PSExec 和安全密码

PSExec and secure passwords

我目前正在使用 PSexec,凭据存储在 CSV 中,因此我可以迭代每一行。一个基本的例子是。

$computerlist = Import-Csv C:\XXXXX\computerlist.csv

foreach( $user in $computerlist ) {

    $results = psexec ( "\" + $user.ip ) -u ( $user.ip + "\" + $user.username ) -p $user.password query session

}

CSV 中的密码目前以明文形式存储,任何有权访问计算机的人都可以查看。有没有更好的方案来处理这些密码?

仔细想想"gains access to the machine"是什么意思。对于被盗的计算机,请考虑使用 Bitlocker。对于侵入性用户,考虑用户权限和登录policies/permissions.

保护文件最直接的方法是使用 NTFS 权限。将文件存储在目录中并仅授予包含脚本 运行ner 帐户的特定组的读取权限。

加密凭证文件是先有鸡还是先有蛋的问题。无论如何,您都需要将加密密钥存储在某个地方,除非每次脚本 运行 时都会提示密钥。 EFS 可以在一定程度上使用,但它也不是灵丹妙药。