Apache como um serviço no Windows, problemas de segurança?

TL; DR

Para o Apache como um serviço no Windows: está concedendo um usuário de domínio usado para executar o Apache como um serviço e concedendo a eles o privilégio de Atuar como parte do sistema operacional como uma preocupação de segurança? O site da Apache recomenda isso. Se for um problema de segurança, o que devo fazer em vez disso?

Estou configurando o Apache 2.4 de 64 bits no Windows Server 2008 .

Até agora eu baixei um arquivo do Apache do site do apachehaus e o extraí para o meu desejado e, em seguida, configure o Apache como um serviço executando httpd.exe -k install de acordo com as instruções no site do Apache .

Agora posso ver o serviço Apache em services.msc

SeguindoasinstruçõessobrecomoconfiguraroApachecomoumserviçonositedoApache,eleafirmaoseguinte:

Bydefault,allApacheservicesareregisteredtorunasthesystemuser(theLocalSystemaccount).TheLocalSystemaccounthasnoprivilegestoyournetworkviaanyWindows-securedmechanism,includingthefilesystem,namedpipes,DCOM,orsecureRPC.Ithas,however,wideprivilegeslocally.

Emseguida,afirma,comoumaviso:

NevergrantanynetworkprivilegestotheLocalSystemaccount!IfyouneedApachetobeabletoaccessnetworkresources,createaseparateaccountforApacheasnotedbelow.

Emseguida,eledeclaraquevocêdeveexecutarasseguintesetapas:

ItisrecommendedthatuserscreateaseparateaccountforrunningApacheservice(s).IfyouhavetoaccessnetworkresourcesviaApache,thisisrequired.

1. Createanormaldomainuseraccount,andbesuretomemorizeitspassword.
2. Grantthenewly-createduseraprivilegeofLogonasaserviceandActaspartoftheoperatingsystem.OnWindowsNT4.0theseprivilegesaregrantedviaUserManagerforDomains,butonWindows2000andXPyouprobablywanttouseGroupPolicyforpropagatingthesesettings.YoucanalsomanuallysettheseviatheLocalSecurityPolicyMMCsnap-in.
3. ConfirmthatthecreatedaccountisamemberoftheUsersgroup.
4. Granttheaccountreadandexecute(RX)rightstoalldocumentandscriptfolders(htdocsandcgi-binforexample).
5. Granttheaccountchange(RWXD)rightstotheApachelogsdirectory.
6. Granttheaccountreadandexecute(RX)rightstothehttpd.exebinaryexecutable.

econtinua...depoisdepesquisaralgumasdasetapasmencionadasanteriormente,encontreialgumas postagens no fórum que levantou algumas preocupações de segurança com relação ao passo 2:

2. Conceda ao usuário recém-criado um privilégio de Fazer logon como um serviço e Agir como parte do sistema operacional.

Então, alguém poderia confirmar se conceder um usuário de domínio utilizado para executar o Apache como um serviço e conceder a eles o privilégio de Atuar como parte do sistema operacional é uma preocupação de segurança? É necessário? Existe uma abordagem melhor para levar aqui?

As preocupações de segurança mencionadas anteriormente, encontradas nos fóruns vinculados ao seguinte link do site da Microsoft, declaram:

The Act as part of the operating system policy setting determines whether a process can assume the identity of any user and thereby gain access to the resources that the user is authorised to access.