Az - Local Cloud Credentials

本地令牌存储和安全考虑

Azure CLI (命令行界面)

Azure CLI 会在本地存储令牌和敏感数据，存在安全隐患：

1. 访问令牌：明文存储在位于 C:\Users\<username>\.Azure 的 accessTokens.json 中。

2. 订阅信息：azureProfile.json 文件在同一目录中保存订阅详细信息。

3. 日志文件：.azure 中的 ErrorRecords 文件夹可能包含暴露凭据的日志，例如：

• 包含嵌入凭据的执行命令。

• 使用令牌访问的 URL，可能会泄露敏感信息。

Azure PowerShell

Azure PowerShell 也会存储令牌和敏感数据，可以在本地访问：

1. 访问令牌：TokenCache.dat 位于 C:\Users\<username>\.Azure，以明文形式存储访问令牌。

2. 服务主体密钥：这些以未加密形式存储在 AzureRmContext.json 中。

3. 令牌保存功能：用户可以使用 Save-AzContext 命令持久保存令牌，应谨慎使用以防止未经授权的访问。

自动工具查找它们

• Winpeas

• Get-AzurePasswords.ps1

安全建议

考虑到敏感数据以明文形式存储，至关重要的是通过以下方式保护这些文件和目录：

• 限制对这些文件的访问权限。

• 定期监控和审计这些目录，以防未经授权的访问或意外更改。

• 在可能的情况下对敏感文件使用加密。

• 教育用户有关处理此类敏感信息的风险和最佳实践。