Я знаю, что LSA и LSASS расшифровываются как "Local Security Authority" и "Local Security Authority Subsystem Service", соответственно.
LSASS - это исполняемый файл в Windows, который хранит учетные данные в памяти и т.д., Как для локальных, так и для доменных пользователей (верно?)
Является ли LSASS просто реализацией LSA, или каковы отношения между этими двумя?
Да, есть концепция "LSA" и «lsass.exe», процесс, который реализует многие функции LSA. Помимо самой "аутентификации" (проверка учетных данных пользователя по базе данных SAM) это включает в себя хранение учетных данных, безопасное хранилище ключей (если в вашей системе нет другого места для их хранения) и так далее. Если у вас включен аудит, например, для файлов, именно Lsass.exe форматирует и отправляет записи в журнал безопасности.
Кстати, в домене, когда вы входите в учетную запись домена, фактическая работа аутентификации, конечно, происходит на контроллере домена. Затем учетные данные для аутентификации сохраняются на вашем локальном компьютере.
Есть также API, имена которых начинаются с "Lsa", и они предоставляют интерфейсы для функций LSA.
Термин "ss" для "подсистемы" является более жаргонным. Я не видел четкого определения, которое бы объясняло, что именно в Windows называют "подсистемой". В случае lsass.exe термин "подсистема" может относиться к тому факту, что этот процесс реализует несколько различных функций верхнего уровня, даже несколько сервисов. Но это объяснение не подходит, например, csrss.exe, "вспомогательный" процесс для Win32 API.
В системе Windows 10 с современным оборудованием, с включенными в прошивку функциями виртуализации, вы также можете увидеть запущенный процесс LSAiso.exe. Это "LSA изолированы". Это "трастлет" - жаргон Microsoft для исполняемого файла, работающего в "VTL 1", уровень виртуального доверия 1, в механизме, называемом "безопасность на основе виртуализации". VBS очень умный и эффективный. В этом проекте такие вещи, как хранилище учетных данных, хранятся в областях памяти, к которым они не могут быть доступны из "обычного" (VTL 0) режима пользователя или ядра. VBS включается автоматически с достаточно поздней версией Windows 10 и, если ваш процессор поддерживает это.
