lcer00
25.09.2019
view4954
view10
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Credentials verschlüsselt speichern in Powershell

gelöstFrageMicrosoftWindows Server
Hallo,

ich möchte vom Host aus auf einer VM ein Skript starten - Hintergrund ist ein Acronis-Sicherungsjob, bei dem bestimmte Software vorher beendet werden muss.

siehe auch https://kb.acronis.com/de/node/63044

Es geht um das Skript, mit dem ein Kommando auf der VM gestartet werden soll:

$password = ConvertTo-SecureString 'MyPassword' -AsPlainText -Force  
$credential = New-Object System.Management.Automation.PSCredential ('<VM\user>', $password)  
Invoke-Command -VMName <virtual machine name> -ScriptBlock { path_to_the_bat_file_on_VM } -Credential $credential

Ist es möglich, die credentials irgendwie verschlüsselt abzulegen? Mir gefällt nicht, dass sie im Skript als Klartext stehen.

Grüße

lcer
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 498205

Url: https://administrator.de/forum/credentials-verschluesselt-speichern-in-powershell-498205.html

Ausgedruckt am: 29.04.2025 um 05:04 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
em-pie
Lösung em-pie 25.09.2019 um 22:01:31 Uhr
Goto Top
Moin,

Lies dich hier mal ein:
https://www.pdq.com/blog/secure-password-with-powershell-encrypting-cred ...

Das dürfte exakt das sein, was du benötigst...

Hier werden die credantials erfragt und in einen „verschlüsselten“ String konvertiert und verwendet...

Ob das aber deutlich sicherer ist, weiß ich nicht...

Gruß
em-pie
emeriks
emeriks 25.09.2019 um 22:23:11 Uhr
Goto Top
Hi,
Zitat von @em-pie:
Ob das aber deutlich sicherer ist, weiß ich nicht...
Sicherer ja, aber nicht deutlich.

E.
emeriks
Lösung emeriks 25.09.2019 um 22:27:03 Uhr
Goto Top
Wenn beide Computer in einer Domäne sind oder in vetrauten Domänen, dann wäre es sinnvoller, das Invoke-Command gleich in einer Shell auszuführen, welche mit einem Domänenkonto gestartet wurde, das diese Aktion auf dem Zielcomputer ausführen darf.
lcer00
lcer00 25.09.2019 um 22:27:52 Uhr
Goto Top
Danke, sowas hab ich gesucht.

Das fühlt sich jedenfalls sicherer an, als wenn ich das Passwort im Klartext lese.

Wobei der folgende Teil interessant ist:

This will not stop anybody who knows what they’re doing from decrypting your password or from reusing your encrypted password if they ever are able to compromise your login. The whole point of converting your password to a SecureString and storing it in a file is to keep it out of plain text in your scripts so that it’s not as easily discovered. It’s not foolproof, but it’s pretty good.

so schlecht ist das gar nicht.

lcer
lcer00
lcer00 29.09.2019 um 18:46:47 Uhr
Goto Top
Hallo zusammen,

der Stand ist folgender:

Acronis nutzt als Context den Maschienenaccount (SERVER1$).

Daher fällt die Variante "Nutze einen Account der das auf der anderen Maschine darf" aus. Ebenso fällt die oben verlinkte "SecureString"-Variante ohne eigenen Key aus, da diese nur im gleichen Benutzerkontext entschlüsselt werden kann, in dem sie auch verschlüsselt wurde.

Möglich ist dann aber die Variante SecuireString mit eigenem Key:

$User = "DOMÄNE\user"  
$PasswordFile = "C:\backupskripte\etc\password.txt"  
$KeyFile = "C:\backupskripte\etc\AES.key"  
$key = Get-Content $KeyFile
$credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $PasswordFile | ConvertTo-SecureString -Key $key)
Invoke-Command -ComputerName vm1 -ScriptBlock { F:\Skripte\backupstart.ps1 } -Credential $credential
Das ganze ist erklärt unter https://www.pdq.com/blog/secure-password-with-powershell-encrypting-cred ... dem zweiten Teil des Blogs auf das @em-pie hingewiesen hat.

Damit muss das AES-Key-File auf dem Server liegen. Das habe ich zwar per NTFS-Zugriffsrechte abgesichert, aber so richtig besser als ein Klartext-Passwort ist das eigentlich auch nicht.

nebenbei: Acronis nutzt invoke-command -VMName, was nur ab Server 2016 funktioniert. Ich habe (unter Server 2012R2) deshalb auf Invoke-Command -ComputerName umgestellt.

