IISアプリケーションプールのアイデンティティアカウントのパスワードをクリアテキストで表示

Question

「appcmd list appool/text：*」コマンドを使用すると、アプリケーションプールIDのパスワードがクリアテキストで表示されます。 PowerShellでGet-WMIObjectを使用してクリアテキストでパスワードを表示することもできます。これは、正しいアクセス資格情報を持つユーザーが簡単にパスワードを表示できるため、重大なセキュリティ上の脅威になります。

IIS（v7.5）のアプリケーションプールは、ドメインユーザーアカウント/パスワードを使用して構成されています。 applicationHost.configファイルでは、パスワードは "IISWASOnlyAesProvider"暗号化プロバイダを使用して暗号化されます。それでも、上記の2つの方法のいずれかを使用すると、パスワードはクリアテキストで表示されます。

パスワードを上記の2つの方法を使用するとクリアテキストで表示されないように暗号化する方法はありますか。

Answer 1

何かが変更されていない限り、答えはいいえです。校長は最高Raymond Chenによって記載されている：

は、「それは泥棒が単にロックを解除し、内側から窓を開けて家に入る可能性があるため、誰かの家の窓が安全ではないと言ってようなものです。 （しかし、泥棒が窓を開けるために泥棒に入っていなければならない...）。

要点は、IISサーバーにアクセスできるユーザー、またはサーバーに対してリモートからWMIコマンドを実行できるユーザー、またはサーバーに対してpowershellコマンドを実行できるユーザーのアクセス権があることです。

時には管理者が回復のためにパスワードをプルする必要があるか、適切なメモやパスワード管理が行われていない場合にノードを共有プールに追加する必要があるため、これらは管理者とみなされ、共有パスワードを必要とするドメインクラスタで基本認証を行う場合]。