我有一个用于开发…的应用程序池而且我将它运行在我的凭据之下(所以我不必担心权限/访问问题)。有两件事让我认为我的凭据可能只是位于一个文件(或注册表项)…中。这是令人担忧的:
更改密码时,必须更新存储的凭据。安装对话框有一个确认密码字段。如果IIS只是在存储一些身份验证令牌或其他东西,我希望只输入我的密码一次(因为身份验证正在立即进行)。
有人知道我的证件存放在哪里吗?他们只是使用一些系统密钥加密,然后提取出来,并在应用程序池启动时使用?
下面是我输入身份凭证的对话框:
我从应用程序池的高级设置中打开该对话框:
其他信息
Windows 7上的IIS 7.5
我正在为其他应用程序池使用虚拟帐户,但这不是我在这里使用的:我使用的是实际的Windows帐户凭据
更新
根据的答复,我发现了以下…
IIS7.5的应用程序池凭据(和常规设置)存储在%systemroot%\System32\Inetsrv\config\applicationHost.config中。
加密由AesProtectedConfigurationProvider处理,这是标准的(?)通向know–passwords)的方法(如db连接字符串或-you 保护敏感配置信息 )
下面是用省略号(…)替换敏感/无关信息的相关部分:
代码语言:javascript运行复制
希望,足够安全?¯\_(ツ)_/¯