Co to jest lsass.exe i dlaczego to działa?
Więc znalazłeś lsass.exe działający w twoim systemie Windows. Prawdopodobnie chciałbyś wiedzieć, czy jest to wirus, czy jest to coś, co powinno tam być. Cóż, mamy dobre wiadomości. Ten proces nie jest wirusem, lsass.exe został stworzony przez firmę Microsoft i jest podstawowym systemem "Local Security Authority Process" wbudowanym w system Windows. Istnieje jednak pewne ryzyko związane z plikiem copy-cat. Aby uzyskać więcej informacji, czytaj dalej.
Ten plik, znany jako lokalny serwer uwierzytelniania zabezpieczeń, generuje proces odpowiedzialny za uwierzytelnianie użytkowników w usłudze WinLogon. Proces jest wykonywany za pomocą pakietów uwierzytelniających, takich jak domyślny plik msgina.dll. Po pomyślnym uwierzytelnieniu program lsass.exe generuje token dostępu użytkownika, który jest używany do uruchamiania początkowej powłoki. Inne procesy, które użytkownik inicjuje, dziedziczą token.
Spojrzenie na lsass.exe w eksploratorze procesów pokazuje, że obsługuje 3 podstawowe usługi uwierzytelniania w systemie Windows:
- EFS (system szyfrowania plików)
- Udostępnia technologię szyfrowania plików podstawowych używaną do przechowywania zaszyfrowanych plików w woluminach systemu plików NTFS. Jeśli ta usługa zostanie zatrzymana lub wyłączona, aplikacja nie będzie mogła uzyskać dostępu do zaszyfrowanych plików.
- KeyIso (izolacja klucza CNG)
- Izolacja klucza CNG jest hostowana w procesie LSA. Usługa zapewnia kluczową izolację procesów dla kluczy prywatnych i powiązanych operacji kryptograficznych zgodnie z wymaganiami Wspólnych kryteriów. Usługa przechowuje i wykorzystuje klucze o długiej żywotności w bezpiecznym procesie zgodnym z wymaganiami Common Criteria.
- SamSs (Menedżer kont bezpieczeństwa)
- Uruchomienie tej usługi sygnalizuje innym usługom, że Menedżer kont zabezpieczeń (SAM) jest gotowy do przyjmowania żądań. Wyłączenie tej usługi uniemożliwi powiadomienie innych usług w systemie, gdy narzędzie SAM będzie gotowe, co z kolei może spowodować, że usługi te nie zostaną poprawnie uruchomione. Ta usługa nie powinna być wyłączona.
Obsługiwany przez lsass.exe jest lokalny zasada IPSEC. To zarządza i uruchamia ISAKMP / Oakley (IKE) i sterownik bezpieczeństwa IP w systemie Windows Server.
Wrażliwość
W dokumencie bezpieczeństwa ten proces jest bezpieczny. Wiadomo jednak, że wirus kopii-kota zainfekował systemy. Przeważnie złośliwy proces nazywa się isass.exe (Isass.exe = zły), który wygląda podobnie do Lsass.exe (lsass.exe = dobry). Jeśli okaże się, że proces zaczyna się od dużego "i" zamiast małej litery "L", oznacza to, że Twój system jest prawdopodobnie zainfekowany.
Ten "isass.exe" to wirus trojański znany jako robak Sasser. Celem tego robaka jest ukrycie infekowania systemu i rozpoczęcie zbierania danych. Wirus ten będzie rejestrował każde naciśnięcie klawisza, a szczególnie po nazwie konta, haseł, numerach kart kredytowych i innych poufnych danych, które mogą zostać użyte w celu oszukańczego zysku. Jeśli zauważysz, że Twój komputer jest zainfekowany, wirus można usunąć przy użyciu narzędzia Microsoft Malware Removal.
Na szczęście wirus "isass.exe" naśladowca nie był widoczny od kilku lat. Microsoft już dawno załatał lukę, która umożliwiła wirusowi zainfekowanie systemu Windows. Dlatego ważne jest, aby zawsze aktualizować system.
Wniosek
Ogólnie lsass.xe to domyślny proces uruchamiania, który kontroluje logowanie zabezpieczeń. Proces ten jest bezpieczny i niezbędny do funkcjonowania systemu Windows. Ma niewielki ślad systemowy, jednak jego użycie pamięci jest nieistotne, ponieważ system Windows nie może działać poprawnie bez niego. Jeśli twój komputer jest w tyle po aktualizacji, istnieje szansa, że możesz zarazić się wirusem katu, ale nawet wtedy jest mało prawdopodobne, chyba że nadal masz Windows XP lub wcześniejszy.