asp.net - IIS 在哪里(如何？)存储自定义应用程序池标识？

Question

我有一个用于开发的应用程序池……并且它在我的凭据下运行(因此我不必担心权限/访问问题)。有两件事让我觉得我的凭据可能只是放在一个文件(或注册表项)中……这令人担忧:

当我更改密码时，我必须更新存储的凭据

设置对话框有一个确认密码字段

如果 IIS 只是存储一些身份验证 token 或其他东西，我希望只输入一次我的密码(因为身份验证是立即发生的)。

有人知道我的凭据存储在哪里吗？它们是否只是使用一些系统 key 加密，然后在应用程序池启动时拔出并使用？

这是我输入身份凭据的对话框:



我从应用程序池的高级设置中打开该对话框:



其他信息

Windows 7 上的 IIS 7.5

我正在为其他应用程序池使用虚拟帐户，但这不是我在这里使用的:我使用的是实际的 Windows 帐户凭据

更新

根据 nicolas-dietrich 的回复，我发现了以下内容……

IIS 7.5 的应用程序池凭据(和常规设置)存储在 %systemroot%\System32\Inetsrv\config\applicationHost.config 中。 .

加密由 AesProtectedConfigurationProvider 处理，这是 protect sensitive config info 的标准 (?) 方式(比如数据库连接字符串或者——你知道—— 密码 )

以下是敏感/不相关信息替换为省略号 (...) 的相关部分:

<configProtectedData>
    <providers>
        <!-- … -->
        <add name="IISWASOnlyAesProvider" type="Microsoft.ApplicationHost.AesProtectedConfigurationProvider" description="Uses an AES session key to encrypt and decrypt" keyContainerName="iisWasKey" cspProviderName="" useOAEP="false" useMachineContainer="true" sessionKey="…" />
    </providers>
</configProtectedData>

<system.applicationHost>
    <applicationPools>
        <add name="DefaultAppPool" queueLength="5000" managedRuntimeVersion="v4.0" />
        <add name="GeneralDev" queueLength="5000" autoStart="true">
            <processModel identityType="SpecificUser" userName="mydomain\myusername" password="[enc:IISWASOnlyAesProvider:…:enc]" />
        </add>
        <!-- … -->
        <applicationPoolDefaults managedRuntimeVersion="v4.0">
            <processModel identityType="ApplicationPoolIdentity" loadUserProfile="true" setProfileEnvironment="false" />
        </applicationPoolDefaults>
    </applicationPools>        
    <!-- … -->
</system.applicationHost>

希望足够安全？ ¯\_(ツ)_/¯

Answer 1

在 IIS6 中，AppPool 身份存储在 IIS 元数据库 (%systemroot%\System32\Inetsrv\metabase.xml) 中，位于 W3SVC/AppPools//WAMUserPass 下的加密字符串中。

尽管可以解密并将其显示为纯文本( http://www.jasonsamuel.com/2010/04/28/how-to-get-the-iusr-and-iwam-user-account-passwords-on-an-iis-server/ )，但并不是那么安全