Grüße

lcer
emeriks
emeriks 30.09.2019 um 08:16:13 Uhr
Goto Top
Daher fällt die Variante "Nutze einen Account der das auf der anderen Maschine darf" aus. Ebenso fällt die oben verlinkte "SecureString"-Variante ohne eigenen Key aus, da diese nur im gleichen Benutzerkontext entschlüsselt werden kann, in dem sie auch verschlüsselt wurde.
Na dann verschlüssle es doch im Kontext des SYSTEM-Kontos.
lcer00
lcer00 30.09.2019 um 08:32:41 Uhr
Goto Top
Zitat von @emeriks:

Daher fällt die Variante "Nutze einen Account der das auf der anderen Maschine darf" aus. Ebenso fällt die oben verlinkte "SecureString"-Variante ohne eigenen Key aus, da diese nur im gleichen Benutzerkontext entschlüsselt werden kann, in dem sie auch verschlüsselt wurde.
Na dann verschlüssle es doch im Kontext des SYSTEM-Kontos.
nee, das System-Konto von maschine1 hat keine Rechte auf Maschine2

Grüße

lcer
emeriks
emeriks 30.09.2019 um 08:34:20 Uhr
Goto Top
Zitat von @lcer00:
nee, das System-Konto von maschine1 hat keine Rechte auf Maschine2
Sofern eine Domäne so könnte man das aber einrichten.
lcer00
lcer00 30.09.2019 um 08:44:38 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @lcer00:
nee, das System-Konto von maschine1 hat keine Rechte auf Maschine2
Sofern eine Domäne so könnte man das aber einrichten.
ja, will ich das denn ? Das dürfte auch nicht sicherer sein - oder doch?

Variante 1:
Passwort oder AES-Key liegen auf der Festplatte

Variante 2:
Das Systemkonto von maschine1 hat Ausführungsberechtigungen auf maschine2

Grüße

lcer
emeriks
emeriks 30.09.2019 um 09:07:49 Uhr
Goto Top
Zitat von @lcer00:
Das dürfte auch nicht sicherer sein - oder doch?
Glaubensfrage ....

Wenn mir beides zu unsicher wäre, dann könnte ich vielleicht noch einen anderen Weg gehen.
  1. Freigabe auf dem Computer 2, auf welchem diese Software beendet werden soll
  2. Auf dem Computer 2 läuft ein Scheduled Task mit PowerShell-Script in der Endlosschleife (mit Sleep-Pause)
  3. Aus Computer 1 wird bei Bedarf ein Script gestartet, welches in der Freigabe auf Computer 2 eine definierte Steuerdatei erzeugt.
  4. Das Script auf Computer 2 reagiert auf dieses Steuerdatei (z.B. über eine FileSystemWatcher oder über wiederholte Abfrage), führt definierte Aktion aus und liefert über eine definierte Antwortdatei in dieser Freigabe das Ergebnis.
  5. Script auf Computer 1 wertet die Antwortdatei aus.
Somit bräuchte man überhaupt keine Ausführungsberechtigungen für ein drittes Konto einrichten. Und keine Passwörter irgendwo in Dateien speichern.
gelöstFrageMicrosoftWindows Server
Mehr von lcer00lcer00Ereignisweiterleitung: Benötigt ein quellinitiiertes Abonnement WinRM eingehend am Quellcomputer?lcer00 - 2 Kommentarelcer00Kann man sich in Teams benachrichtigen lassen, wenn eine neue Email in einem freigegebenen Postfach eintrifft?lcer00 - 2 Kommentarelcer00Was hat einen Salesforce ODBC Treiber installiert?lcer00 - 2 Kommentarelcer00FortiGate 40F, 60E, 60F, 80E, oder 90E kann ab FortiOS 7.2.6 nicht mehr Fabric Root seinlcer00 - 2 Kommentare
Heiß diskutiert
StefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 24 KommentareSurfer12Neue Telefonanlage konventionell oder IPSurfer12 - 23 KommentarekreuzbergerLTFS und LTO5-Laufwerke im DELL TL4000kreuzberger - 21 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 18 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 17 Kommentareopc123Kostenloser Hypervisoropc123 - 16 Kommentarebloodstix4k Auflösung komischer Rand bei Spielenbloodstix - 16 KommentareYan2021Thunderbolt USB-C auf USB-A Stecker bessere Lösung?Yan2021 - 14 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentarefloriaugsBackup Cloud - Empfehlungfloriaugs - 14 KommentareLordReaperRDP Sessions trennen sich 1-2x täglichLordReaper - 13 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentareNominisHeimnetzwerk - Aufteilung aktualisierenNominis - 13 Kommentare