Я хотел бы максимально заблокировать файл web.config, чтобы его могло прочитать как можно меньше учетных записей. Я видел список здесь http://msdn.microsoft.com/en-us/library/ms178699.aspx но разрешение группе пользователей на чтение файла web.config кажется чрезмерным. Спасибо.
Группа «Пользователи», конечно, применима к локальной машине. Что вас беспокоит, если они читают в web.config? Если это ваши строки подключения, вы можете зашифровать те.
Вам действительно нужно беспокоиться о том, что пользователи читают файлы web.config. Особенно, если вы разрешаете пользователям доступ к вашей файловой системе.
Я попытался удалить разрешения пользователя на файл web.config и разрешить доступ к файлу только анонимной учетной записи IIS и учетной записи процесса пула приложений IIS, но приложение все еще работает.
Шифрование файлов поверх этого, вероятно, также поможет еще больше. Если у кого-то есть официальное решение по этому поводу, сообщите нам.