lsass.exe (ローカル セキュリティ機関サブシステム) は、Windows が正しく機能するために必要な実行可能ファイルです。
これにより、ユーザー (ドメイン ユーザーまたはローカル ユーザー) の識別が保証されます。 Windows 2000 以降の場合、ドメイン ユーザーはActive Directory情報に基づいて識別されます。ローカル ユーザーは SAM 情報に基づいて識別されます。
この実行可能ファイルは、1993 年の Windows NT の最初のバージョンから存在していました。2004 年に Sasserワームの標的になったときを除いて、ほとんど話題になりませんでした。 Microsoft は2004 年 4 月 13 日にセキュリティ パッチをリリースしていましたが、ワームは 17日後に到着し、多くの人がまだパッチをインストールしていませんでした。
起動手順
Windows NT の起動プロセス中、 lsass.exe を起動するのは最初のwinlogonです。
lsass.exe を停止した結果
理論的には、 lsass.exe を停止するとコンピュータが再起動されます (これはセキュリティを保証するために行われました)。
実際、これはセッション マネージャー ( smss.exe ) が存在する場合にのみ当てはまります。これはMark Russinovichによって報告されました。
Windows XP (パック 2 かどうか) では、 smss.exe を停止してからlsass.exe を停止しても、Windows XP は再起動されません。ただし、ユーザーは何もできなくなり、コンピュータをリセットする (または電気的にシャットダウンする) ことを余儀なくされます。
可能な識別プロトコル
可能な識別プロトコルは次のとおりです。
- NTLM
- SSL
- ケルベロスv5
サービス
lsass.exe を使用する主なサービスは次のとおりです。
- IPsec にリンクされている 2 つのサービス:
- IPSEC ポリシー エージェント
- IPSECサービス
- Kerberos キー配布センター
- 保護された場所: 実際には、秘密キーの場所。暗号化アルゴリズムは HMAC (Hash-Based Message Authentication Code)、暗号ハッシュ関数は SHA-1 です。
- LM NT セキュリティ サポートのプロバイダー
- HTTP SSL 、つまり https
- セキュリティアカウントマネージャー
- ネットワーク セッションの開始(アメリカ語: Net Logon): ドメイン コントローラーによる識別。 Windows 2000 以降では、ドメイン コントローラは Active Directory を使用します。
- Microsoft Active Directory ディレクトリ サービス
アクティブディレクトリ
Active Directory のlsass.exeで使用される DLL は、 ntdsa.dll [ 1 ] (NT ディレクトリ システム エージェント) とesent.dll (Extensible Storage Engine NT) です。
