Когда разделы web.config были зашифрованы с помощью aspnet_regiis и был объявлен configProtectionProvider, встроенный идентификатор Windows фактически расшифровывает разделы web.config с помощью RsaProtectedConfigurationProvider и делает это нужны разрешения ACL для папки MachineKeys?