SQL Express можно легко сделать безопасным для профессиональной разработки приложений.В отличие от полноценного SQL Server, который является «безопасным по умолчанию», для обеспечения безопасности SQL Express на самом деле требуется всего несколько вещей: 1) Определить подходящую схему авторизации для вашего типа аутентификации (например, безопасность SQL или Windows).2) Если вы используете проверку подлинности Windows, сначала создайте пользователей и группы в AD, а затем создайте роли в SQL Express, которые сопоставляются с группами Windows.3) Если вы используете аутентификацию SQL, создаете или используете встроенную группу базы данных и добавляете пользователей базы данных в эту группу
Что касается учетной записи процесса IIS App_Pool, рекомендуется использовать выделенную (пользователь Windows).) учетная запись процесса для IIS, точно так же, как вы должны настроить SQL Server с выделенной учетной записью процесса.
Вот довольно неплохой ресурс для практики безопасности SQL Server.