Az - Local Cloud Credentials

Локальне зберігання токенів та врахування безпеки

Azure CLI (Інтерфейс командного рядка)

Токени та чутлива інформація зберігаються локально за допомогою Azure CLI, що викликає питання безпеки:

1. Токени доступу: Зберігаються у відкритому вигляді у файлі accessTokens.json, розташованому за адресою C:\Users\<ім'я_користувача>\.Azure.

2. Інформація про підписку: azureProfile.json, у тому ж каталозі, містить деталі підписки.

3. Файли журналів: Папка ErrorRecords всередині .azure може містити журнали з викритими обліковими даними, такими як:

• Виконані команди з вбудованими обліковими даними.

• URL-адреси, до яких зверталися за допомогою токенів, що потенційно можуть розкрити чутливу інформацію.

Azure PowerShell

Azure PowerShell також зберігає токени та чутливі дані, до яких можна отримати доступ локально:

1. Токени доступу: TokenCache.dat, розташований за адресою C:\Users\<ім'я_користувача>\.Azure, зберігає токени доступу у відкритому вигляді.

2. Секрети службових принципалів: Вони зберігаються у незашифрованому вигляді в AzureRmContext.json.

3. Функція збереження токенів: Користувачі можуть постійно зберігати токени за допомогою команди Save-AzContext, яку слід використовувати обережно, щоб запобігти несанкціонованому доступу.

Автоматичні інструменти для їх пошуку

• Winpeas

• Get-AzurePasswords.ps1

Рекомендації з безпеки

Оскільки чутливі дані зберігаються у відкритому вигляді, важливо захищати ці файли та каталоги, обмежуючи права доступу до них, регулярно моніторити та аудитувати ці каталоги на несанкціонований доступ або неочікувані зміни, застосовувати шифрування для чутливих файлів, де це можливо, та навчати користувачів ризикам та найкращим практикам у роботі з такою чутливою інформацією.