Ce este lsass.exe și de ce rulează?

Așadar, ați găsit lsass.exe rulând pe sistemul dvs. Windows. Probabil doriți să știți dacă este un virus sau dacă este vorba despre ceva care se presupune că există. Ei bine, avem o veste bună. Acest proces nu este un virus, lsass.exe a fost creat de Microsoft și este un sistem de bază „Local Security Authority Process” încorporat în Windows. Cu toate acestea, există unele riscuri ale unui fișier cu copie-pisică. Pentru mai multe detalii citiți mai departe.

Cunoscut ca server de autentificare de securitate locală, acest fișier generează procesul responsabil de autentificarea utilizatorilor din serviciul WinLogon. Procesul se realizează utilizând pachete de autentificare, cum ar fi msgina.dll implicit. Când autentificarea este reușită, lsass.exe generează un jeton de acces al utilizatorului, care este utilizat pentru a lansa shell-ul inițial. Alte procese inițiate de utilizator moștenesc acest jeton.

O privire la lsass.exe în procesul de explorare dezvăluie că gestionează 3 servicii de autentificare primare în Windows:

• EFS (criptarea sistemului de fișiere)
  • Oferă tehnologia de criptare a fișierelor de bază utilizate pentru stocarea fișierelor criptate pe volumele sistemului de fișiere NTFS. Dacă acest serviciu este oprit sau dezactivat, aplicația nu va putea accesa fișierele criptate.
• KeyIso (CNG Key Isolation)
  • Izolarea cheii CNG este găzduită în procesul LSA. Serviciul asigură izolarea proceselor cheie la cheile private și operațiunile criptografice asociate, astfel cum este necesar de Criteriile comune. Serviciul stochează și folosește cheile de lungă durată într-un proces sigur care respectă cerințele Criteriilor comune.
• SamSs (Manager conturi de securitate)
  • Pornirea acestui serviciu semnalează alte servicii pe care Managerul Conturi de Securitate (SAM) este gata să accepte solicitări. Dezactivarea acestui serviciu va împiedica alte servicii din sistem să fie notificate atunci când SAM este gata, ceea ce poate face ca aceste servicii să nu înceapă corect. Acest serviciu nu trebuie dezactivat.

De asemenea, lsass.exe se ocupă de politica IPSEC locală. Aceasta gestionează și pornește ISAKMP / Oakley (IKE) și driverul de securitate IP în Windows Server.

Vulnerabilitate

Pe o notă de securitate, acest proces este sigur. Cu toate acestea, se cunoaște că un virus de tip copie infectează sistemele. Predominant, procesul rău intenționat este numit isass.exe (Isass.exe = rău), care arată similar cu Lsass.exe (lsass.exe = bun). Dacă găsiți că procesul începe cu majuscule „i” în loc de „L” cu majuscule, atunci sistemul dvs. este probabil infectat.

Acest „isass.exe” este un virus troian cunoscut sub numele de viermele Sasser. Scopul viermei este să vă infectați ascuns sistemul și să începeți recoltarea datelor. Acest virus va înregistra fiecare apăsare de taste tastată și, în mod special, va merge după numele de utilizator ale contului, parolele, numerele cărților de credit și alte date sensibile care pot fi utilizate pentru câștigul financiar fraudulos. Dacă descoperiți că computerul dvs. este infectat, acest virus poate fi eliminat folosind Instrumentul Microsoft Eliminarea programelor malware.

Din fericire, virusul „isass.exe” nu a mai fost văzut de câțiva ani. Microsoft de mult a remediat vulnerabilitatea care a permis virusului să infecteze Windows. Acesta este motivul pentru care este important să vă mențineți permanent sistemul actualizat.

Concluzie

În general, lsass.xe este un proces de pornire implicit care controlează securitatea jurnalului. Acest proces este sigur și esențial pentru funcția Windows. Are o amprentă ușoară a sistemului, cu toate acestea, utilizarea memoriei sale este irelevantă, deoarece Windows nu poate rula corect fără el. Dacă computerul este în urmă pentru actualizări, există șansa să te poți infecta cu un virus cu o copie pisică, dar chiar și atunci este puțin probabil, dacă nu rulezi încă Windows XP sau mai devreme.