Az - Lokale Cloud-Anmeldeinformationen

Reading time: 3 minutes

Lokale Token-Speicherung und Sicherheitsüberlegungen

Azure CLI (Befehlszeilenschnittstelle)

Tokens und sensible Daten werden lokal von Azure CLI gespeichert, was Sicherheitsbedenken aufwirft:

1. Zugriffstoken: Im Klartext in accessTokens.json gespeichert, das sich unter C:\Users\<username>\.Azure befindet.
2. Abonnementinformationen: azureProfile.json, im selben Verzeichnis, enthält Abonnementdetails.
3. Protokolldateien: Der Ordner ErrorRecords innerhalb von .azure könnte Protokolle mit exponierten Anmeldeinformationen enthalten, wie z.B.:

• Ausgeführte Befehle mit eingebetteten Anmeldeinformationen.
• Über Tokens aufgerufene URLs, die potenziell sensible Informationen offenbaren.

Azure PowerShell

Azure PowerShell speichert ebenfalls Tokens und sensible Daten, die lokal abgerufen werden können:

1. Zugriffstoken: TokenCache.dat, das sich unter C:\Users\<username>\.Azure befindet, speichert Zugriffstoken im Klartext.
2. Geheimnisse des Dienstprinzipals: Diese werden unverschlüsselt in AzureRmContext.json gespeichert.
3. Token-Speicherfunktion: Benutzer haben die Möglichkeit, Tokens mit dem Befehl Save-AzContext zu speichern, was vorsichtig verwendet werden sollte, um unbefugten Zugriff zu verhindern.

Automatische Tools zur Auffindung

• Winpeas
• Get-AzurePasswords.ps1

Sicherheitsempfehlungen

Angesichts der Speicherung sensibler Daten im Klartext ist es entscheidend, diese Dateien und Verzeichnisse zu sichern durch:

• Einschränkung der Zugriffsrechte auf diese Dateien.
• Regelmäßige Überwachung und Prüfung dieser Verzeichnisse auf unbefugten Zugriff oder unerwartete Änderungen.
• Einsatz von Verschlüsselung für sensible Dateien, wo möglich.
• Schulung der Benutzer über die Risiken und bewährten Praktiken im Umgang mit solchen sensiblen Informationen.