lsass.exe (Local Security Authority Subsystem) est un exécutable qui est nécessaire pour le bon fonctionnement de Windows.
Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs locaux). Pour Windows 2000 et les versions postérieures, les utilisateurs du domaine sont identifiés d'après les informations de l'annuaire Active Directory. Les utilisateurs locaux sont identifiés d'après les informations de la SAM.
Cet exécutable existait dès la première version de Windows NT en 1993. Il a peu fait parler de lui, sauf en 2004 où il a été la cible du ver sasser. Microsoft avait livré un correctif de sécurité le 13 avril 2004, mais le ver est arrivé 17 jours plus tard et de nombreuses personnes n'avaient pas encore installé le correctif.
Durant le Processus de démarrage de Windows NT, c'est le premier winlogon qui lance lsass.exe.
Théoriquement, un arrêt de lsass.exe provoque un reboot de l'ordinateur (cela a été fait pour garantir la sécurité).
En fait, cela n'est vrai que si le gestionnaire de session (smss.exe) est présent. Cela a été signalé par Mark Russinovich.
Sous windows XP (pack 2 ou non), un arrêt de smss.exe, suivi d'un arrêt de lsass.exe ne provoque pas un reboot de Windows XP. Néanmoins, l'utilisateur ne peut plus rien faire, il est obligé de faire un reset de l'ordinateur (ou de l'arrêter électriquement).
Les protocoles d'identifications possibles sont :
Les principaux services qui utilisent lsass.exe sont
Les DLL utilisés par lsass.exe pour Active Directory sont ntdsa.dll[1] (NT Directory System Agent) et esent.dll (Extensible Storage Engine NT).