在上一篇我们知道了,在不同的user account和workstations, 如何使用AES key去生成SecureString。我们需要去保护好Key,以免遭非法者解密数据保护。

在之前的例子中,我使用一个非常简单的16-byte 数组存储在脚本本身的主体。 这不是一个好的做法, 这和你密码用明文表示本质上是一样的。或者你可以在一个隔离的脚本里提前生成一个key。

作为一个例子,我已经建立了一个小脚本生成一个随机的16-byte数组。 我用System.Security.Cryptography.RNGCryptoServiceProvider 类随机生成的数据来填充一个字节数组。

Creating AES key with random data and export to file

    

$KeyFile = "\\SHSV2019\SharePath\AES.key"
$Key = New-Object Byte[] 16    #You can use 16, 24, or 32 for AES
[Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($Key)
$Key | Out-File $KeyFile

Creating SecureString object

$PasswordFile = "\\SHSV2019\SharePath\Password.txt"
$KeyFile = "\\SHSV2019\SharePath\AES.key"
$Key = Get-Content $KeyFile
# $Password = "P@ssword" | ConvertTo-SecureString -AsPlainText -Force
$Password | ConvertFrom-SecureString -Key $Key | Out-File $PasswordFile

Creating PSCredential object

$User = "contoso\jason"
$PasswordFile = "\\SHSV2019\SharePath\Password.txt"
$KeyFile = "\\SHSV2019\SharePath\AES.key"
$Key = Get-Content $KeyFile
$MyCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $PasswordFile | ConvertTo-SecureString -Key $Key)

1. 加域脚本

$User = "contoso\jason"
$PasswordFile = "\\SHSV2019\SharePath\Password.txt"
$KeyFile = "\\SHSV2019\SharePath\AES.key"
$Key = Get-Content $KeyFile
$MyCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $PasswordFile | ConvertTo-SecureString -Key $Key)
Add-Computer -DomainName contoso.com -Credential $MyCredential

将上面的加域脚本另存为"Joindomain.PS1"通过右键执行"Run with PowerShell"

在PowerShell中使用AES加密_第1张图片

执行后系统提示需要重启生效。

2. 退域脚本

$User = "contoso\jason"
$PasswordFile = "\\SHSV2019\SharePath\Password.txt"
$KeyFile = "\\SHSV2019\SharePath\AES.key"
$Key = Get-Content $KeyFile
$MyCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $PasswordFile | ConvertTo-SecureString -Key $Key)
Remove-Computer -UnjoinDomainCredential $MyCredential -PassThru -Verbose -Restart

将上面退域脚本另存为"Unjoindomain.ps1",右键执行“Run with PowerShell”

执行完毕,会自动重启,整个退域过程结束。