Há um artigo aqui que fala sobre fazer o que você está falando:

Em resumo, o que eles fazem é criar uma versão derivada de ProtectedConfigurationProvider, que normalmente é usada para criptografar arquivos .config. No método Decrypt, em vez de descriptografar as informações de configuração, elas são recuperadas de um banco de dados.