Início / dba / Perguntas / 258108
Accepted
DForck42
Asked: 2020-01-24 13:56:59 +0800 CST

Como automatizar a criação de credenciais de forma segura

  • 772

Criamos um processo automatizado para criar um novo SQL Server usando TFS e powershell. Como parte de uma nova compilação de servidor, implantamos um banco de dados e um conjunto de trabalhos para uso de dba. Como parte da instalação, precisamos criar uma credencial para um proxy de agente sql para alguns de nossos trabalhos. No entanto, não queremos armazenar nossas senhas em código.

Existe uma solução para armazenar senhas (ou gerar uma senha) onde não estamos armazenando em texto simples ou em linha no código?

Nossos servidores estão no prim, não no Azure. Temos acesso ao Keepass, mas isso está sendo preterido para o Thycotic.

powershell sql-server-2016

2 respostas

  1. Best Answer

    Você pode aproveitar o PowerShell e a API REST Thycotic para buscar suas credenciais do Secret Server programaticamente. Use "Autenticação do Windows" para evitar a necessidade de armazenar credenciais nos scripts do PowerShell ou inseri-las durante o tempo de execução.

    Se suas implantações forem executadas em um contexto de conta de serviço do agente de compilação, você precisará garantir que a conta de serviço tenha acesso no Secret Server às credenciais que deseja acessar.

    Aproveitando a API como uma etapa em sua versão antes de implantar a credencial SQL, você pode buscar a credencial e passá-la para o script do PowerShell que implanta a credencial.

    • 3

  2. Tente isto:

    $cred = get-credential
$cred | Export-CliXml -Path C:\Temp\Mycreds.xml

    Get-Credential solicitará o nome de usuário e a senha e o Export-CliXml exportará os resultados para um arquivo XML. Se você olhar para o nome de usuário, ele estará em texto simples, mas a senha será criptografada.

    Quando o nome de usuário e a senha forem necessários, importe o XML:

    $cred = Import-CliXml -Path "C:\Temp\Mycreds.xml"

    Então, na sua string de conexão, você pode usar o nome de usuário e a senha assim.

    -Username $cred.GetNetworkCredential().Username 
-Password $cred.GetNetworkCredential().Password

    Outra maneira hacky e muito menos segura de fazer isso seria escrever uma string segura em um arquivo.

    ## Create the secure string password file
$Sec = Read-Host -AsSecureString
$Enc = ConvertFrom-SecureString -SecureString $Sec -Key (1..16)
$Enc | Set-Content C:\Temp\Encrypted.txt

## When you need to use it...
$Sec2 = Get-Content C:\Temp\Encrypted.txt | ConvertTo-SecureString -Key (1..16)
[Runtime.InteropServices.Marshal]::PtrToStringAuto([Runtime.InteropServices.Marshal]::SecureStringToBSTR((($Sec2))))

    se você deixar as extensões de arquivo desativadas (Encrypted.txt seria Encrypted), qualquer pessoa que navegasse na pasta em que o arquivo está não saberia que era um arquivo de texto normal.

    Mas isso é realmente segurança por obscuridade, qualquer pessoa que possa ler o script pode usar o que você está fazendo e coletar a senha.

    • 1

relate perguntas