保存凭据以通过PowerShell和错误转换为安全：密钥不适合在指定状态

Question

我正在做类似本文中描述的事情，以将凭据保存在安全文件中，以便我们的自动化过程可以使用它来通过Invoke-Command运行远程PS脚本： http ：//blogs.technet.com/b/robcost/archive/2008/05/01/powershell-tip-storing-and-us---usis-password-credentials.aspx

当我在我的帐户下运行此运行时，这很有效 - 密码是从加密文件中读取的，传递给命令命令，一切都很好。

今天，当我的脚本为其黄金时间准备好时，我尝试在Windows帐户下运行它，该帐户将被自动化过程使用，并在我的脚本试图从文件中读取安全密码的情况下在下面收到此错误：

ConvertTo-SecureString : Key not valid for use in specified state.
At \\remoted\script.ps1:210 char:87
+ $password = get-content $PathToFolderWithCredentials\pass.txt | convertto-sec
urestring <<<<
    + CategoryInfo          : InvalidArgument: (:) [ConvertTo-SecureString], C
   ryptographicException
    + FullyQualifiedErrorId : ImportSecureString_InvalidArgument_Cryptographic
   Error,Microsoft.PowerShell.Commands.ConvertToSecureStringCommand

要求我的同事运行在他的帐户下，他遇到了同样的错误。

这是我用来保存凭据的代码：

$PathToFolderWithCredentials = "\\path\removed"

write-host "Enter login as domain\login:"
read-host | out-file $PathToFolderWithCredentials\login.txt

write-host "Enter password:"
read-host -assecurestring | convertfrom-securestring | out-file $PathToFolderWithCredentials\pass.txt

write-host "*** Credentials have been saved to $pathtofolder ***"

这是脚本中的代码，该代码由自动化过程运行以读取它们在Invoke-command中使用：

$login= get-content $PathToFolderWithCredentials\login.txt
$password = get-content $PathToFolderWithCredentials\pass.txt | convertto-securestring
$credentials = new-object -typename System.Management.Automation.PSCredential -argumentlist $login,$password

错误发生在行$ password = get-content $ pathToFolderWithCredentials \ pass.txt |转换

有什么想法？

Answer 1

您必须在同一台计算机上创建密码字符串，并且使用与运行它相同的登录名。

Answer 2

convertfrom-securestring采用键（securekey）参数。您可以指定保存加密标准字符串的键，然后在convertto-securestring中再次使用键以恢复安全字符串，而与用户帐户无关。

http://technet.microsoft.microsoft.com/en-us/en-us/library/library/library/dd31556.aspx

在一个项目中，我实施了不对称的加密，人们使用公共密钥对密码进行加密，并且自动化过程具有解密密码的私钥：自动部署中生产配置中的处理密码

Answer 3

以下将允许将凭据保存为文件，然后由其他用户运行的另一个脚本使用这些凭据。

该代码摘自David Lee发表的一篇很棒的文章，只有我自己的一些较小的调整 https://blog.kloud.com.au/2016/04/21/ususe-saved-credentials-securelys-securely-in-powershell-scripts/

第一步是使用AE将AA安全密码保存到文件。以下将作为独立脚本运行：

            # Prompt you to enter the username and password
            $credObject = Get-Credential

            # The credObject now holds the password in a ‘securestring’ format
            $passwordSecureString = $credObject.password

            # Define a location to store the AESKey
            $AESKeyFilePath = “aeskey.txt”
            # Define a location to store the file that hosts the encrypted password
            $credentialFilePath = “credpassword.txt”

            # Generate a random AES Encryption Key.
            $AESKey = New-Object Byte[] 32
            [Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($AESKey)

            # Store the AESKey into a file. This file should be protected! (e.g. ACL on the file to allow only select people to read)

            Set-Content $AESKeyFilePath $AESKey # Any existing AES Key file will be overwritten

            $password = $passwordSecureString | ConvertFrom-SecureString -Key $AESKey

            Add-Content $credentialFilePath $password

然后在您需要使用凭据的脚本中使用以下内容：

            #set up path and user variables
            $AESKeyFilePath = “aeskey.txt” # location of the AESKey                
            $SecurePwdFilePath = “credpassword.txt” # location of the file that hosts the encrypted password                
            $userUPN = "domain\userName" # User account login 

            #use key and password to create local secure password
            $AESKey = Get-Content -Path $AESKeyFilePath 
            $pwdTxt = Get-Content -Path $SecurePwdFilePath
            $securePass = $pwdTxt | ConvertTo-SecureString -Key $AESKey

            #crete a new psCredential object with required username and password
            $adminCreds = New-Object System.Management.Automation.PSCredential($userUPN, $securePass)

            #use the $adminCreds for some task
            some-Task-that-needs-credentials -Credential $adminCreds

请注意，如果用户可以访问密码文件和密钥文件，他们可以解密该密码的密码用户。

Answer 4

另一种方法是使用范围“ LocalMachine”而不是“ Currentuser”来保护数据，而“ Currentuser”是转换式搜索的范围。

public static string Protect(SecureString input, DataProtectionScope dataProtectionScope = DataProtectionScope.CurrentUser, byte[] optionalEntropy = null)
{
    byte[] data = SecureStringToByteArray(input);
    byte[] data2 = ProtectedData.Protect(data, optionalEntropy, dataProtectionScope);
    for (int i = 0; i < data.Length; i++)
    {
        data[i] = 0;
    }

    return ByteArrayToString(data2);
}
private static byte[] SecureStringToByteArray(SecureString s)
{
    var array = new byte[s.Length * 2];
    if (s.Length > 0)
    {
        IntPtr intPtr = Marshal.SecureStringToGlobalAllocUnicode(s);
        try
        {
            Marshal.Copy(intPtr, array, 0, array.Length);
        }
        finally
        {
            Marshal.FreeHGlobal(intPtr);
        }
    }

    return array;
}
private static string ByteArrayToString(byte[] data)
{
    var stringBuilder = new StringBuilder();
    for (int i = 0; i < data.Length; i++)
    {
        stringBuilder.Append(data[i].ToString("x2", CultureInfo.InvariantCulture));
    }

    return stringBuilder.ToString();
}

加密的字符串可以通过使用范围“ CurrentUser”的转换式搜索来使用。

Answer 5

假设您有一个已知的n个用户列表，这些用户将使用凭据（例如，一个开发人员userme和System/Service用户Usersys ），则可以（将这些用户获取）制作pass.txt文件的n副本：每个用户一个。

因此，userx的密码将导致Eg 2 *。pass.txt文件：

• userx.userme.pass.txt
• userx。 userys.pass.txt

userme想要读取的信用时，他/她读userx.userme.pass.txt等。