Az - Local Cloud Credentials

Yerel Belirteç Depolama ve Güvenlik Düşünceleri

Azure CLI (Komut Satırı Arayüzü)

Azure CLI tarafından yerel olarak depolanan belirteçler ve hassas veriler güvenlik endişelerine neden olur:

1. Erişim Belirteçleri: C:\Users\<kullanıcıadı>\.Azure dizininde bulunan accessTokens.json dosyasında düz metin olarak depolanır.

2. Abonelik Bilgileri: Aynı dizindeki azureProfile.json abonelik ayrıntılarını içerir.

3. Günlük Dosyaları: .azure içindeki ErrorRecords klasörü, gömülü kimlik bilgileri içeren komutları yürüten ve hassas bilgileri ortaya çıkarabilecek belirteçler kullanarak erişilen URL'leri içerebilir.

Azure PowerShell

Azure PowerShell ayrıca yerel olarak belirteçler ve hassas veriler depolar:

1. Erişim Belirteçleri: C:\Users\<kullanıcıadı>\.Azure dizininde bulunan TokenCache.dat düz metin olarak erişim belirteçlerini depolar.

2. Hizmet İlkesi Sırları: Bu bilgiler şifrelenmemiş olarak AzureRmContext.json dosyasında depolanır.

3. Belirteç Kaydetme Özelliği: Kullanıcılar, yetkisiz erişimi önlemek için dikkatli bir şekilde kullanılması gereken Save-AzContext komutunu kullanarak belirteçleri kalıcı hale getirebilir.

Bunları Bulmak İçin Otomatik Araçlar

• Winpeas

• Get-AzurePasswords.ps1

Güvenlik Önerileri

Düz metin olarak hassas verilerin depolanması göz önüne alındığında, bu dosya ve dizinleri güvence altına almak için aşağıdaki önlemler alınmalıdır:

• Bu dosyalara erişim haklarını sınırlamak.

• Yetkisiz erişimi veya beklenmedik değişiklikleri tespit etmek için bu dizinleri düzenli olarak izlemek ve denetlemek.

• Mümkün olduğunda hassas dosyalar için şifreleme kullanmak.

• Kullanıcılara bu tür hassas bilgilerin işlenmesiyle ilgili riskleri ve en iyi uygulamaları hakkında eğitim vermek.