我们有一个构建过程需要解密密码,然后使用该密码连接到数据库。我们正在使用数据保护 API (DPAPI) 在构建服务器上的机器范围内使用 PowerShell 加密密码(我使用自己的域帐户登录):
[Security.Cryptography.ProtectedData]::Protect( $passwordBytes, $null, [Security.Cryptography.DataProtectionScope]::LocalMachine );
解密也是在 PowerShell 脚本中完成的,该脚本由 CruiseControl.NET 执行,以我们的构建用户身份运行:
[Security.Cryptography.ProtectedData]::Unprotect( $encryptedbytes, $null, [Security.Cryptography.DataProtectionScope]::LocalMachine );
但是,对
Unprotect 的调用失败并显示以下消息:“ key 在指定状态下无效。”。 According to the docs ,使用模拟可能会发生此错误,并且模拟代码应加载用户的配置文件。出于安全考虑,构建用户被拒绝通过终端服务登录权限。为了测试这个问题,我以自己的身份登录到构建服务器,然后使用 runas 以构建用户的身份打开一个 PowerShell 提示符:
runas /profile /user:DOMAIN\BUILDUSER powershell.exe
然后我运行 PowerShell 脚本来取消保护/解密密码,并得到相同的错误。
我使用 Process Monitor 来观察任何失败或访问被拒绝事件,但没有。
当我使用自己的域帐户登录时,我可以解密密码。
这是怎么回事?是否未加载我的构建用户的配置文件?是否有一些我不知道要启用此功能的安全设置?为什么我不能解密密码?
最佳答案
开发人员错误。结果证明我是在 CurrentUser 范围内加密,而不是 LocalMachine 范围。我更新了我的脚本,现在一切正常。
关于.net - ProtectedData.Unprotect 方法解密失败,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/6219520/