lsass.exe ( Local Security Authority Subsystem ) er en kjørbar fil som kreves for at Windows fungerer riktig.
Det sikrer identifikasjon av brukere ( domenebrukere eller lokale brukere). For Windows 2000 og nyere identifiseres domenebrukere basert på informasjon i Active Directory . Lokale brukere identifiseres basert på informasjon fra SAM .
Denne kjør eksistert fra den første versjonen av Windows NT i 1993. Det har ikke vært snakket om mye, bortsett fra i 2004 da det var målet for Sasser ormen . Microsoft leverte en sikkerhetsoppdatering den13. april 2004, men ormen kom 17 dager senere, og mange hadde ennå ikke installert løsningen.
Under oppstartsprosessen i Windows NT lanserer den første Winlogon lsass.exe .
Teoretisk forårsaker stopp av lsass.exe en omstart av datamaskinen (dette ble gjort for å sikre sikkerhet).
Faktisk er dette bare sant hvis øktbehandleren ( smss.exe ) er til stede. Dette ble påpekt av Mark Russinovich .
Under Windows XP (Service Pack 2 eller ikke), stopper ikke smss.exe , etterfulgt av å stoppe lsass.exe , ikke Windows XP på nytt. Imidlertid kan brukeren ikke lenger gjøre noe, han er forpliktet til å tilbakestille datamaskinen (eller å slå den av elektrisk).
De mulige identifikasjonsprotokollene er:
De viktigste tjenestene som bruker lsass.exe er:
De DLLs brukt av lsass.exe for Active Directory er ntdsa.dll (NT Directory System Agent) og Esent.dll (Extensible Storage Engine NT).