logo标签列表

IIS应用程序池身份帐户密码以明文形式显示

iisappcmdapplicationhost
9
当我使用appcmd list appool <ApplicationPoolName> /text:*命令时,它以明文显示应用程序池身份验证密码。我也可以使用PowerShell中的Get-WMIObject查看明文密码。这可能是一个严重的安全威胁,因为具有正确访问凭据的用户可以轻松查看密码。
IIS(v7.5)中的应用程序池是使用域用户帐户/密码配置的。在applicationHost.config文件中,密码使用IISWASOnlyAesProvider加密提供程序进行加密。但是,当我使用上述两种方法之一时,密码仍以明文形式显示。
是否有任何方法可以加密密码,使其在使用上述两种方法时不以明文形式显示?
2个回答
6
除非有所改变,否则答案是否定的。该原则最好由Raymond Chen来阐述:
“这就像说某人的家庭窗户不安全,因为盗贼可以仅通过从内部解锁并打开窗户进入房屋。 (但如果盗贼必须进入才能解锁窗户……)”。
总之,任何能够访问您的IIS服务器或可以远程执行WMI命令或可以针对您的服务器执行PowerShell命令的人都可以访问。假定他们是管理员,并且被认为是可信的,因为有时管理员需要提取密码以进行恢复,或者在未进行适当的注释或密码管理时向共享池添加节点[主要需要在需要共享密码的域群集上进行基本身份验证时]。
我在工作机器上不是管理员,但Visual Studio在管理员权限下启动(这可能是使用某些软件进行配置的)。 我被要求为同事导出我的iis配置。 因此,我使用VS,文件,打开菜单并使用管理员权限打开了命令提示符(因为VS具有它们),我导出了我的配置,并无意中看到了我不允许看到的密码(我没有配置IIS)。 我承认我的情况非常罕见。 - Gilles
3

只有在以管理员身份运行appcmd时,密码才会被解密。如果您以普通账户身份运行,则会返回加密字符串。

这将类似于[enc:IISSomethingProvider:…:enc],就像在applicationHost.config中找到的一样。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接