lsass.exe ( subsistema de autoridade de segurança local ) é um executável necessário para o funcionamento adequado do Windows .
Garante a identificação dos usuários ( usuários do domínio ou usuários locais). No Windows 2000 e posterior, os usuários do domínio são identificados com base nas informações do Active Directory . Os usuários locais são identificados com base nas informações do SAM .
Esse executável existia desde a primeira versão do Windows NT em 1993. Não se falou muito sobre ele, exceto em 2004, quando foi o alvo do worm sasser . A Microsoft entregou um patch de segurança em13 de abril de 2004, mas o worm chegou 17 dias depois e muitas pessoas ainda não haviam instalado a correção.
Durante o processo de inicialização do Windows NT , o primeiro Winlogon inicia lsass.exe .
Teoricamente, a interrupção do lsass.exe causa uma reinicialização do computador (isso foi feito para garantir a segurança).
Na verdade, isso só é verdade se o gerenciador de sessão ( smss.exe ) estiver presente. Isso foi apontado por Mark Russinovich .
No Windows XP (Service Pack 2 ou não), interromper smss.exe , seguido de lsass.exe , não reinicializa o Windows XP. Porém, o usuário não pode mais fazer nada, é obrigado a reiniciar o computador (ou desligá-lo eletricamente).
Os protocolos de identificação possíveis são:
Os principais serviços que usam lsass.exe são:
As DLLs usadas por lsass.exe para Active Directory são ntdsa.dll (NT Directory System Agent) e esent.dll (Extensible Storage Engine NT).