Az - Local Cloud Credentials

本地令牌存储和安全考虑

Azure CLI (命令行界面)

Azure CLI 本地存储令牌和敏感数据，带来安全隐患：

1. 访问令牌：以明文存储在 accessTokens.json 中，位于 C:\Users\<username>\.Azure。

2. 订阅信息：azureProfile.json 在同一目录中，保存订阅详细信息。

3. 日志文件：.azure 中的 ErrorRecords 文件夹可能包含暴露凭据的日志，例如：

• 嵌入凭据的执行命令。

• 使用令牌访问的 URL，可能泄露敏感信息。

Azure PowerShell

Azure PowerShell 也存储令牌和敏感数据，可以本地访问：

1. 访问令牌：TokenCache.dat，位于 C:\Users\<username>\.Azure，以明文存储访问令牌。

2. 服务主体秘密：这些以未加密形式存储在 AzureRmContext.json 中。

3. 令牌保存功能：用户可以使用 Save-AzContext 命令持久化令牌，使用时应谨慎以防止未授权访问。

自动工具查找它们

• Winpeas

• Get-AzurePasswords.ps1

安全建议

考虑到敏感数据以明文存储，确保这些文件和目录的安全至关重要：

• 限制对这些文件的访问权限。

• 定期监控和审计这些目录，以防未授权访问或意外更改。

• 尽可能对敏感文件进行加密。

• 教育用户有关处理此类敏感信息的风险和最佳实践。