По сути, я хочу кэшировать учетные данные, необходимые для New-PSSession, и сделать их доступными для скриптов, чтобы им не приходилось пилить человека.
Если я использую export-clixml или аналогичный для хранения PSCredential на диске, насколько это увеличивает риск компрометации по сравнению с сохранением его в переменной сеанса?
PSCredential шифрует строку, используя закрытый ключ этой машины. Зашифрованные данные имеют то же уровень защиты в покое, как и в движении. Уровень шифрования зависит от используемого сертификата, поэтому проверьте шаблон сертификата вашей среды на предмет автоматической регистрации компьютера (если вы его используете). В качестве альтернативы вы можете просто посмотреть сертификат на рассматриваемой машине.
Было сказано, что, строку можно легко расшифровать с одним лайнером powershell (с использованием .Net, а не встроенных командлетов). Все, что кому-то нужно, - это доступ к системе и файлу. Я настоятельно рекомендую вам поискать другие альтернативы, например, локальный инструмент управления паролями.
Насколько заблокирован ваш сервер с точки зрения доступа? У кого есть доступ к серверу и что делать, если кто-то узнает этот пароль? Большинство людей может прочитать ваш сценарий, выяснить, для чего используется пароль, и в конечном итоге использовать его в злонамеренных целях. Даже если он зашифрован.
Если бы это был я, я бы посмотрел на несколько разных вариантов:
Если вы еще этого не сделали, запустите сценарий как запланированную задачу с необходимыми учетными данными. Если это невозможно, потому что это другой тип учетных данных. Вариант 2/3 был бы более предпочтительным.
Посмотрите на что-то вроде "секретного сервера" http://thycotic.com/products/secret-server/ У этого типа решения есть API, поэтому вы можете получить доступ к учетным данным из API.
Есть такие инструменты, как «JAMS» http://www.jamsscheduler.com/ которые также могут хранить учетные данные и запускать задачи / сценарии как определенные учетные записи. вы также можете делать такие вещи, как создание рабочих потоков.