PowerShell：加密并存储您的密码并将其用于远程身份验证 (Protect-CmsMessage)

一提到证书，很多人就望而却步。这个话题不是很受欢迎，但一切并不像担心的那么糟糕。在本文中，我将向您展示如何以加密形式在硬盘上存储您的一个或多个密码。由于公钥/私钥过程，持有证书（特别是私钥）的用户是唯一可以打开文件并读取密码的用户。之后我将展示如何使用此密码进行一些远程操作。

这篇文章的目的是什么？

每次进行远程处理时，都会要求您提供凭据。如果这让您烦恼，请继续阅读。我们将在我们的硬盘上保存受加密保护的密码。我们的目标是一个名为 Enter-PSSessionPW 的新高级功能，它使用您的加密密码建立远程连接。

安全说明

所示解决方案并非 100% 安全。但可以让它更安全。有关更多信息，请参阅本文的最后部分。

但首先，我们必须看一下一般流程。

非对称密码学

让我首先向您概述非对称密码学，以充分理解我们在本文中将要做什么。考虑Protect-CmsMessage的流程：

这意味着我们只能使用私钥来解密数据。使用公钥我们可以加密数据。

可以通过将公钥提供给用户 Petra 来检查此过程。然后，她使用公钥来加密文件的内容。但是，她无法解密该文件，因为她缺少私钥（只有 pewa2303 有）。为了证明这一点，我已经导出了公钥，并且 Petra 已将其安装在她的证书存储中（个人 - 已认证）。现在发生以下情况：

Petra 能够使用 pewa2303 证书的公钥对内容进行加密。正如预期的那样。

正如所希望的，佩特拉无法解密内容，因为她丢失了私钥。

但另一方面，pewa2303 能够解密该消息，因为他是私钥的持有者。不要混淆 pewa2303=管理员 ?

过去的证明 ?

让我们开始工作吧！

创建新的文档加密证书

为了执行上面所示的操作，我们首先需要一个证书。有两种方法可以做到这一点： 1. 您从公共认证机构获得一个，或者如果没有，您购买一个，2. 您自己创建一个。由于我认为大多数读者都没有证书，因此我们现在正在共同创建一个证书。

好吧，让我们开始吧。您所要做的就是在 PowerShell 会话中复制以下命令。名称 pewa2303 应自定义。 2018 年，我们不再需要像 makecert 这样的第三方工具。感谢上帝或 PowerShell 团队！

New-SelfSignedCertificate -DnsName pewa2303 -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsage KeyEncipherment,DataEncipherment,KeyAgreement -Type DocumentEncryptionCert

请注意上面的指纹。对于以下内容，我们需要此号码和包含私钥的 pfx 文件的密码。

检查一下

certmgr.msc

我强烈建议立即备份此证书。不晚了。后来意味着永远不会。 ?

Export-PfxCertificate -Cert Cert:\CurrentUser\My09C2F587CC95B6F229279ACDB8B3765C1D054B -FilePath C:\Temp\cert.pfx -Password (ConvertTo-SecureString -AsPlainText '123' -Force)

现在我们有了证书的备份。最好你选择一个比我更好的密码并将文件存储在硬盘以外的介质上?

现在我们可以继续进行一些加密操作。

加密您的密码

总之：我们有证书。我们已备份此证书。现在我们可以使用这个证书来加密文件。首先，我们创建一个新文件。

New-Item -ItemType File -Path C:\Temp\pwd.txt

接下来我们将加密的密码放入此文件中。在这里，我们必须提供您在第一步中定义的证书名称 (cn=pewa2303)。

'password' | Protect-CmsMessage -To cn=pewa2303 -OutFile C:\Temp\pwd.txt

快速检查显示发生了什么：

很好，我们有一个加密文件，里面有我们的密码。而你是这个星球上唯一可以解密它的人（记住私钥！）：

Unprotect-CmsMessage -Path C:\Temp\pwd.txt

使用该方法连接到远程主机

Enter-PSSession cmdlet 提供凭据参数。我们的第一步是将密码存储在变量中。

$password = ConvertTo-SecureString (Unprotect-CmsMessage -Path C:\Temp\pwd.txt) -AsPlainText -Force

然后我们创建一个新的 PSCredential 对象。填写您的用户名。

$cred= New-Object System.Management.Automation.PSCredential ('a-d\administrator', $password )

从现在开始，我们可以使用此凭据 $cred 变量连接到远程主机。

Enter-PSSession -ComputerName dc01 -Credential $cred

但这种方法是一种麻烦且无聊的方法。那么，让我们实现自动化。

新函数：Enter-PSSessionPW

打开 PowerShell ISE。复制以下代码。

function Enter-PSSessionPW {

[CmdletBinding()]

param (

[Parameter(Position=0)]
$ComputerName='localhost'

)

$password = ConvertTo-SecureString (Unprotect-CmsMessage -Path C:\Temp\pwd.txt) -AsPlainText -Force
$cred= New-Object System.Management.Automation.PSCredential ("a-d\administrator", $password)

Enter-PSSession -ComputerName $ComputerName -Credential $cred

}

按绿色按钮。该命令现在可用，并使用加密文件中的密码。 Computername 参数的默认值为 localhost。

我们假设另一个用户登录计算机。该用户无法解密该文件，因为该用户没有私钥。因此该命令将不起作用。

使其永久化

如果您喜欢我的方法，请打开 PowerShell ISE。将该函数复制到您的 ISE 会话中。在 C:\Program Files\Windows PowerShell\Modules 中创建一个文件夹，并将代码保存为 psm1 文件。确保您的文件名和文件夹名称匹配。

从现在起，每次启动 PowerShell 时，PowerShell 都会加载自定义模块。

安全问题

最好不要在任何地方写下密码。在上面所示的场景中，密码以加密形式存储。请记住，任何获得您证书的人都可以解密您的密码。请注意，证书存储在单独的内存中，但任何可以访问您解锁的电脑的人也都可以访问该证书。考虑以下场景。

漏洞

• 管理员可以更改用户的密码并使用用户的凭据登录。然后管理员可以访问证书及其私钥
• 有人可以使用启动盘启动计算机，例如 Hiren 的 Boot。然后他就可以重置用户帐户的密码，他可以以此用户身份登录并窃取证书

对策

1. 安装BitLocker驱动器加密以确保没有人可以使用启动盘启动您的计算机
2. 确保您是计算机的唯一管理员
3. 应配置证书，以便私钥无法导出，并且证书应来自官方证书颁发机构