lsass.exe ( Sottosistema autorità di protezione locale ) è un eseguibile necessario per il corretto funzionamento di Windows .
Assicura l'identificazione degli utenti ( utenti di dominio o utenti locali). Per Windows 2000 e versioni successive, gli utenti del dominio vengono identificati in base alle informazioni in Active Directory . Gli utenti locali vengono identificati in base alle informazioni del SAM .
Questo eseguibile esisteva dalla prima versione di Windows NT nel 1993. Non si è parlato molto, tranne nel 2004 quando era l'obiettivo del worm sasser . Microsoft ha fornito una patch di sicurezza13 aprile 2004, ma il worm è arrivato 17 giorni dopo e molte persone non avevano ancora installato la correzione.
Durante il processo di avvio di Windows NT , il primo Winlogon avvia lsass.exe .
Teoricamente, l'arresto di lsass.exe provoca il riavvio del computer (questo è stato fatto per garantire la sicurezza).
In realtà, questo è vero solo se è presente il gestore della sessione ( smss.exe ) . Lo ha sottolineato Mark Russinovich .
In Windows XP (Service Pack 2 o meno), l'arresto di smss.exe , seguito dall'arresto di lsass.exe non riavvia Windows XP. Tuttavia, l'utente non può più fare nulla, è obbligato a resettare il computer (o spegnerlo elettricamente).
I possibili protocolli di identificazione sono:
I principali servizi che utilizzano lsass.exe sono:
Le DLL utilizzate da lsass.exe per Active Directory sono ntdsa.dll (NT Directory System Agent) ed esent.dll (Extensible Storage Engine NT).