Mi az lsass.exe és Miért fut?

Tehát megtalálta az lsass.exe fut a Windows rendszeren. Valószínűleg szeretné tudni, hogy vírus lenne-e, vagy valami, ami ott van. Nos, jó hírünk van. Ez a folyamat nem vírus, az lsass.exe-t a Microsoft hozta létre, és a Windows rendszerbe épített "Local Security Authority Process" rendszer központi rendszere. Vannak azonban bizonyos kockázatok a másolat-macska fájlban. További részletekért olvass tovább.

A helyi biztonsági hitelesítő kiszolgáló néven ismert fájl létrehozza a WinLogon szolgáltatás felhasználóinak hitelesítéséért felelős folyamatot. A folyamatot olyan hitelesítési csomagok használatával hajtják végre, mint az alapértelmezett msgina.dll. Ha a hitelesítés sikeres, az lsass.exe létrehoz egy felhasználói hozzáférési tokenet, amely a kezdeti shell indításához használható. A felhasználó által kezdeményezett egyéb folyamatok öröklik ezt a tokenet.

A folyamatérzékelő lsass.exe-je feltárja, hogy 3 elsődleges hitelesítési szolgáltatást kezel a Windows rendszerben:

  • EFS (titkosítási fájlrendszer)
    • A titkosított fájlok NTFS fájlrendszer-kötetekre történő tárolására használt magfájl-titkosítási technológiát biztosítja. Ha ezt a szolgáltatást leállítják vagy letiltják, az alkalmazás nem fog tudni hozzáférni a titkosított fájlokhoz.
  • KeyIso (CNG Key Isolation)
    • A CNG kulcs elszigeteltségét az LSA folyamat biztosítja. A szolgáltatás kulcsfontosságú folyamatelkülönítést biztosít a magánkulcsokhoz és a kapcsolódó kritikus műveletekhez a Common Criteria által megkövetelt módon. A szolgáltatás hosszú élettartamú kulcsokat tárol és használ egy biztonságos eljárással, amely megfelel a Common Criteria követelményeinek.
  • SamSs (Security Accounts Manager)
    • A szolgáltatás indítása más olyan szolgáltatásokat jelez, amelyeket a Biztonsági fiókkezelő (SAM) kész elfogadni a kéréseket. A szolgáltatás letiltása megakadályozza, hogy a rendszer többi szolgáltatása értesítést kapjon a SAM készenléti állapotáról, ami viszont az ilyen szolgáltatások hibás indításához vezethet. Ezt a szolgáltatást nem szabad letiltani.

Az lsass.exe is kezeli a helyi IPSEC házirendet. Ez kezeli és elindítja az ISAKMP / Oakley (IKE) és az IP biztonsági meghajtót a Windows Server rendszerben.

Sebezhetőség

Biztonsági megjegyzésben ez a folyamat biztonságos. Azonban egy másoló macska vírus tudta, hogy megfertőzi a rendszert. Elsősorban a rosszindulatú eljárás neve isass.exe (Isass.exe = bad), ami hasonlít az Lsass.exe-re (lsass.exe = good). Ha úgy találja, hogy a folyamat "i" tőkével kezdődik, az "L" kisbetű helyett, akkor a rendszer valószínűleg fertőzött.

Ez az "isass.exe" egy Sasser féregként ismert trójai vírus. A féreg célja az, hogy titokban megfertőzze a rendszert és elkezdje az adatok begyűjtését. Ez a vírus beírja a beírt billentyűleütéseket, és különösen a felhasználói nevek, jelszavak, hitelkártyaszámok és egyéb érzékeny adatok felhasználását követeli, amelyek csalárd pénzügyi nyereségre használhatók. Ha a számítógéped fertőzött, akkor a vírus eltávolítható a Microsoft Malware Removal eszközével.

Szerencsére a copycat "isass.exe" vírus nem látható néhány év múlva. A Microsoft már régóta javította a sérülékenységet, amely lehetővé tette a vírus számára a Windows megfertőzését. Ezért fontos, hogy mindig frissítse rendszerét.

Következtetés

Összességében az lsass.xe egy alapértelmezett indítási folyamat, amely ellenőrzi a bejelentkezés biztonságát. Ez a folyamat biztonságos és elengedhetetlen a Windows működéséhez. Világos rendszerigénye van, de memóriahasználata nem releváns, mert a Windows nem tud megfelelően működni nélküle. Ha a számítógépe a frissítések mögött van, akkor esélye van arra, hogy fertőzze meg a copy-cat vírust, de még akkor sem valószínű, ha még mindig Windows XP vagy korábbi verziója van.