PSExec 和安全密码
PSExec and secure passwords
我目前正在使用 PSexec,凭据存储在 CSV 中,因此我可以迭代每一行。一个基本的例子是。
$computerlist = Import-Csv C:\XXXXX\computerlist.csv
foreach( $user in $computerlist ) {
$results = psexec ( "\" + $user.ip ) -u ( $user.ip + "\" + $user.username ) -p $user.password query session
}
CSV 中的密码目前以明文形式存储,任何有权访问计算机的人都可以查看。有没有更好的方案来处理这些密码?
仔细想想"gains access to the machine"是什么意思。对于被盗的计算机,请考虑使用 Bitlocker。对于侵入性用户,考虑用户权限和登录policies/permissions.
保护文件最直接的方法是使用 NTFS 权限。将文件存储在目录中并仅授予包含脚本 运行ner 帐户的特定组的读取权限。
加密凭证文件是先有鸡还是先有蛋的问题。无论如何,您都需要将加密密钥存储在某个地方,除非每次脚本 运行 时都会提示密钥。 EFS 可以在一定程度上使用,但它也不是灵丹妙药。
我目前正在使用 PSexec,凭据存储在 CSV 中,因此我可以迭代每一行。一个基本的例子是。
$computerlist = Import-Csv C:\XXXXX\computerlist.csv
foreach( $user in $computerlist ) {
$results = psexec ( "\" + $user.ip ) -u ( $user.ip + "\" + $user.username ) -p $user.password query session
}
CSV 中的密码目前以明文形式存储,任何有权访问计算机的人都可以查看。有没有更好的方案来处理这些密码?
仔细想想"gains access to the machine"是什么意思。对于被盗的计算机,请考虑使用 Bitlocker。对于侵入性用户,考虑用户权限和登录policies/permissions.
保护文件最直接的方法是使用 NTFS 权限。将文件存储在目录中并仅授予包含脚本 运行ner 帐户的特定组的读取权限。
加密凭证文件是先有鸡还是先有蛋的问题。无论如何,您都需要将加密密钥存储在某个地方,除非每次脚本 运行 时都会提示密钥。 EFS 可以在一定程度上使用,但它也不是灵丹妙药。