Em geral, a Segurança Integrada (também conhecida como Conexão Confiável) é mais segura do que os logins SQL e é preferível. O motivo é que os serviços que precisam se conectar ao SQL Server não precisam ter o nome de usuário e as senhas codificados em qualquer lugar; eles podem ser executados apenas com um usuário que tenha permissões para acessar o SQL Server.
Para usar a Segurança Integrada, um domínio não é obrigatório. Se você estiver gerenciando muitas máquinas, um domínio seria o preferido, mas com um pequeno número de servidores, você pode usar apenas usuários locais em cada servidor. O truque é que os usuários compartilhados precisam ter o mesmo nome de usuário e senha em cada servidor que está acessando dados SQL. Por exemplo, suponha que você tenha um servidor da Web IIS em uma máquina e um SQL Server em outra. Você criaria um usuário com o mesmo nome de usuário e senha nas máquinas da Web e do SQL Server, talvez chamado "IISUser". Em seguida, no SQL Server, você atribuiria as permissões apropriadas a esse usuário e, no servidor da Web, definiria o pool de aplicativos do IIS para ser executado com o mesmo usuário. Como isso está usando o Integrated Security, nenhum nome de usuário / senha precisa ser gravado ou armazenado em qualquer arquivo de configuração e a conexão é segura.
Infelizmente eu não posso responder a sua pergunta de "existe uma prática recomendada" sobre o FILESTREAM, no entanto eu gostaria de oferecer que você não deve evitar fazer o que você quer fazer, simplesmente porque você também quer evitar a Segurança Integrada. IMO você deve estar usando Segurança Integrada independentemente. Sugiro que você experimente os usuários locais para sua situação. Em última análise, um domínio será melhor do que os usuários locais (será ainda mais seguro e mais fácil de gerenciar), mas consideraria a Segurança Integrada com usuários locais ainda melhor do que os logins do SQL Server.