lsass.exe

lsass.exe (Local Security Authority Subsystem Service) est le service du sous-système d’authentification de la sécurité locale. Il gère notamment l’authentification des utilisateurs ( utilisateurs d’un domaine ou utilisateurs locaux)

Plus d’info sur le rôle de lsass durant l’ouverture de session ici 👾

Localisation

• %SYSTEMROOT%\System32\lsass.exe
• %SYSTEMROOT%\SysWOW64\lsass.exe

DFIR

Processus Parent : wininit.exe

Utilisateur / Compte : Local System

Nombre d’instance : 1

Lancement : secondes après le démarrage

Remarques

• Il doit rarement avoir des processus enfants
• lsass.exe authentifie les utilisateurs en appelant un paquet d’authentification approprié spécifié dans HKLM\SYSTEM\CurrentControlSet\Lsa. En général, il s’agit de Kerberos pour les comptes de domaine ou de MSV1_0 pour les comptes locaux. Les utilisateurs du domaine sont identifiés d’après les informations de l’annuaire Active Directory. Les utilisateurs locaux sont identifiés d’après les informations de la SAM.
• lsass.exe est également responsable de l’implémentation de la politique de sécurité locale (telle que les politiques de mot de passe d’audit) et d’écrire des événements dans le journal des événements de sécurité