Lokale Token-Speicherung und Sicherheitsüberlegungen

Azure CLI (Befehlszeilenschnittstelle)

Tokens und sensible Daten werden lokal von Azure CLI gespeichert, was Sicherheitsbedenken aufwirft:

1. Zugriffstoken: Werden im Klartext in accessTokens.json gespeichert, das sich unter C:\Users\<Benutzername>\.Azure befindet.

2. Abonnementinformationen: azureProfile.json im selben Verzeichnis enthält Abonnementdetails.

3. Protokolldateien: Der Ordner ErrorRecords innerhalb von .azure kann Protokolle mit freigelegten Anmeldeinformationen enthalten, wie z.B.:

• Ausgeführte Befehle mit eingebetteten Anmeldeinformationen.

• Mit Tokens aufgerufene URLs, die möglicherweise sensible Informationen preisgeben.

Azure PowerShell

Azure PowerShell speichert ebenfalls Tokens und sensible Daten, auf die lokal zugegriffen werden kann:

1. Zugriffstoken: TokenCache.dat, das sich unter C:\Users\<Benutzername>\.Azure befindet, speichert Zugriffstoken im Klartext.

2. Geheimnisse des Dienstprinzipals: Diese werden unverschlüsselt in AzureRmContext.json gespeichert.

3. Funktion zum Speichern von Tokens: Benutzer können Tokens mithilfe des Befehls Save-AzContext dauerhaft speichern, was vorsichtig verwendet werden sollte, um unbefugten Zugriff zu verhindern.

Automatische Tools zum Auffinden

• Winpeas

• Get-AzurePasswords.ps1

Sicherheitsempfehlungen

Angesichts der Speicherung sensibler Daten im Klartext ist es entscheidend, diese Dateien und Verzeichnisse zu sichern, indem:

• Der Zugriff auf diese Dateien eingeschränkt wird.

• Diese Verzeichnisse regelmäßig auf unbefugten Zugriff oder unerwartete Änderungen überwacht und überprüft werden.

• Verschlüsselung für sensible Dateien, wo möglich, verwendet wird.

• Benutzer über die Risiken und bewährten Verfahren im Umgang mit solch sensiblen Informationen informiert werden.