- Auf einem sicheren Filesystem ablegen und vor Zugriff schützen.
- Das Passwort nur verschlüsselt ablegen. Den Key dazu im sicheren Filesystem ablegen und vor Zugriff schützen.
- Das Script im definierten Userkontext ausführen.
- Im Code möglichst darauf achten, dass der Speicher wieder gelöscht wird.
Das Passwort verschlüsseln
Man braucht zunächst mal einen definierten Schlüssel um zu verschlüsseln, sonst würde das Cmdlet ConvertFrom-SecureString das Benutzerkonto verwenden. das wäre nicht praktikabel.So kann man einen zufälligen AES 256 Key (32 Byte) erzeugen:
$pwPath = ".\myPassword.txt"
$aesKeyPath = ".\aesKey.key"
$AESKey = New-Object Byte[] 32
[Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($AESKey)
if (-not (Test-Path $aesKeyPath)) {Set-Content $aesKeyPath $AESKey}"password" | ConvertTo-SecureString -AsPlainText -Force | ConvertFrom-SecureString -Key $AESKey| Out-File $pwPathDas Passwort entschlüsseln und verwenden
Das Passwort kann man "umgekehrt" wieder einlesen, aber dabei entsteht zunächst ein SecureString, dieser ist so nicht darstellbar und in vielen Applikationen auch nicht verwendbar..$SecureCredential = Get-Content $pwPath | ConvertTo-SecureString -Key $AESKey(New-Object PSCredential "username",$SecureCredential).GetNetworkCredential().PasswordEntweder nimmt man hier irgendeinen "Begriff" oder man nimmt den Benutzer, den man in der weiteren Verarbeitung verwenden kann/will (z.B. Mailaccount)
$Account = (New-Object PSCredential "username",$SecureCredential).GetNetworkCredential()
$Account.Password
$Account.UserNameDas Passwort an externe Programme übergeben
Die Verwendung der Kommandozeile in Powershell kann einen manchmal verzweifeln lassen.Einige eingebaute Alias Definitionen (Get-Alias) ersetzen bekannten Windows Kommandozeilen Befehle durch Cmdlets. Deren Aufruf Syntax ist nie 100% kompatibel!
Parameter/Argumente werden von der Powershell "analysiert" und "umgedeutet".
Im Zweifelsfall hilft nur probieren und suchen!
Leerzeichen und Sonderzeichen in den Strings machen einen das Leben zusätzlich schwer. Bestimmte Zeichen muss man mit dem backtick ` schützen (Artikel in der WinPro).
Es bieten sich ein paar Möglichkeiten zum Aufruf externer Programme an:
- Command Shell cmd verwenden
- Aufruf mit & Zeichen am Zeilenanfang
- Alias setzen Set-Alias
- Das Parsing der Argumente durch Einfügen von --% abbrechen.
& cmd /c dir /q
set-alias sz "$env:ProgramFiles\7-Zip\7z.exe"
sz a -tzip "ArchivNameOhneEndung" "PfadName" -mem=AES256 "-p$($Account.Password)" -v2g
icacls .\Archiv1.zip.001 /grant Benutzer:`(R`)
icacls .\Archiv1.zip.001 --% /grant Benutzer:(R)Hier hilft dann eventuell ein Array (siehe Beispiele weiter unten).
Die Dateien vor Zugriff schützen
Die Absicherung der Datei unter Windows kann mit verschiedenen Methoden erfolgen, die grafische Variante mit dem Explorer will ich nicht extra beschreiben.Schlussendlich muss der Benutzer, der das Script ausführt die Datei lesen können!
Achtung: Der folgenden icacls Syntax funktioniert in einer Powershell Umgebung, aber besser immer icacls --% verwenden!
Beispiel: Rechte Anzeigen, Vererbung löschen, Administratoren und SYSTEM entfernen:
icacls w.txt
icacls w.txt /inheritance:d
icacls w.txt /remove Administratoren
icacls w.txt /remove SYSTEMClear-Variable AccountDinge die man nicht verstehen muss
Hier mal 3 Varianten wie man den 7Zip Befehl (Alias sz) fehlerfrei ausführen kann.$Archiv="Archiv1"
$Pfad="c:\temp"
# Alles in einer Aufrufzeile
sz a -tzip "$Archiv" "$Pfad" -mem=AES256 "-p$($Account.Password)" -v2g
# die gesamte Aufrufzeile in eine Stringvariable verpackt
$befehl = "sz a -tzip `"$Archiv`" `"$Pfad`" -mem=AES256 -p$($Account.Password) -v2g"
Invoke-Expression $befehl
# Alle Argumente als Elemente eines Arrays
$Arguments = "a","-tzip","`"$Archiv`"","`"$Pfad`"","-mem=AES256","-p$($Account.Password)","-v2g"
sz $Arguments
$Argument="a -tzip `"$Archiv`" `"$Pfad`" -mem=AES256 -p$($Account.Password) -v2g"
sz $ArgumentToDo?
Code BlockCode Block