Local Security Authority Subsystem Service
lsass.exe (Local Security Authority Subsystem) est un exécutable qui est nécessaire pour le bon fonctionnement de Windows.
Il assure l'authentification des utilisateurs (utilisateurs du domaine ou utilisateurs locaux). Pour Windows 2000 et les versions postérieures, les utilisateurs du domaine sont authentifiés d'après les informations de l'annuaire Active Directory. Les utilisateurs locaux sont authentifiés d'après les informations de la SAM.
Cet exécutable existait dès la première version de Windows NT en 1993. Il a peu fait parler de lui, sauf en 2004 où il a été la cible du ver sasser. Microsoft avait livré un correctif de sécurité le 13 avril 2004, mais le ver est arrivé 17 jours plus tard et de nombreuses personnes n'avaient pas encore installé le correctif.
Protocoles d'authentification possibles
Les protocoles d'authentifications possibles sont :
Les services
Les principaux services qui utilisent lsass.exe sont
- Agent de stratégie IPSEC
- Centre de distribution de clés Kerberos
- Emplacement protégé : en pratique, emplacement des clés privées. L'algorithme de cryptage est HMAC (Hash-Based Message Authentication Code) et la fonction de hachage cryptographique est SHA-1.
- Fournisseur de la prise en charge de sécurité LM NT
- Gestionnaire de comptes de sécurité
- Ouverture de session réseau(en américain : Net LOGON) : authentification par un contrôleur de domaine, sous Windows 2000 et les version postérieures, le contrôleur de domaine utilise l'annuaire Active Directory
- service d'annuaire Microsoft Active Directory
- Services IPSEC
Active Directory
Les DLL utilisés par lsass.exe pour Active Directory sont ntdsa.dll (NT Directory System Agent) et esent.dll (Extensible Storage Engine NT).
Références externes
(fr) Utilisation de la mémoire par le processus Lsass.exe
(en) Comment fonctionne le stockage de données dans Active Directory