Qual é o objetivo de uma conta de serviço?

Ele fornece ao seu aplicativo uma conta específica pela qual você pode definir a segurança. Normalmente, o processo é executado como a conta de usuário do IIS e, portanto, tem todos os privilégios associados a essa conta. Ao criar uma conta apenas para esse aplicativo, você pode atribuir direitos a essa conta de serviço apenas para os recursos necessários. Isso reduz significativamente as chances de qualquer pessoa explorar seu aplicativo e reduz as chances de seu aplicativo ter um efeito adverso em alguma parte do sistema que ele não deveria acessar de qualquer maneira.

Uma conta de serviço é usada para duas coisas: isolamento e auditoria.

O isolamento permite conceder os direitos mínimos necessários para o serviço na conta de serviço, garantindo que, mesmo que um invasor explore o serviço e obtenha acesso ao sistema local, sua capacidade de causar mais danos é limitada. Mesmo em um caso em que um invasor não é um isolamento de preocupação, impede que um serviço com bugs efetue outros serviços.

A auditoria pode ser auxiliada por contas de serviço porque cada ação tomada por um serviço diferente será registrada como proveniente de um usuário diferente, diferenciando um serviço mal-comportado de outros que estão funcionando corretamente mais facilmente.

Embora esses sejam os principais usos para contas de serviço, há outros, como ajuste de desempenho. Executar cada serviço como um usuário diferente permite usar a alocação de recursos existente por usuário para controlar recursos disponíveis para um serviço.

Eu considero a política obrigatória das contas de serviço por serviço para qualquer sistema que espera ser seguro.

Basicamente: Se o aplicativo quebrar, o dano que ele pode fazer é restrito apenas aos arquivos possuídos ou graváveis por esse usuário. Além disso, se o aplicativo for comprometido, a mesma restrição será aplicada aos dados que podem ser acessados por meio dele.

Em princípio, todo item de software deve ser capaz de acessar apenas os recursos de que precisa e nada mais. Naturalmente, há sempre simplificações e comprometimentos, mas a execução de um aplicativo da Web por conta própria é uma das principais medidas para aplicá-lo.