lsass.exe ( Local Security Authority Subsystem ) to plik wykonywalny wymagany do prawidłowego funkcjonowania systemu Windows .
Zapewnia identyfikację użytkowników ( użytkowników domeny lub użytkowników lokalnych). W przypadku systemu Windows 2000 i nowszych użytkownicy domeny są identyfikowani na podstawie informacji w usłudze Active Directory . Lokalni użytkownicy są identyfikowani na podstawie informacji z SAM .
Ten plik wykonywalny istniał od pierwszej wersji systemu Windows NT w 1993 roku. Niewiele się o nim mówiło, z wyjątkiem 2004 roku, kiedy był celem robaka Sasser . Firma Microsoft dostarczyła poprawkę zabezpieczeń na13 kwietnia 2004, ale robak pojawił się 17 dni później i wiele osób nie zainstalowało jeszcze poprawki.
Podczas procesu rozruchu systemu Windows NT pierwszy Winlogon uruchamia lsass.exe .
Teoretycznie zatrzymanie lsass.exe powoduje ponowne uruchomienie komputera (zostało to zrobione w celu zapewnienia bezpieczeństwa).
W rzeczywistości jest to prawdą tylko wtedy, gdy obecny jest menedżer sesji ( smss.exe ) . Zwrócił na to uwagę Mark Russinovich .
W systemie Windows XP (z dodatkiem Service Pack 2 lub nie) zatrzymanie smss.exe , a następnie lsass.exe nie powoduje ponownego uruchomienia systemu Windows XP. Jednak użytkownik nie może już nic zrobić, jest zobowiązany zresetować komputer (lub wyłączyć go elektrycznie).
Możliwe protokoły identyfikacji to:
Główne usługi korzystające z lsass.exe to:
Biblioteki DLL używane przez lsass.exe dla usługi Active Directory to ntdsa.dll (agent systemowy NT Directory) i esent.dll ( aparat Extensible Storage Engine NT).