windows - 批处理脚本访问 Windows 凭据管理器密码( 或者如何加密和使用密码)

  显示原文与译文双语对照的内容

我在服务器A 上有一个批处理脚本,它使用'任务'命令激活服务器B 上的计划任务。 这里命令需要userrname和密码来访问其他服务器,但我们不希望将这里数据存储在纯文本中。 是否可以用non-plain-text格式保存这里密码? 即使密码以纯文本形式传递给'任务'命令,这将比将它的存储在批处理脚本本身中更好。

时间:

不能使用 Kerberos?

如果不能,请尝试在 Java web应用程序中尝试使用不同的方式存储密码变量? 你可能使用密钥,共享密钥,解密所需的凭据,但仍不安全。

如果可以使用 Kerberos,只需在允许的Kerberos令牌中检查 SERVERB 。 它可以是本地用户上的本地用户,也可以是域用户。 例如,通过'任务'启动'script.bat'作为 Script_User_A on SERVERAScript_User_A 是一个域用户,具有低特权。 SERVERB在接收到任何第一个请求时立即启动一个挑战/响应,请求 Script_User_A 证明它的身份。 Script_User_A 会做的,SERVERB很高兴,一切都正常。 如果 Malicious_User 尝试执行'script.bat',SERVERB将发送一个挑战,Malicious_User 将不能对它的进行"响应",而SERVERB将会被它的他人执行。

使用 Kerberos,这里挑战/响应机制免费提供: 你需要研究,和 API,但是这是值得的,特别是如果你用于 Windows 开发的话。

...