Lokalne przechowywanie tokenów i uwzględnienie bezpieczeństwa

Azure CLI (Command-Line Interface)

Tokeny i dane uwierzytelniające są przechowywane lokalnie przez Azure CLI, co rodzi obawy dotyczące bezpieczeństwa:

1. Tokeny dostępu: Przechowywane w postaci tekstu w pliku accessTokens.json znajdującym się w lokalizacji C:\Users\<nazwa_użytkownika>\.Azure.

2. Informacje o subskrypcji: azureProfile.json, w tym samym katalogu, przechowuje szczegóły subskrypcji.

3. Pliki dziennika: Folder ErrorRecords wewnątrz .azure może zawierać dzienniki z ujawnionymi danymi uwierzytelniającymi, takimi jak:

• Wykonane polecenia z osadzonymi danymi uwierzytelniającymi.

• Adresy URL uzyskane za pomocą tokenów, potencjalnie ujawniające poufne informacje.

Azure PowerShell

Azure PowerShell również przechowuje tokeny i dane uwierzytelniające, do których można uzyskać dostęp lokalnie:

1. Tokeny dostępu: TokenCache.dat, znajdujący się w lokalizacji C:\Users\<nazwa_użytkownika>\.Azure, przechowuje tokeny dostępu w postaci tekstu.

2. Tajne klucze usługi głównej: Są one przechowywane w postaci niezaszyfrowanej w pliku AzureRmContext.json.

3. Funkcja zapisywania tokenów: Użytkownicy mają możliwość trwałego zapisywania tokenów za pomocą polecenia Save-AzContext, które należy używać ostrożnie, aby zapobiec nieautoryzowanemu dostępowi.

Automatyczne narzędzia do ich znalezienia

• Winpeas

• Get-AzurePasswords.ps1

Zalecenia dotyczące bezpieczeństwa

Biorąc pod uwagę przechowywanie poufnych danych w postaci tekstu, ważne jest zabezpieczenie tych plików i katalogów poprzez:

• Ograniczenie praw dostępu do tych plików.

• Regularne monitorowanie i audytowanie tych katalogów pod kątem nieautoryzowanego dostępu lub nieoczekiwanych zmian.

• Wykorzystanie szyfrowania dla poufnych plików, jeśli to możliwe.

• Edukowanie użytkowników na temat ryzyka i najlepszych praktyk dotyczących obsługi takich poufnych informacji.