Har*_*dik 6 iis appcmd applicationhost
当我使用"appcmd list appool/text:*"命令时,它以明文形式显示应用程序池标识密码.我也可以使用PowerShell中的Get-WMIObject以明文形式查看密码.这可能是严重的安全威胁,因为具有正确访问凭据的用户可以轻松查看密码.
IIS(v7.5)中的应用程序池使用域用户帐户/密码进行配置.在applicationHost.config文件中,使用"IISWASOnlyAesProvider"加密提供程序加密密码.但是,当我使用上述两种方法中的任何一种时,密码都会以明文形式显示.
有没有办法以这样的方式加密密码,当我使用上述两种方法时,它们不会以明文显示?
小智 5
除非某些事情发生了变化,否则答案是否定的。Raymond Chen最好地说明了校长:
'这就像说某人家的窗户不安全,因为窃贼只需从里面打开和打开窗户就可以进入房子。(但如果窃贼必须进去才能打开窗户……)”。
总而言之,任何可以访问您的 IIS 服务器或可以对您的服务器远程执行 WMI 命令或可以对您的服务器执行 powershell 命令的任何人都可以访问。
他们被假定为管理员,并且被假定为受信任的,因为有时管理员需要提取密码以进行恢复,或者如果没有完成适当的注释或密码管理,则需要将节点添加到共享池中[主要在进行基本身份验证时需要在需要共享密码的域集群上]。
| 归档时间: |
|
| 查看次数: |
4364 次 |
| 最近记录: |