当我使用appcmd list apppool <ApplicationPoolName> /text:*
命令,它以明文形式向我显示应用程序池身份密码。我可以使用以下命令以明文形式查看密码Get-WMIObject
在 PowerShell 中也是如此。这可能是一个严重的安全威胁,因为具有正确访问凭据的用户可以轻松查看密码。
IIS (v7.5) 中的应用程序池是使用域用户帐户/密码配置的。在里面applicationHost.config
文件,密码使用加密IISWASOnlyAesProvider
加密提供商。尽管如此,当我使用上述两种方法中的任何一种时,密码都会以明文形式显示。
有没有什么方法可以对密码进行加密,使其在使用上述两种方法时不以明文形式显示?
除非有什么改变,否则答案是否定的。原则最好的表述是陈雷蒙德 http://blogs.msdn.com/b/oldnewthing/archive/2006/05/08/592350.aspx:
“这就像说某人家的窗户不安全,因为窃贼只需从里面解锁并打开窗户就可以进入房子。” (但是如果窃贼必须进入室内才能打开窗户......)'。
总而言之,任何可以访问您的 IIS 服务器或可以对您的服务器远程执行 WMI 命令或可以对您的服务器执行 powershell 命令的人都具有访问权限。
他们被假定为管理员,并且被假定为受信任的,因为管理员有时需要提取密码以进行恢复,或者如果未完成适当的注释或密码管理,则需要将节点添加到共享池[主要在进行基本身份验证时需要在需要共享密码的域集群上]。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)