Det finns en artikel här som talar om att göra det du pratar om:
Sammanfattningsvis vad de gör är att skapa en härledd version av ProtectedConfigurationProvider, som vanligtvis används för att kryptera .config-filer. I Decrypt-metoden, istället för att dekryptera konfigurationsinformationen, hämtas den från en databas.