Назад | Перейти на главную страницу

Шифрование файлов учетных данных PowerShell (creds)

Я начал экспериментировать с PowerCLI и поэтому создал файл учетных данных, который будет использоваться при подключении к vCenter. Целью этого будет запуск запланированных задач, таких как запуск vCheck daily скрипт. Я, вероятно, настрою для этого служебную учетную запись, которая будет локальным администратором vCenter sever, поэтому меня беспокоит, что пароль находится в этом файле.

Если вы просто просматриваете файл, пароль выглядит зашифрованным:

AQAAANCMnd8BFdERjHoAwE / CI + sBAAAAF6urzz6JcEKjSIAFn / FxnQAAAAACAAAAAAADZgAAwAAAABAAAACtzPSK0kUeCGX71HGYFXhBAAAAAASAAACgAAAAEAAAAECR1XvUy3U2YgSMrr1bQ tQIAAAAzWWCyBUxfA0UAAAAAsM9vPr / NR + VP1MAekPXKp / wNgw =

После того, как вы свяжете учетные данные с переменной ($ creds), вы можете просто просмотреть переменную и увидеть пароль:

$ кредиты | fl *

Хост : тест Пользователь : тест пароль : действительно показывает ваш пароль здесь файл : ваш файл кредитов

Есть ли способ зашифровать весь этот файл и / или запретить просмотр этого пароля?

Граб дал отличный ответ. Я хотел бы добавить, что вместо создания учетной записи локального администратора создайте обычную учетную запись домена, а затем предоставьте этому пользователю только определенные разрешения, доступные только для чтения, из vCenter. Таким образом, если учетная запись действительно будет взломана, можно будет нанести лишь минимальный ущерб.

Нет (простого) способа предотвратить просмотр пароля, но это не так плохо, как кажется. Расшифровка работает только при следующих обстоятельствах:

  1. Зашифрованный файл должен открывать тот же пользователь, который его создал.

  2. Зашифрованный файл необходимо открыть на том же компьютере, на котором он был создан.

Пока вы используете надежный пароль для учетной записи пользователя, которая должна читать учетные данные, его следует сохранить, чтобы использовать файл учетных данных.

Я использую файлы учетных данных для многих запланированных задач (неинтерактивная оболочка). Оболочка автоматически закрывается после завершения запланированных задач и удаления переменной $ cred.

В интерактивных оболочках я не использую файлы учетных данных, потому что я могу указать имя пользователя и пароль вручную.

Надеюсь это поможет. Хорошего дня.

Приветствую

жратва