Je vous ai déjà expliqué comment se passe le démarrage de Windows en détail. L’article est ici : Tout sur le boot de Windows 10 / UEFI – www.ToutWindows.com – Tout sur Windows
Je vous propose désormais de vous détailler le rôle des process principaux de Windows, et voici lsass.exe (Local Security Authority Subsystem).
lsass.exe est un process qui gère la sécurité de Windows. Il fait partie du process Local Security Authority (LSA).
Il se trouve dans %WINDIR%\System32\lsass.exe.
Il vérifie la connexion a Windows (locale et distante), gère les changements de mot de passe, et attribue les tokens.
lsass.exe gère le journal de sécurité (visible dans l’observateur d’évènements).
En raison de son importance ce process est attaqué ou copié par les developpeurs malveillants.
Ce process est surveillé par Windows et si il n’est plus actif, Windows s’éteint.
Au démarrage de Windows, wininit.exe lance lsass.exe, de nombreuses vérifications sont effectuées autour de lsass.exe, par exemple les plug-in (lecteur de carte d’authentification, cryptographie, gestionnaires de mot de passe) l’entourant doivent être signés. UEFI peut apporter des protections supplémentaires pour l’isoler (UEFI lock) notamment à l’aide de HVCI.