Jak napisać skrypt w PowerShell
i zabezpieczyć poświadczenia

Łukasz Cholewa

Jak napisać skrypt w PowerShell i zabezpieczyć poświadczenia
2 października, 2018 Katarzyna Sobczak

Jak napisać skrypt w PowerShell i zabezpieczyć poświadczenia

Czasami zdarza się, że trzeba przygotować skrypt, który wykona za nas określone zadanie – jest to tak zwana automatyzacja zadań. Administratorzy piszą skrypty i wstawiają tam poświadczenia. Oczywiście wszystko jest dobrze dopóki jest to DEV-TEST, ale – jak wiadomo – testy przechodzą w produkcję i w takiej wersji pozostają. Niestety może to przełożyć się na kompromitację poświadczeń użytych w skrypcie i naruszyć bezpieczeństwo.

Zaczynając pisać skrypt dobrze jest już od początku szyfrować lub ukrywać poświadczenia. Z pomocą przychodzi nam PowerShell i polecenia ConvertTo-SecureString oraz ConvertFrom-SecureString.

ConvertTo-SecureString jest metodą konwersji tekstu do zabezpieczonej zmiennej obiektu. Pominę opis parametrów. Wszystkich zainteresowanych tą kwestią odsyłam do artykułu pt. ConvertTo-SecureString.

Drugie polecenie to ConvertFrom-SecureString. Więcej o parametrach można przeczytać w artykule pt. ConvertFrom-SecureString.

Kiedy zaczynamy podawać poświadczenia do skryptu i użyjemy opisanego polecenia, PowerShell używa Windows Data Protection API do szyfrowania danych. Oznacza to, że poświadczenia zaszyfrowane w ten sposób są możliwe do odczytania tylko przez dany komputer oraz użytkownika, który wykonał to polecenie. Wyjątkiem jest użycie w poleceniu parametrów -Key bądź -SecureKey. Jeżeli będziemy chcieli odczytać dane na innym komputerze bez podania wspomnianych wcześniej parametrów, pojawi się błąd. Dlatego przy automatyzacji dobrze jest pamiętać o tym, aby użyć parametrów -Key lub -SecureKey.

Ale o tym w dalszej części artykułu.

Przejdźmy zatem do tworzenia poleceń, które ukryją nasze hasło w skrypcie.

Podajemy nasze hasło do zmiennej:


$Haslo = "Qwerty123"

Wpisujemy polecenie do konwersji hasła:


$KonwersjaDo = ConvertTo-SecureString -AsPlainText -Force -String $Haslo

Eksportujemy poleceniem hasło w zaszyfrowanym standardzie do pliku:


$KonwersjaZ = ConvertFrom-SecureString $KonwersjaDo | Out-File C:tempNaszeHaslo.txt

Efektem końcowym jest plik tekstowy, który w bezpiecznej formie przechowuje nasze hasło.

Zdjęcie 1. Hasło w pliku w postaci ciągu znaków.

Teraz możemy utworzyć skrypt, który wykorzystywać będzie nasze hasło.

Przykład do użycia w skrypcie:


$Login = "NaszLoginUzytkownika"
$PlikZHaslem = "C:\Temp\NaszeHaslo.txt"
$NaszePoswiadczenia = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Login, (Get-Content $PlikZHaslem | ConvertTo-SecureString)

No dobrze, ale co w sytuacji, gdy chcemy wykorzystać skrypt np. do uruchamiania go na innych serwerach lub stacjach roboczych?

Wtedy musimy użyć parametrów wspomnianych wcześniej: -Key lub -SecureKey przy poleceniu ConvertFrom-SecureString, które pozwalają użyć algorytmu AES. Posłuży nam to do przechowania poświadczeń w taki sposób, aby można użyć ich było gdzie indziej.

Mamy do wyboru minimum dwie wersje wygenerowania klucza: wersja pierwsza dla ambitnych, wersja druga dla leniwych 😊.

