No trabalho, eles querem que eu crie uma conta de serviço para executar o pool de aplicativos para meu aplicativo Web no iis abaixo.
Por que isso seria útil e / ou necessário?
service-accounts
Jason
fonte
fonte
Uma conta de serviço é usada para duas coisas: isolamento e auditoria.
O isolamento permite conceder os direitos mínimos necessários para o serviço à conta de serviço, garantindo que, mesmo que um invasor explore o serviço e obtenha acesso ao sistema local, sua capacidade de causar danos adicionais é limitada. Mesmo em um caso em que um invasor não é uma preocupação, o isolamento impede que um serviço de buggy efetue outros serviços.
A auditoria pode ser auxiliada por contas de serviço, pois todas as ações executadas por um serviço diferente serão registradas como provenientes de um usuário diferente, facilitando a diferenciação de um serviço com mau comportamento dos outros que estão funcionando corretamente.
Embora esses sejam os usos principais das contas de serviço, há outros, como o ajuste de desempenho. A execução de cada serviço como um usuário diferente permite usar a alocação de recursos por usuário existente para controlar os recursos disponíveis para um serviço.
Considero a política obrigatória de contas de serviço por serviço obrigatória para qualquer sistema que espere ser seguro.
fonte
Basicamente: se o aplicativo quebrar, o dano que ele pode causar é restrito apenas aos arquivos pertencentes ou graváveis por esse usuário. Além disso, se o aplicativo estiver comprometido, a mesma restrição se aplicará aos dados que podem ser acessados por meio dele.
Principalmente, todo item de software deve ter acesso apenas aos recursos de que precisa e nada mais. Naturalmente, sempre há simplificações e compromissos, mas a execução de um aplicativo Web por conta própria é uma das principais medidas para a aplicação.
fonte