Перейти к содержанию

Windows Services and Files

lsass

Local Security Authority Subsytem Service (lsass.exe) - один из основных сервисов Windows систем. Отвечает за:

  • приминение политик безопасности
  • верификацию входа пользователей в систему
  • обработки изменения паролей
  • создания access token-ов
  • запись в системный журнал событий безопасности.

Danger

Принудетельное завершение lsass.exe приведет к тому, что система потеряет доступ к любой учётной записи включая SYSTEM\NT AUTHORITY и выведет запрос на перезагрузку ОС.

В виду критической важности этого сервиса, под него часто мимикрируют различная малварь, включая metasploit:meterpreter

NTDS

Windows NT Directory Services - сервис используемый Microsoft для управления, поиска и организации сетевых ресурсов.

Файл NTDS.dit - файл базы данных который распологается на контроллере домена и хранит сведения из Active Directory, включая пользователей, группы, хэши паролей.