Wpisujemy po prostu ciągi cyfr, które zostaną wykorzystane np. 16-bitów, 32-bity.


[Byte[]] $Klucz = (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16)

Wpisujemy pierwszą i ostatnią wartość do wykorzystania.


[Byte[]] $Klucz = (17..32)

Oczywiście zawsze można skorzystać z jakiegoś generatora wartości. Przykład użycia takowego w skrypcie poniżej:


$PlikKlucza = "C:\temp\klucz.key"
$PlikZHaslem = "C:\Temp\NaszeHaslo.txt"
$Klucz = New-Object Byte[] 32
[Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($Klucz)
$Klucz | Out-File $PlikKlucza
$Klucz = Get-Content $PlikKlucza
$KonwersjaHaslo = " Qwerty123" | ConvertTo-SecureString -AsPlainText -Force
$KonwersjaHaslo | ConvertFrom-SecureString -key $Klucz | Out-File $PlikZHaslem

Tak przygotowane wcześniej dane można umieścić bezpiecznie w skrypcie:


$Login = "NaszLoginUzytkownika"
$PlikZHaslem = "C:\Temp\NaszeHaslo.txt"
$PlikKlucza = "C:\temp\klucz.key"
$Klucz = Get-Content $PlikKlucza
$NaszePoswiadczenia = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Login, (Get-Content $PlikzHaslem | ConvertTo-SecureString -Key $Klucz)

Musimy pamiętać o tym, że każdy, kto ma nasz klucz może odszyfrować dane. Dlatego należy go zabezpieczyć. Nie ma metody, która zabezpieczy nas w 100%, jednak zawsze dobrze jest minimalizować szanse na kompromitację naszych poświadczeń.

Podziel się

Autor: Łukasz Cholewa

Łukasz Cholewa

Łukasz Cholewa

Łukasz zawodowo od około 11 lat, a hobbystycznie od dwóch dekad zajmuje się szeroko rozumianymi usługami w zakresie IT – począwszy od struktury podzespołów, poprzez konfigurację systemów i aplikacji, na opracowywaniu dokumentacji technicznej skończywszy. Łącząc doświadczenie i pasję, aktywnie uczestniczy w konferencjach związanych z tematyką Cloud computing, by następnie móc dzielić się wiedzą oraz dopasowywać rozwiązania do potrzeb klientów.

Prywatnie Łukasz jest pasjonatem motocykli (jest mocno przywiązany do swojej Yamahy FJR 1300) i lubi rowerowe wycieczki oraz bieganie.

Zespół: Cloud Productivity

Ostatnie artykuły autora

Odtworzenie maszyn wirtualnych w chmurze publicznej z użyciem Veeam Backup & Replication – Część 2

Odtworzenie maszyn wirtualnych w chmurze publicznej z użyciem Veeam Backup & Replication – Część 2

Posiadając oprogramowanie Veeam B&R wraz z usługą chmury publicznej Azure, możemy zadbać o nasze środowisko wirtualne i uruchomić dodatkową usługę Disaster Recovery. Umożliwia to funkcja odtworzenia bezpośredniego maszyn wirtualnych do chmury publicznej Azure ze środowiska kopii zapasowych.

Odtworzenie maszyn wirtualnych w chmurze publicznej z użyciem Veeam Backup & Replication – Część 1

Odtworzenie maszyn wirtualnych w chmurze publicznej z użyciem Veeam Backup & Replication – Część 1

Posiadając oprogramowanie Veeam B&R wraz z usługą chmury publicznej Azure, możemy zadbać o nasze środowisko wirtualne i uruchomić dodatkową usługę Disaster Recovery. Umożliwia to funkcja odtworzenia bezpośredniego maszyn wirtualnych do chmury publicznej Azure ze środowiska kopii zapasowych.

