Passwörter in PowerShell: einfach & sicher mit Zertifikaten

Welcher Admin hat sich nicht mindestens einmal die Frage gestellt, wie er seine Passwörter sicher abspeichern kann, um sie dann möglichst ohne viel Aufwand in seinem PowerShell Script verwenden zu können?
Und am besten soll das Script dann auch auf verschiedenen Systemen oder von allen Teammitgliedern ausgeführt werden können.
Ich habe viele verschiedene Methoden ausprobiert und war mit keiner richtig glücklich.

Bei der Variante mit

hast Du zwar das Passwort sicher auf Deiner Festplatte abgespeichert, Du kannst aber dann das Passwort nur mit DEM Benutzer und auf DEM System, wo es erzeugt wurde, wieder entschlüsseln – für Teamarbeit gänzlich ungeeignet.

Auch das Verschlüsseln mit einem Key (wie z.B. die Seriennummer der Festplatte oder ähnlichen) ist ungünstig: entweder Du musst den Schlüssel wieder irgendwo hinterlegen werden oder Du kannst das Passwort wiederum nur auf dem System entschlüsseln, wo Du es erzeugt hast.

Auf die Lösung kam ich dann beim Lesen von Dr. Tobias Weltner’s Buch “PowerShell 5: Windows-Automation für Einsteiger und Profis” im Abschnitt “Scripte digital signieren”: diese Technik lässt sich auch wunderbar für Passwörter verwenden.

Zertifikat erstellen

Seit Windows 10 / Server 2016 verfügt das Cmdlet New-SelfSignedCertificate über erweiterte Optionen, über die z.B. auch die Gültigkeitsdauer angepasst werden kann.

Erstellen wir also zuerst ein selbstsigniertes Zertifikat:

Als Ergebnis erhalten wir zwei Dateien – den öffentlichen und privaten Teil des Zertifikats:

Zertifikatsdateien

Jetzt kannst Du den privaten Teil des Zertifikats auf dem System (bzw. den Systemen der Kollegen), auf dem Du die Passwörter entschlüsseln möchtest, installieren. Am einfachsten geht das mit einem Doppelklick auf die *.pxf-Datei.
Im Zertifikatimport-Assistent kannst Du alle Einstellungen beibehalten. Nach Eingabe des zuvor gewählten Passworts und Abschluss des Assistenten findest Du das Zertifikat bei den Benutzerzertifikaten: 

Passwort verschlüsseln

Nun kannst Du das Passwort mit dem öffentlichen Teil des Zertifikats verschlüsseln und abspeichern:

Passwort entschlüsseln

Anschließend kannst Du das Passwort ganz einfach durch Dein Script auslesen und verwenden:
Die PowerShell ist so schlau und erkennt das zur Entschlüsselung notwendige Zertifikat automatisch.
So kannst Du auch mehrere Zertifikate zum Beispiel für unterschiedliche Bereiche und Anforderungen erstellen und diese dann nur an den berechtigten Personenkreis weitergeben.

Wenn Du nun die verschlüsselten Passwort-Dateien auf einem freigegebenen Laufwerk ablegst, kannst Du bzw. Deine Kollegen von verschiedenen Systemen darauf zugreifen, ohne dass Ihr bei der Ausführung des Scriptes ein Passwort eingeben müsst.
Vorausgesetzt natürlich, der ausführende Benutzer hat das entsprechende Zertifikat vorab installiert.

Print Friendly, PDF & Email
Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*