ConvertTo-SecureString 在不同的服务器上提供不同的体验

Question

我在从远程服务器上的 XML 文件创建凭据对象时遇到问题。这是我用来测试的代码

XML 文件

<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
  <Obj RefId="0">
     <TN RefId="0">
        <T>Selected.System.Management.Automation.PSCredential</T>
        <T>System.Management.Automation.PSCustomObject</T>
        <T>System.Object</T>
     </TN>
     <MS>
        <S N="UserName">domain\username</S>
        <S N="Password">01000000d08c9ddf0115d1118c7a00c04fc297eb010000001f19c6a42b9b0d48af2c531892e737ce000000000200000000001066000000010000200000006fb8862fbaea7b83cd2bcab35d7a8c8b4d71b7764c2a91d68eb3873864bc9d83000000000e8000000002000020000000fcbcc5552c3eb40ec337594f8286b08780709c1ac583d4679dcd7a3f5a92441b20000000c8e274811ed7a411b6741b2c65a67363f6aef380e684d13218d1ecc1281dfdb940000000c7279e81e21a1e57eed7da61e969f34fe2adf3d7e534bb5e10b89902adf4fdf20a69ec7e9b9e56dab512c789043a3b2cf0611e3b4893658b7c20f7892ce0ddfd</S>
</MS>

PowerShell 代码

    $cred = Import-Clixml "Payload\DeploymentCredential.xml"
    write-host $cred
    $cred.Password = ConvertTo-SecureString $cred.Password 
    write-host $cred.Password
    $Credential = New-Object System.Management.Automation.PsCredential($cred.UserName, $cred.Password)
    write-host $Credential.GetNetworkCredential().password

在一台服务器（我的本地机器）上它工作得很好，但在远程服务器上，我得到了这个错误

Key not valid for use in specified state.    
+ CategoryInfo          : InvalidArgument: (:) [ConvertTo-SecureString], CryptographicException
+ FullyQualifiedErrorId : ImportSecureString_InvalidArgument_CryptographicError,Microsoft.PowerShell.Commands.ConvertToSecureStringCommand

两者都有相同版本的 PowerShell（3.0 Build -1 Revision -1），所以我不确定是什么问题。

Answer 1

问题是原始凭证在导出到 xml 之前是如何创建的。

当您使用命令ConvertTo-SecureString 时，它会在您的用户帐户下使用本地计算机 上的加密密钥对明文密码进行加密。这意味着如果将其导出为 xml，则只能在同一台本地机器上使用它。

当您将 xml 文件复制到另一台机器并尝试导入凭证对象时，它将无法正常工作，因为它将尝试使用不匹配的本地密钥对其进行解密。 （因此出现错误消息）。这是一项重要的安全措施，因为它可以防止我复制文件并在另一台计算机上使用它。

如果您需要在另一台计算机上拥有用户帐户来运行某些东西，那么有两种选择：

1. （最安全）在您需要的每台远程计算机上创建凭据对象。这样，它将使用本地加密密钥并防止人们窃取帐户。
2. （最不安全）使用ConvertTo-SecureString 创建凭据时，可以指定-Key 或-SecureKey 参数。这种方式不是使用本地加密密钥，而是使用您指定的密钥。然后在您的脚本中，您提供相同的密钥来解密它。这不太安全，因为我所要做的就是窃取凭据文件，然后查看您的脚本内部（以查看密钥），然后我就窃取了帐户。

--编辑--

以下是如何使用共享密钥的示例。从字面上看，它仅比在脚本中写入明文密码高出一步，并且仅用于混淆密码。还有许多其他更好的方法可以在远程机器上运行脚本，例如 PowerShell Remoting（请参阅：Learn to Use Remoting in PowerShell）。或者使用保存凭据的任务计划程序。

$PlainPassword = "P@ssw0rd"
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force

$key = (3,4,2,3,56,34,254,222,1,1,2,23,42,54,33,233,1,34,2,7,6,5,35,43)

$SecurePasswordKey = ConvertFrom-SecureString $SecurePassword -Key $key

#Output the hash
$SecurePasswordKey

#Output
76492d1116743f0423413b16050a5345MgB8ADIAKwBZAEkALwB0ADUAZwBQAHoAbwBNAEEAUwA0AFQAagB0AGsANwBmAHcAPQA9AHwAYgA3ADgAMwBjAGIANAAzADIAZAAwADEAYQA1AGUAMwBjAGUAYgA2AGMAMQBkADcAYQA3ADMAZAA1ADQAYwA0ADMAYgBlAGEANQAyAGQANQA0AGUAYgA5AGEAMgA0AGIANwBhAGIAMQAzADAAMwAzAGEANAA4ADEANQA0AGEAMAA=

在远程机器上：

$SecurePasswordKey = '76492d1116743f0423413b16050a5345MgB8ADIAKwBZAEkALwB0ADUAZwBQAHoAbwBNAEEAUwA0AFQAagB0AGsANwBmAHcAPQA9AHwAYgA3ADgAMwBjAGIANAAzADIAZAAwADEAYQA1AGUAMwBjAGUAYgA2AGMAMQBkADcAYQA3ADMAZAA1ADQAYwA0ADMAYgBlAGEANQAyAGQANQA0AGUAYgA5AGEAMgA0AGIANwBhAGIAMQAzADAAMwAzAGEANAA4ADEANQA0AGEAMAA='

$key = (3,4,2,3,56,34,254,222,1,1,2,23,42,54,33,233,1,34,2,7,6,5,35,43)

$SecurePassword = ConvertTo-SecureString -String $SecurePasswordKey -Key $key

Answer 2

如果您选择使用 HAL9256 中的答案，这是一种随机创建密钥的方法。

[byte[]]$Rand = for($var=1;$var -le 24){
    Get-Random -min 1 -max 255
    $var++
}

我们创建一个字节数组，其中填充了从 1 到 255 的 24 个随机数。这些数字不显示，仅在脚本运行时存在。

然后我们有一个可以在上述答案中使用的密钥。一旦脚本执行，$Rand 的值就会消失，或者你使用Remove-Variable Rand

请务必将 $Rand 中的数据保存到安全的地方，否则用于加密数据的密钥会丢失。