Câu trả lời:
Nó cung cấp cho ứng dụng của bạn một tài khoản cụ thể mà bạn có thể đặt bảo mật. Thông thường quá trình sẽ chạy như tài khoản người dùng IIS và do đó có tất cả các quyền riêng tư được liên kết với tài khoản đó. Bằng cách tạo một tài khoản chỉ cho ứng dụng đó, bạn có thể gán quyền cho tài khoản dịch vụ đó chỉ cho các tài nguyên mà nó cần. Nó làm giảm đáng kể khả năng bất kỳ ai khai thác ứng dụng của bạn và giảm khả năng ứng dụng của bạn có ảnh hưởng xấu đến một số phần của hệ thống mà dù sao họ cũng không nên truy cập.
Một tài khoản dịch vụ được sử dụng cho hai điều: Cách ly và kiểm toán.
Cách ly cho phép bạn cấp các quyền tối thiểu cần thiết cho dịch vụ cho tài khoản dịch vụ, đảm bảo rằng ngay cả khi kẻ tấn công khai thác dịch vụ và có được quyền truy cập hệ thống cục bộ, khả năng gây thiệt hại của anh ta sẽ bị hạn chế. Ngay cả trong trường hợp kẻ tấn công không phải là sự cô lập đáng lo ngại sẽ ngăn dịch vụ lỗi ảnh hưởng đến các dịch vụ khác.
Việc kiểm tra có thể được hỗ trợ bởi các tài khoản dịch vụ bởi vì mọi hành động được thực hiện bởi một dịch vụ khác nhau sẽ được ghi lại từ một người dùng khác, giúp phân biệt một dịch vụ hành vi xấu với các dịch vụ khác hoạt động chính xác dễ dàng hơn.
Mặc dù đây là những cách sử dụng chính cho các tài khoản dịch vụ, nhưng có những thứ khác, chẳng hạn như điều chỉnh hiệu suất. Chạy mỗi dịch vụ như một người dùng khác nhau cho phép bạn sử dụng phân bổ tài nguyên theo người dùng hiện có để kiểm soát các tài nguyên có sẵn cho một dịch vụ.
Tôi xem xét chính sách tài khoản dịch vụ trên mỗi dịch vụ cho bất kỳ hệ thống nào hy vọng được bảo mật.
Về cơ bản: Nếu ứng dụng bị hỏng, thì thiệt hại mà nó có thể gây ra chỉ bị hạn chế đối với các tệp do người dùng đó sở hữu hoặc có thể ghi. Ngoài ra, nếu ứng dụng bị xâm phạm, thì hạn chế tương tự sẽ áp dụng cho dữ liệu có thể được truy cập thông qua nó.
Về nguyên tắc, mọi mục của phần mềm chỉ có thể truy cập vào các tài nguyên mà nó cần và không có gì khác. Đương nhiên, luôn có sự đơn giản hóa và thỏa hiệp, nhưng chạy một ứng dụng web dưới tài khoản của chính nó là một trong những biện pháp chính để áp dụng điều này.