Я согласен с методом machine.config. Однако более простой способ сделать это - создать каталог где-нибудь в вашей файловой системе с зашифрованным XML-файлом. Например, используйте Dpapi, а затем просто создайте общий класс, который читает, расшифровывает файл и возвращает строку подключения. Не забудьте использовать запасной метод для получения данных конфигурации, если кто-то удалит этот файл. Как указывалось ранее, machine.config может быть перезаписан, то же самое относится и к этому подходу.
Права доступа к каталогу могут использоваться для установки ограничений на чтение и запрета записи всем, кроме разработчиков. Это должно держать его в безопасности от «случайно» перезаписаны и в то же время гарантировать, что никто не может прочитать данные там (хотя это спорный вопрос без ключа)