Discussion :

[riko60]

Bonjour,

Je dois résoudre un problème, dans mon entreprise un utilisateur doit utiliser un logiciel demandant une élévation, comme il n'est pas admin il ne peut pas le lancer. Je veux donc lui écrire un petit script en PS, lui permettant de lancer son application en tant qu'administrateur local, pour se faire les identifiants admin doivent être cryptés.

J'ai essayé en utilisant la commande export-clixml et import mais cela ne fonctionne pas sous une autre session et machine que celle ou les identifiants ont été générés dans un fichier .xml ou cred.

erreur "Import-CliXml : Clé non valide pour l’utilisation dans l’état spécifié."

lecture sur le sujet :

https://stackoverflow.com/questions/...al-in-the-file

https://docs.microsoft.com/en-us/pow...w=powershell-6

En m'inspirant des 2

J'arrive (je pense à créer mon credential)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
PS C:\Windows\system32> $credential = New-Object System.Management.Automation.PSCredential($user2, $secure2)
PS C:\Windows\system32> $credential | export-clixml -path "d:\login3.xml"
PS C:\Windows\system32> $credential | export-clixml -path "d:\login3.cred"
PS C:\Windows\system32>

Mais je me retrouve toujours bloqué dans mon script, dès que j'importe le crédential, j'ai en retour le message clé non valide.

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$credential= Import-CliXml -Path "D:\login3.xml"
#$credential = Import-CliXml -Path "D:\login3.cred"
$Path = "c:\DiapoMaster\Data\DiapoMaster.exe"
write-host $path
Start-Process $Path -Credential $credential

Donc en somme Y a t'il un moyen simple de crypter les identifiants du compte local admin présent sur le poste du user et de les appeler dans un script depuis sa session pour lancer un .exe?

Merci.

[riko60]

jamais réussi en PS :


j'ai essayé cette méthode et d'autres :
http://www.oameri.com/powershell-cry...s-vos-scripts/

Mais même sous ma propre session admin avec mes identifiants en credential je me retrouvais avec un message "une élévation est nécessaire"...

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
#$credential= Import-CliXml -Path "c:\login.cred"
$PassKey=[byte]95,13,58,45,22,11,88,82,11,34,67,91,19,20,96,82
$User = "monpc\monnomuser"
 
$Password = Get-Content C:\Temp\PassKey.txt | Convertto-SecureString -Key $PassKey
$Credentials = New-Object -TypeName  System.Management.Automation.PSCredential  -ArgumentList ($User, $Password)
 
 
#$PWord = ConvertTo-SecureString -String "mon mot de passe" -AsPlainText -Force
#$Credentials = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList ($User, $PWord)
 
Start-Process "chemindelexe" -Credential $Credentials

Du coup j'ai essayé avec un runas et la encore erreur740 droits pas suffisants :

Mais je suis tombé sur ce post :
https://www.tenforums.com/user-accou...elevation.html

la modification de la stratégie de sécu locale n'a rien changé... par contre en lançant le soft de la façon suivante ça contourne le problème qui apparament est un bug...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

RUNAS /user:domaine\compteadmin /savecred "cmd /c chemindelexe"

Dommage j'aurais bien voulu trouver la soluce en PS, mais c'est résolu

[ericlm128]

Mais même sous ma propre session admin avec mes identifiants en credential je me retrouvais avec un message "une élévation est nécessaire"...

Il ne faut pas confondre authentification et élévation de privilège (voir -Verb RunAs)

Pour utiliser SecureString qui n'est pas chiffrée avec la session utilisateur
https://www.pdq.com/blog/secure-pass...ntials-part-2/

Générer

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
$KeyFile = "\\Machine1\SharedPath\AES.key"
$Key = New-Object Byte[] 16   # You can use 16, 24, or 32 for AES
[Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($Key)
$Key | out-file $KeyFile
 
$PasswordFile = "\\Machine1\SharedPath\Password.txt"
$KeyFile = "\\Machine1\SharedPath\AES.key"
$Key = Get-Content $KeyFile
$Password = "P@ssword1" | ConvertTo-SecureString -AsPlainText -Force
$Password | ConvertFrom-SecureString -key $Key | Out-File $PasswordFile

Créer le crédential

Code powershell :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$User = "MyUserName"
$PasswordFile = "\\Machine1\SharedPath\Password.txt"
$KeyFile = "\\Machine1\SharedPath\AES.key"
$key = Get-Content $KeyFile
$MyCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, (Get-Content $PasswordFile | ConvertTo-SecureString -Key $key)

[riko60]

Merci de ta réponse, mais même avec cette méthode je me retrouve également avec une demande d'élévation des droits, de plus -credential et -verb ne semble pas fonctionner ensemble erreur "Le jeu de paramètres ne peut pas être résolu à l'aide des paramètres nommés spécifiés". En ne mettant que -verb runas ça fonctionne mais évidement il faut que je renseigne le compte admin...
Je me garde ça "sous le coude" pour tester si le problème survient sur un autre soft.