Windows Admin Center – migracja magazynu danych

Windows Admin Center – migracja magazynu danych

Windows Admin Center wprowadza nową funkcjonalność o nazwie Storage Migration Service.Pozwala ona w łatwy sposób przenieść zasoby serwera plików z systemów operacyjnych w wersjach Windows Server od 2003 do 2019 na nowy serwer docelowy w wersji Windows Server od 2012 R2 do 2019. Łukasz Cholewa krok po kroku pokazuje jak to zrobić.

Skontaktuj się z Łukaszem

 

Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!

Zarejestruj się i przetestuj APN Meeting Room

Wypróbuj system rezerwacji sal w praktyce, na Twojej infrastrukturze.
Wersja demonstracyjna umożliwia Ci instalację oprogramowania na 3 urządzeniach.

Chcę otrzymywać treści marketingowe od A.P.N. Promise S.A. drogą elektroniczną
Chcę otrzymywać treści marketingowe od A.P.N. Promise S.A. telefonicznie

Administratorem danych osobowych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. z siedzibą w Warszawie. Kontakt z osobą odpowiedzialną za ochronę danych osobowych jest możliwy za pośrednictwem adresu e-mail: iodo@promise.pl. Podane dane będą przetwarzane w zakresie niezbędnym do realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO, w zakresie niezbędnym dla prawidłowej realizacji żądania oraz oferowania i świadczenia usług, marketingu produktów i usług własnych oraz przeprowadzenia ankiet i oceny satysfakcji zgodnie z art. 6 ust. 1 lit. f RODO przez okres niezbędny dla realizacji celów oraz w przypadku wyrażenia zgody na podstawie art. 6 ust. 1 lit. a RODO w celu dostarczenia treści marketingowych środkami komunikacji elektronicznej lub za pomocą urządzeń telefonicznych.

Przysługuje Ci prawo do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, jak również prawo sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, a także prawo złożenia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Podanie danych jest dobrowolne, jednak niezbędne dla realizacji powyżej wskazanych celów. Odbiorcami danych mogą być podmioty lub osoby obsługujące administratora w zakresie w zakresie hostingu, komunikatorów internetowych, usług IT, księgowości, archiwizacji. Więcej informacji w Polityce Prywatności oraz Regulaminie.

Register and test the APN Meeting Room booking system.

Registering and installing the trial version you are allowed to install the software on 3 devices.

I want to receive marketing content from A.P.N. Promise S.A. electronically
I want to receive marketing content from A.P.N. Promise S.A. by phone

The data controller of personal data collected using the form is A.P.N. Promise S.A. with its registered office in Warsaw. Contact with the person responsible for the personal data protection is possible via following e-mail address: iodo@promise.pl. The given data shall be processed to the extent necessary to carry out specified request in accordance with art. 6(1)(b) of GDPR and to the extent necessary for the correct realization of the request and offer and provision of services, own product and services marketing and conducting surveys and satisfaction ratings in accordance with art. 6(1)(f) of GDPR for the period necessary to achieve the purposes and in the event of consent in accordance with art. 6(1)(a) of the GDPR to provide marketing content by electronic means or by telephone devices.

You have the right to request access to your personal data, rectification, deletion or limitation of processing, as well as the right to object to processing, the right to transfer data and the right to lodge a complaint with a supervisory authority, i.e. the President of the Personal Data Protection Office in Poland. Providing data is voluntary but necessary for the realization of the above-mentioned purposes. Recipients of data may be entities or persons servicing the data controller in the field of hosting, instant messengers, IT services, accounting, archiving. More information in the Privacy Policy and Regulations.

Cybersecurity w obszarze zarządzania zasobami oprogramowania

Napisz do nas, a skontaktujemy się z Tobą i bezpłatnie porozmawiamy o Twoim poziomie cyberbezpieczeństwa w obszarze SAM.

 

Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!

Zostaw adres mailowy i nie przegap kolejnego szkolenia!

[contact-form-7 404 "Not Found"]