LSM(Local Session Manager) 에 대해 알아보겠습니다.

Windows에서 LSM은 일반적으로 Local Session Manager(로컬 세션 관리자)를 의미합니다. 이는 Windows 운영 체제에서 사용자 세션을 생성, 관리 및 종료하는 데 중요한 역할을 하는 시스템 서비스입니다. 아래에 LSM에 대해 자세히 설명드립니다.

Ⅰ. LSM(Local Session Manager)이란?

 윈도우 운영체제의 핵심 서비스 중 하나로, 사용자 세션(로그인 세션)을 관리하는 역할을 합니다. 이 서비스는 사용자가 컴퓨터에 로그인할 때마다 새로운 세션과 데스크톱 환경을 생성하며, 물리적인 콘솔(직접 접속)이나 원격 데스크톱(RDP) 접속 모두에 관여합니다

Ⅱ. LSM(Local Session Manager) 주요 기능

 ⅰ) 세션 생성 및 관리
   □ 사용자가 시스템에 로그온(log on)할 때, LSM은 새로운 세션(Session) 을 생성합니다.
   □ 로컬 사용자, 원격 사용자(RDP), 서비스 세션 등 다양한 세션을 관리합니다.
 ⅱ) 터미널 서비스와의 연동
   □ Remote Desktop Services(이전의 Terminal Services)와 연동되어, 원격 데스크톱 연결 시 세션을 생성하고 추적합니다.
      Ex) 사용자가 원격으로 접속하면 LSM은 고유한 세션 ID를 생성하여 해당 연결을 관리합니다.
 ⅲ) 세션 전환 처리
   □ Windows의 Fast User Switching 또는 Session 0 Isolation과 같은 기능에서 사용자를 전환할 때 세션을 적절히 이동, 활성화, 비활성화합니다.
 ⅳ) 서비스 세션 분리
  □  Vista 이후부터는 보안을 위해 서비스와 사용자 세션이 분리되며, 이때 각 세션에 대한 독립적인 환경을 제공하는 데 LSM이 사용됩니다.

Ⅲ. LSM(Local Session Manager) 관련 프로세스

  □ 프로세스 이름: lsm.exe
  □ 위치: C:\Windows\System32
  □ 윈도우 7, 비스타 등에서 주로 사용됨.
  □ 서비스 이름: LSM (Local Session Manager)

주요 역할은 사용자 세션 관리, 생성, 종료이며 로그온/로그오프, 원격 데스크톱, 세션 전환
  □ 서비스는 svchost.exe 프로세스 내에서 LocalSystem 권한으로 실행됩니다.

Ⅳ. LSM(Local Session Manager) 보안 관련 참고사항

  □ lsm.exe는 정상적인 Windows 구성 요소지만, 악성코드가 이름을 위장할 수 있습니다.
  □ lsm.exe가 C:\Windows\System32 외의 다른 위치에서 실행되고 있다면 위장된 악성 파일일 수 있으므로 검사 필요합니다.

  □ lsm.exe 프로세스가 비정상적으로 종료되면 로그온/로그오프 및 원격 연결 문제가 발생할 수 있습니다. 

Ⅴ. LSM(Local Session Manager) 중지 시 영향

  □ LSM 서비스를 중지하면 새로운 로그인이 불가능해지며, 기존 세션에서 로그오프 시 시스템이 정상적으로 동작하지 않을 수 있습니다.
  □ 서비스가 중단된 경우, 컴퓨터를 재부팅해야만 다시 로그인이 가능해집니다.
  □ Microsoft에서도 이 서비스를 비활성화하지 말 것을 권고합니다