lsass.exe ( Local Security Authority Subsystem ) ist eine ausführbare Datei , die für das ordnungsgemäße Funktionieren von Windows erforderlich ist.
Es stellt die Identifizierung von Benutzern ( Domänenbenutzern oder lokalen Benutzern) sicher . Unter Windows 2000 und höher werden Domänenbenutzer anhand der Informationen im Active Directory identifiziert . Lokale Benutzer werden anhand von Informationen aus dem SAM identifiziert .
Diese ausführbare Datei existierte ab der ersten Version von Windows NT im Jahr 1993. Es wurde nicht viel darüber gesprochen, außer im Jahr 2004, als es das Ziel des Sasser- Wurms war . Microsoft hat einen Sicherheitspatch für bereitgestellt13. April 2004, aber der Wurm kam 17 Tage später und viele Leute hatten das Update noch nicht installiert.
Während des Windows NT- Startvorgangs startet das erste Winlogon lsass.exe .
Theoretisch führt das Stoppen von lsass.exe zu einem Neustart des Computers (dies wurde durchgeführt, um die Sicherheit zu gewährleisten).
Dies gilt nur, wenn der Sitzungsmanager ( smss.exe ) vorhanden ist. Darauf wies Mark Russinovich hin .
Unter Windows XP (Service Pack 2 oder nicht) wird Windows XP durch Stoppen von smss.exe und anschließendes Stoppen von lsass.exe nicht neu gestartet . Der Benutzer kann jedoch nichts mehr tun, er ist verpflichtet, den Computer zurückzusetzen (oder elektrisch herunterzufahren).
Die möglichen Identifikationsprotokolle sind:
Die wichtigsten Dienstleistungen , die verwenden lsass.exe sind:
Die von lsass.exe für Active Directory verwendeten DLLs sind ntdsa.dll (NT Directory System Agent) und esent.dll (Extensible Storage Engine NT).