Andrey_Biryukov 14 июн 2024 в 11:14

Использование Windows Credential Manager для безопасности PowerShell

4 мин

3.6K

Блог компании OTUSИнформационная безопасность*

Комментарии 7

say_TT_plz 14 июн 2024 в 13:21

Это связано с тем, что любой, у кого есть доступ к файлу, может использовать его для аутентификации, не зная фактического пароля. Кстати, по похожему принципу построена атака pass the hash, когда злоумышленник вместо пароля использует его хэш, и этого бывает достаточно для аутентификации в системе.

$pwd = read-host "password:" -AsSecureString

$Encrypted = ConvertFrom-SecureString -SecureString $pwd Для шифрования используется API защиты данных Windows (DPAPI), расшифровать можно только из профиля пользователя(сеанса). Если просто получить доступ к строке, то без доступа к учетке пользователя не получится расшифровать.

С тем же успехом можно утверждать, что пароль можно дернуть из кред менеджера через

$Cred = Get-StoredCredential -Target PowerShell

$pass = [Net.NetworkCredential]::new('', $cred.Password).Password

grumbler70 14 июн 2024 в 19:28

+1
К тому же эту шифрованную строку можно расшифровать только на той же машинке, где её создали. Запустите на двух разных машинах под одной и той же доменной учетной записью и сравните выдачу $SecureString:

$PlainPassword = "P@ssw0rd!"
$SecurePassword = ConvertTo-SecureString $PlainPassword -AsPlainText -Force
$SecurePassword
$SecureString = ConvertFrom-SecureString -SecureString $SecurePassword
$SecureString
$secString2 = ConvertTo-SecureString -String $SecureString
$PlainPasswordRecovered =  [Net.NetworkCredential]::new('', $SecString2).Password
$PlainPasswordRecovered

DikSoft 14 июн 2024 в 18:38

Как вариант, можно запускать скрипт из планировщика под сервисной учетной записью, сохраняя её пароль, а креды этой учетки для использования в явном виде в скрипте получать командой:

 $cred = [System.Net.CredentialCache]::DefaultNetworkCredentials

exchange12rocks 15 июн 2024 в 00:59

Может быть в 2024 году лучше использовать https://github.com/powershell/SecretManagement ?

НЛО прилетело и опубликовало эту надпись здесь

DikSoft 16 июн 2024 в 13:49

У нас выключили в АД повершел совсем для безопасности.

Странное решение. У вас плоская сеть, нет PKI, безопасники ещё учатся?

Для скриптов есть линукс..

PowerShell скрипты, оперирующие объектами, а не строками с адским выводом и парсингом, на порядок удобнее для административных и регламентных задач Windows инфраструктуры, чем бардачный bash-инг / питонинг.

НЛО прилетело и опубликовало эту надпись здесь

Зарегистрируйтесь на Хабре, чтобы оставить комментарий