Mật khẩu tài khoản nhận dạng hồ bơi ứng dụng IIS được hiển thị trong văn bản rõ ràng

Question

Khi tôi sử dụng lệnh "appcmd listool/text: *", nó hiển thị cho tôi mật khẩu nhận dạng ứng dụng trong văn bản rõ ràng. Tôi cũng có thể xem mật khẩu trong văn bản rõ ràng bằng cách sử dụng Get-WMIObject trong PowerShell. Đây có thể là mối đe dọa bảo mật nghiêm trọng khi người dùng có thông tin đăng nhập chính xác có thể dễ dàng xem mật khẩu.

Hồ bơi ứng dụng trong IIS (v7.5) được định cấu hình bằng tài khoản/mật khẩu người dùng miền. Trong tệp applicationHost.config, mật khẩu được mã hóa bằng cách sử dụng nhà cung cấp mã hóa "IISWASOnlyAesProvider". Tuy nhiên, mật khẩu được hiển thị ở dạng văn bản thuần khi tôi sử dụng bất kỳ phương pháp nào ở trên.

Có cách nào để mã hóa mật khẩu theo cách mà chúng không được hiển thị ở dạng văn bản thuần khi tôi sử dụng hai phương pháp trên không?

Answer 1

Trừ khi có điều gì đó thay đổi, câu trả lời là không. Hiệu trưởng được tuyên bố rõ nhất bởi Raymond Chen:

'Nó giống như nói rằng cửa sổ nhà của ai đó không an toàn bởi vì chỉ cần mở khóa và mở cửa sổ từ bên trong. (Nhưng nếu tên trộm phải vào trong để mở khóa cửa sổ ...) '.

Điểm tóm tắt, là bất kỳ ai có thể truy cập vào máy chủ IIS của bạn hoặc có thể thực thi lệnh WMI từ xa với máy chủ của bạn hoặc thực thi lệnh powershell chống lại máy chủ của bạn.

Chúng được giả định là quản trị viên và được cho là đáng tin cậy, vì quản trị viên thỉnh thoảng cần phải lấy mật khẩu cho mục đích khôi phục hoặc thêm nút vào hồ bơi được chia sẻ nếu ghi chú thích hợp hoặc quản lý mật khẩu không được thực hiện khi thực hiện xác thực cơ bản trên một cụm miền cần mật khẩu được chia sẻ].