lsaiso.exe gère le stockage sécurisé des informations d’identification des comptes (tâche déléguée par lsass.exe).
Lorsque Credential Guard est activé, la fonctionnalité de lsass.exe est répartie entre deux processus : – lui-même et lsaiso.exe. La plupart des fonctionnalités restent dans lsass.exe, mais le rôle important de stockage sécurisé des informations d’identification des comptes est confié à lsaiso.exe.
Il assure la sécurité du stockage en s’exécutant dans un contexte qui est isolé des autres
processus grâce à la technologie de virtualisation du matériel.
Localisation
%SYSTEMROOT%\System32\lsaiso.exe
DFIR
Processus Parent : services.exe (le plus souvent)
Utilisateur / Compte : Local System
Nombre d’instance : beaucoup
Lancement : après le démarrage
Remarques
- Lorsque l’authentification à distance est requise, lsass.exe envoie des les demandes en utilisant un canal RPC avec lsaiso.exe afin d’authentifier l’utilisateur auprès du service distant.
- Si Credential Guard n’est pas activé, lsaiso.exe ne doit pas être exécuté sur le système.