Tengo un servidor con tres procesos personalizados que se ejecutan en una sola cuenta de dominio.
Un "experto" en seguridad ha recomendado que se creen tres cuentas, y cada una debe ejecutarse en una cuenta separada.
¿Cómo es eso más seguro?
Si tiene una cuenta para 3 servicios, esto significa que si uno de los servicios tiene un problema de seguridad y un atacante puede ingresar, tendrá acceso a los otros archivos de servicios, por ejemplo. Al tener diferentes cuentas, reduce el impacto de este efecto. Esto depende de su caso, pero si tiene 3 servicios como HTTP, DNS y un LDAP es una buena idea tener cuentas diferentes para ellos en general.
Otra alternativa sería almacenar en contenedores los servicios para que no tengan acceso al sistema operativo host, si la seguridad es el objetivo aquí.
Separar los servicios por cuenta no es malo , pero si alguien puede comprometer un servicio de tal manera que de otra forma podrían interactuar con otro servicio que se ejecuta en el mismo contexto de usuario, pueden capaz de elevar los privilegios al sistema / raíz y luego interactuar con los otros servicios de todos modos.
La contenedorización de los servicios elimina esa ruta de escalación mucho más fácilmente que otros controles específicos del servicio.
Lea otras preguntas en las etiquetas authentication windows