C'è un articolo qui che parla di come fare ciò di cui stai parlando:
In sintesi, ciò che fanno è creare una versione derivata di ProtectedConfigurationProvider, che viene in genere utilizzata per crittografare i file .config. Nel metodo Decrypt, invece di decrittografare le informazioni di configurazione, vengono recuperate da un database.
