コンテキスト: 私は、アプリケーションプール用のカスタムWindowsアカウントを使用し、Oracleユーザー認証を有効にして、設定ファイルにDBのユーザー名とパスワードを格納する必要がないようにしています。IIS AppPool IDパスワードの保護
問題: この設定は機能しますが、私はappcmd.exe
を使用してパスワードを '回復'できることに気付きました。管理上および物理的なアクセス権を持つユーザーがプレーンテキストでパスワードを読み取ることができないようにする方法はありますか?
これはWindows 2016マシンのIIS 10です。パスワードは、applicationHost.config
ファイルを調べると、が暗号化されているように見えます。 次のコマンドパスワードを示しています
%systemroot%\system32\inetsrv\appcmd.exe list apppool "ImoAppPool" /text:*
多分私は答えを理解していないか、私は明確な方法で質問しませんでした。 IISは、特定のユーザーアカウントで実行する必要があります。私は正しいパスワードを提供する必要があります、私はそれが変換されたパスワードを提供し、それを実行することができます(私は思う)方法はありません。次に、パスワードの保存方法を選択します。設定ファイルを調べると、パスワードが変換されます( 'password =" [enc:IISWASOnlyCngProvider:cNM0PbFgUgr ... ')。しかし、質問からコマンドを実行すると、プレーンテキストが表示されます。 –
ポイントはパスワードを保護する必要があります。パスワードを保護する必要があります。 – zaph
パスワードを保存する方法は、私のコントロールの範囲を超えています。私の質問は、サーバーをこのような方法で設定し、オペレーティングシステムに対して認証し、そのパスワードをプレーンテキストで復元することができないかどうかということでした。認証トークン)を使用することができますが、Webサーバーを実装するのではなく、設定します。 –