Az - Local Cloud Credentials

Lokalne Przechowywanie Tokenów i Rozważania dotyczące Bezpieczeństwa

Azure CLI (Interfejs wiersza poleceń)

Tokeny i dane wrażliwe są przechowywane lokalnie przez Azure CLI, co rodzi obawy dotyczące bezpieczeństwa:

1. Tokeny dostępu: Przechowywane w postaci zwykłego tekstu w pliku accessTokens.json znajdującym się w C:\Users\<nazwa_użytkownika>\.Azure.

2. Informacje o subskrypcji: azureProfile.json, w tym samym katalogu, przechowuje szczegóły subskrypcji.

3. Pliki dziennika: Katalog ErrorRecords wewnątrz .azure może zawierać dzienniki z ujawnionymi danymi uwierzytelniającymi, takimi jak:

• Wykonane polecenia z wbudowanymi danymi uwierzytelniającymi.

• Adresy URL dostępne za pomocą tokenów, potencjalnie ujawniające wrażliwe informacje.

Azure PowerShell

Azure PowerShell również przechowuje tokeny i dane wrażliwe, do których można uzyskać dostęp lokalnie:

1. Tokeny dostępu: TokenCache.dat, znajdujący się w C:\Users\<nazwa_użytkownika>\.Azure, przechowuje tokeny dostępu w postaci zwykłego tekstu.

2. Sekrety głównego usługi: Są one przechowywane w postaci niezaszyfrowanej w pliku AzureRmContext.json.

3. Funkcja Zapisywania Tokenów: Użytkownicy mają możliwość trwałego zapisywania tokenów za pomocą polecenia Save-AzContext, które należy używać ostrożnie, aby zapobiec nieautoryzowanemu dostępowi.

Automatyczne Narzędzia do ich znalezienia

• Winpeas

• Get-AzurePasswords.ps1

Zalecenia dotyczące Bezpieczeństwa

Biorąc pod uwagę przechowywanie danych wrażliwych w postaci zwykłego tekstu, kluczowe jest zabezpieczenie tych plików i katalogów poprzez:

• Ograniczenie praw dostępu do tych plików.

• Regularne monitorowanie i audytowanie tych katalogów pod kątem nieautoryzowanego dostępu lub nieoczekiwanych zmian.

• Wykorzystanie szyfrowania dla plików zawierających dane wrażliwe, jeśli to możliwe.

• Edukowanie użytkowników na temat ryzyka i najlepszych praktyk dotyczących obsługi takich wrażliwych informacji.