Respuestas:
Le da a su aplicación una cuenta particular mediante la cual puede configurar la seguridad. Normalmente, el proceso se ejecutará como la cuenta de usuario de IIS y, por lo tanto, tendrá todos los privilegios asociados con esa cuenta. Al crear una cuenta solo para esa aplicación, puede asignar derechos a esa cuenta de servicio solo para los recursos que necesita. Reduce significativamente las posibilidades de que cualquiera explote su aplicación, y reduce las posibilidades de que su aplicación tenga un efecto adverso en alguna parte del sistema al que no debería acceder de todos modos.
Una cuenta de servicio se utiliza para dos cosas: aislamiento y auditoría.
El aislamiento le permite otorgar los derechos mínimos necesarios para el servicio a la cuenta del servicio, asegurando que incluso si un atacante explotara el servicio y obtuviera acceso al sistema local, su capacidad para hacer más daño es limitada. Incluso en un caso en el que un atacante no es una preocupación, el aislamiento impide que un servicio defectuoso afecte a otros servicios.
Las cuentas de servicio pueden ayudar a la auditoría porque cada acción realizada por un servicio diferente se registrará como proveniente de un usuario diferente, lo que hace que sea más fácil diferenciar un servicio que se comporta mal de otros.
Aunque estos son los usos principales de las cuentas de servicio, existen otros, como el ajuste del rendimiento. La ejecución de cada servicio como un usuario diferente le permite utilizar la asignación de recursos por usuario existente para controlar los recursos disponibles para un servicio.
Considero que la política de cuentas de servicio por servicio es obligatoria para cualquier sistema que espera ser seguro.
Básicamente: si la aplicación se rompe, el daño que puede hacer está restringido solo a los archivos que el usuario posee o puede escribir. Además, si la aplicación se ve comprometida, la misma restricción se aplica a los datos a los que se puede acceder a través de ella.
En principio, cada elemento del software solo debe poder acceder a los recursos que necesita y nada más. Naturalmente, siempre hay simplificaciones y compromisos, pero ejecutar una aplicación web bajo su propia cuenta es una de las principales medidas para aplicar esto.