Chr*_*s S 11
它为您的应用程序提供了一个特定帐户,您可以通过该帐户设置安全性。通常,该进程将作为 IIS 用户帐户运行,因此具有与该帐户关联的所有特权。通过仅为该应用程序创建一个帐户,您可以仅为该服务帐户分配其所需资源的权限。它显着降低了任何人利用您的应用程序的机会,并降低了您的应用程序对它不应该访问的系统某些部分产生不利影响的机会。
服务帐户用于两件事:隔离和审计。
隔离允许您向服务帐户授予服务所需的最低权限,确保即使攻击者利用该服务并获得本地系统访问权限,其造成进一步损害的能力也受到限制。即使在攻击者不是问题的情况下,隔离也可以防止有问题的服务影响其他服务。
服务帐户可以辅助审计,因为不同服务采取的每项操作都将被记录为来自不同用户,从而更容易将行为不良的服务与正常工作的其他服务区分开来。
尽管这些是服务帐户的主要用途,但还有其他用途,例如性能调整。以不同用户身份运行每个服务允许您使用现有的每用户资源分配来控制服务可用的资源。
对于任何希望安全的系统,我认为每个服务的服务帐户都是强制性的。