AccueilđŸ‡«đŸ‡·Chercher

Local Security Authority Subsystem Service

lsass.exe (Local Security Authority Subsystem) est un exécutable qui est nécessaire pour le bon fonctionnement de Windows.

Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs locaux). Pour Windows 2000 et les versions postérieures, les utilisateurs du domaine sont identifiés d'aprÚs les informations de l'annuaire Active Directory. Les utilisateurs locaux sont identifiés d'aprÚs les informations de la SAM.

Cet exĂ©cutable existait dĂšs la premiĂšre version de Windows NT en 1993. Il a peu fait parler de lui, sauf en 2004 oĂč il a Ă©tĂ© la cible du ver sasser. Microsoft avait livrĂ© un correctif de sĂ©curitĂ© le , mais le ver est arrivĂ© 17 jours plus tard et de nombreuses personnes n'avaient pas encore installĂ© le correctif.

Procédure de démarrage

Durant le Processus de démarrage de Windows NT, c'est le premier Winlogon qui lance lsass.exe.

ConsĂ©quence d'un arrĂȘt de lsass.exe

ThĂ©oriquement, un arrĂȘt de lsass.exe provoque un reboot de l'ordinateur (cela a Ă©tĂ© fait pour garantir la sĂ©curitĂ©).

En fait, cela n'est vrai que si le gestionnaire de session (smss.exe) est présent. Cela a été signalé par Mark Russinovich.

Sous Windows XP (Service Pack 2 ou non), un arrĂȘt de smss.exe, suivi d'un arrĂȘt de lsass.exe ne provoque pas un reboot de Windows XP. NĂ©anmoins, l'utilisateur ne peut plus rien faire, il est obligĂ© de faire un reset de l'ordinateur (ou de l'arrĂȘter Ă©lectriquement).

Protocoles d'identification possibles

Les protocoles d'identification possibles sont :

Les services

Les principaux services qui utilisent lsass.exe sont :

  • Les deux services liĂ©s Ă  IPsec :
    • Agent de stratĂ©gie IPSEC,
    • Services IPSEC ;
  • Centre de distribution de clĂ©s Kerberos ;
  • Emplacement protĂ©gĂ© : en pratique, emplacement des clĂ©s privĂ©es. L'algorithme de chiffrement est HMAC (Hash-Based Message Authentication Code) et la fonction de hachage cryptographique est SHA-1 ;
  • Fournisseur de la prise en charge de sĂ©curitĂ© NTLM (NT Lan Manager) ;
  • Gestionnaire de comptes de sĂ©curitĂ©.
  • Ouverture de session rĂ©seau (en amĂ©ricain : Net LOGON) : identification par un contrĂŽleur de domaine. Sous Windows 2000 et les versions postĂ©rieures, le contrĂŽleur de domaine utilise l'annuaire Active Directory ;
  • Service d'annuaire Microsoft Active Directory.

Active Directory

Les DLL utilisés par lsass.exe pour Active Directory sont ntdsa.dll[1] (NT Directory System Agent) et esent.dll (Extensible Storage Engine NT).

Voir aussi

Références externes

Notes
  1. (en) DSA (Directory System Agent)
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.