lsass

Syntaxe

Description

Ce processus, du nom de «Local Security Authority Subsystem Service» de Microsoft, permet de renforcir les politiques de sécurité du système d'exploitation Windows. Ce processus est une composante crucial de la politique de sécurité de Microsoft Windows, de l'authentification d'autorité de domaine et du gestionnaire Active Directory dans son système d'exploitation.

Remarques

• Ce processus n'est pas un Spyware, un Trojan ou un Virus, cependant, beaucoup de Virus et de Trojan tente de le corrompre, car il permet d'accéder au mot de passe en claire. Ainsi, il va de soit que les personnes malveillantes étudissent énormément ce processus afin de soutirer de l'information aux utilisateurs à leur insu.
• Faille de sécurité : Il est très important d'avoir le correctif 835732 du «Microsoft Security Bulletin MS04-011 - Critical» car la version antérieur à 2004 contient des failles des sécurités majeures. Bien que moins vulnérable après ce correctif, il existe malgré tout des failles de sécurité potentiel, comme ceux qu'exploite les utilitaires PWDump2 ou ProcDump+Mimikatz par exemple, cependant si vous ne donnez pas des droits administrateurs à tout le monde, il n'est pas aussi facile de pirater ce processus. Enfin, heureusement Microsoft ne donne pas beaucoup de détails sur le fonctionnement interne de ce processus, cela réduit donc sensiblement le risque de vulnérabilité par un humain.
• Ce fichier est généralement situé dans le dossier «c:\windows\system32» ou «c:\winnt\system32».
• Il n'est pas possible de supprimer ce processus du Gestionnaire de tâches (Task Manager), vous recevrez donc une erreur «This is a critical system process. Task Manager cannot end this process». De plus, il utilise l'utilisateur «SYSTEM» pour s'exécuter, soit l'utilisateur ayant le plus haut niveau de privilèges.
• Le fichier «lsass.exe» n'est pas visible avec les API de Windows 9X, uniquement ceux de Windows NT.