以明文形式显示的 IIS 应用程序池标识帐户密码

Question

当我使用 appcmd list appool <ApplicationPoolName> /text:*命令，它以明文形式向我显示应用程序池身份密码。我可以使用 Get-WMIObject 以明文形式查看密码在 PowerShell 中也是如此。这可能是一个严重的安全威胁，因为拥有正确访问凭据的用户可以轻松查看密码。

IIS (v7.5) 中的应用程序池是使用域用户帐户/密码配置的。在 applicationHost.config文件，密码使用 IISWASOnlyAesProvider 加密加密提供者。尽管如此，当我使用上述两种方法中的任何一种时，密码仍以明文形式显示。

当我使用上述两种方法时，有什么方法可以加密密码，使其不以明文显示？

Answer 1

除非某些事情发生了变化，否则答案是否定的。主要由 Raymond Chen 最好地说明:

'It's like saying that somebody's home windows are insecure because a burglar could get into the house by merely unlocking and opening the windows from the inside. (But if the burglar has to get inside in order to unlock the windows...)'.

总而言之，任何可以访问您的 IIS 服务器或可以对您的服务器远程执行 WMI 命令或可以对您的服务器执行 powershell 命令的任何人都可以访问。

他们被假定为管理员，并被假定为受信任的，因为有时管理员需要提取密码以进行恢复，或者如果没有完成适当的注释或密码管理，则将节点添加到共享池中[主要在进行基本身份验证时需要在需要共享密码的域集群上]。