公司邮件服务器用的jsp+mysql，windows上必然要用到tomcat。然而tomcat安装以后在windows上默认是system权限，只要得到一个shell，服务器就搞定。所以在服务里面采取了降权的手法，让tomcat服务，以单独账户运行，防止webshell提权想到tomcat权限如此之大，我们是否可以借鉴tomcat这种方式留系统后门呢？

可以的，iis可以指定每个网站以单独的进程运行应用程序，也就是应用程序池，一般普通的应用程序池都是network service权限的
那如果把应用程序池掉为system权限呢？在应用程序池属性---标识---预定义账户---本地系统