhr
Goto Top
Hallo zusammen,

der Stand ist folgender:

Acronis nutzt als Context den Maschienenaccount (SERVER1$).

Daher fällt die Variante "Nutze einen Account der das auf der anderen Maschine darf" aus. Ebenso fällt die oben verlinkte "SecureString"-Variante ohne eigenen Key aus, da diese nur im gleichen Benutzerkontext entschlüsselt werden kann, in dem sie auch verschlüsselt wurde.

Möglich ist dann aber die Variante SecuireString mit eigenem Key:

$User = "DOMÄNE\user"  
$PasswordFile = "C:\backupskripte\etc\password.txt"  
$KeyFile = "C:\backupskripte\etc\AES.key"  
$key = Get-Content $KeyFile
$credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $PasswordFile | ConvertTo-SecureString -Key $key)
Invoke-Command -ComputerName vm1 -ScriptBlock { F:\Skripte\backupstart.ps1 } -Credential $credential
Das ganze ist erklärt unter https://www.pdq.com/blog/secure-password-with-powershell-encrypting-cred ... dem zweiten Teil des Blogs auf das @em-pie hingewiesen hat.

Damit muss das AES-Key-File auf dem Server liegen. Das habe ich zwar per NTFS-Zugriffsrechte abgesichert, aber so richtig besser als ein Klartext-Passwort ist das eigentlich auch nicht.

nebenbei: Acronis nutzt invoke-command -VMName, was nur ab Server 2016 funktioniert. Ich habe (unter Server 2012R2) deshalb auf Invoke-Command -ComputerName umgestellt.

Grüße

lcer
emeriks
emeriks 30.09.2019 um 08:16:13 Uhr
Goto Top
Daher fällt die Variante "Nutze einen Account der das auf der anderen Maschine darf" aus. Ebenso fällt die oben verlinkte "SecureString"-Variante ohne eigenen Key aus, da diese nur im gleichen Benutzerkontext entschlüsselt werden kann, in dem sie auch verschlüsselt wurde.
Na dann verschlüssle es doch im Kontext des SYSTEM-Kontos.
lcer00
lcer00 30.09.2019 um 08:32:41 Uhr
Goto Top
Zitat von @emeriks:

Daher fällt die Variante "Nutze einen Account der das auf der anderen Maschine darf" aus. Ebenso fällt die oben verlinkte "SecureString"-Variante ohne eigenen Key aus, da diese nur im gleichen Benutzerkontext entschlüsselt werden kann, in dem sie auch verschlüsselt wurde.
Na dann verschlüssle es doch im Kontext des SYSTEM-Kontos.
nee, das System-Konto von maschine1 hat keine Rechte auf Maschine2

Grüße

lcer
emeriks
emeriks 30.09.2019 um 08:34:20 Uhr
Goto Top
Zitat von @lcer00:
nee, das System-Konto von maschine1 hat keine Rechte auf Maschine2
Sofern eine Domäne so könnte man das aber einrichten.
lcer00
lcer00 30.09.2019 um 08:44:38 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @lcer00:
nee, das System-Konto von maschine1 hat keine Rechte auf Maschine2
Sofern eine Domäne so könnte man das aber einrichten.
ja, will ich das denn ? Das dürfte auch nicht sicherer sein - oder doch?

Variante 1:
Passwort oder AES-Key liegen auf der Festplatte

Variante 2:
Das Systemkonto von maschine1 hat Ausführungsberechtigungen auf maschine2

Grüße

lcer
emeriks
emeriks 30.09.2019 um 09:07:49 Uhr
Goto Top
Zitat von @lcer00:
Das dürfte auch nicht sicherer sein - oder doch?
Glaubensfrage ....

Wenn mir beides zu unsicher wäre, dann könnte ich vielleicht noch einen anderen Weg gehen.
  1. Freigabe auf dem Computer 2, auf welchem diese Software beendet werden soll
  2. Auf dem Computer 2 läuft ein Scheduled Task mit PowerShell-Script in der Endlosschleife (mit Sleep-Pause)
  3. Aus Computer 1 wird bei Bedarf ein Script gestartet, welches in der Freigabe auf Computer 2 eine definierte Steuerdatei erzeugt.
  4. Das Script auf Computer 2 reagiert auf dieses Steuerdatei (z.B. über eine FileSystemWatcher oder über wiederholte Abfrage), führt definierte Aktion aus und liefert über eine definierte Antwortdatei in dieser Freigabe das Ergebnis.
  5. Script auf Computer 1 wertet die Antwortdatei aus.
Somit bräuchte man überhaupt keine Ausführungsberechtigungen für ein drittes Konto einrichten. Und keine Passwörter irgendwo in Dateien speichern.
gelöstFrageMicrosoftWindows Server
Mehr von lcer00lcer00Ereignisweiterleitung: Benötigt ein quellinitiiertes Abonnement WinRM eingehend am Quellcomputer?lcer00 - 2 Kommentarelcer00Kann man sich in Teams benachrichtigen lassen, wenn eine neue Email in einem freigegebenen Postfach eintrifft?lcer00 - 2 Kommentarelcer00Was hat einen Salesforce ODBC Treiber installiert?lcer00 - 2 Kommentarelcer00FortiGate 40F, 60E, 60F, 80E, oder 90E kann ab FortiOS 7.2.6 nicht mehr Fabric Root seinlcer00 - 2 Kommentare
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 41 KommentareU08154711Firewall Regeln für TravelrouterU08154711 - 34 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LightspeedMysticFoxDE - 24 Kommentareem-pieVMware: Mindestens 72 Cores für Lizenzierung erforderlichem-pie - 22 KommentareDerWoWussteImport eines p12-Zertifikates auf einen YubikeyDerWoWusste - 20 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 16 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 16 KommentareMegaadwwhOPNSense, Proxmox, eine weitere Firewall, Ubiquiti, Cisco und NetgearMegaadwwh - 15 KommentarekreuzbergerTrueNAS-13.3-U1.1, Plugin Installation schlägt fehlkreuzberger - 15 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 14 Kommentaredennis86E-Mail Provider ohne Verschlüsselungdennis86 - 13 Kommentare