Идентификационные пароли учетных записей пула приложений IIS, отображаемые в ясном тексте

Question

Когда я использую команду appcmd list appup/text: *, она показывает мне пароли идентификации пула приложений в открытом тексте. Я могу просматривать пароли в открытом виде, используя Get-WMIObject в PowerShell. Это может быть серьезной угрозой безопасности, поскольку пользователь с правильными учетными данными доступа может легко просматривать пароли.

Пул приложений в IIS (v7.5) настроен с использованием учетной записи/пароля пользователя домена. В файле applicationHost.config пароль зашифровывается с помощью поставщика шифрования «IISWASOnlyAesProvider». Тем не менее, пароль отображается в текстовом виде, когда я использую любой из двух вышеуказанных методов.

Есть ли способ шифровать пароли таким образом, чтобы они не отображались в ясном тексте, когда я использую два вышеуказанных метода?

Answer 1

Если что-то не изменилось, ответ отрицательный. Принципиальное лучше всего заявлено Raymond Chen:

«Это как сказать, что чьи-то дома окна небезопасны, поскольку взломщик может попасть в дом, просто открывая и открывая окна с внутренней стороны. (Но если взломщик должен проникнуть внутрь, чтобы разблокировать окна ...) ».

Суть в том, что любой, кто может попасть на ваш сервер IIS или может выполнить команду WMI удаленно против вашего сервера или может выполнить команду powershell на вашем сервере, имеет доступ.

Предполагается, что они являются админами, и предполагается, что им доверяют, так как иногда администраторы должны будут извлекать пароли для целей восстановления или добавлять узлы в общий пул, если не были сделаны надлежащие примечания или управление паролями [в основном необходимо при выполнении базовой проверки подлинности в кластере домена, требующем общих паролей].