Mikä on lsass.exe ja miksi se toimii?

Joten olet löytänyt lsass.exe-ohjelman käynnissä olevan Windows-järjestelmän. Luultavasti haluaisit tietää, onko se virus vai onko se jotain, jonka pitäisi olla siellä. Meillä on hyviä uutisia. Tämä prosessi ei ole virus, Microsoft on luonut lsass.exe-tiedoston, joka on Windows-järjestelmään upotettu ydinjärjestelmä "Local Security Authority Process". Kopiokissa on kuitenkin riskejä. Lisätietoja on luettavissa.

Tunnettu paikallisvarmennuspalvelimena, tämä tiedosto luo prosessin, joka on vastuussa käyttäjien todentamisesta WinLogon-palvelussa. Prosessi suoritetaan käyttämällä todennuspaketteja, kuten oletusarvoisesti msgina.dll. Kun autentikointi onnistuu, lsass.exe luo käyttäjän käyttöoikeuskoodin, jolla käynnistetään alkuperäinen kuori. Muut prosessit, jotka käyttäjä aloittaa, perivät tämän tunnuksen.

Tarkastele lsass.exeä prosessinhaltijassa paljastaa, että se käsittelee kolmea ensisijaista todennuspalvelua Windowsissa:

  • EFS (salaustiedostojärjestelmä)
    • Tarjoaa ytimen tiedostojen salaustekniikan, jota käytetään salatun tiedoston tallentamiseen NTFS-tiedostojärjestelmätilavuuksille. Jos tämä palvelu on pysäytetty tai poistettu käytöstä, sovellus ei voi käyttää salattuja tiedostoja.
  • KeyIso (CNG Key Isolation)
    • CNG-avainten eristyneisyys isännöi LSA-prosessissa. Palvelu tarjoaa keskeisen prosessin eristyksen yksityisille avaimille ja niihin liittyville kryptografisille operaatioille, kuten Common Criteria vaatii. Palvelu tallentaa ja käyttää pitkäikäisiä avaimia turvallisessa prosessissa, joka täyttää Common Criteria -vaatimukset.
  • SamSs (Security Accounts Manager)
    • Tämän palvelun käynnistäminen merkitsee muita palveluita, jotka Security Accounts Manager (SAM) on valmis hyväksymään pyyntöjä. Tämän palvelun estäminen estää järjestelmän muita palveluita ilmoittamasta, kun SAM on valmis, mikä voi puolestaan ​​aiheuttaa näiden palveluiden epäonnistumisen oikein. Tätä palvelua ei saa poistaa käytöstä.

Myös lsass.exe käsittelee paikallista IPSEC-käytäntöä. Tämä hallinnoi ja käynnistää ISAKMP: n / Oakley (IKE) -ohjelman ja IP-suojausohjaimen Windows Serverissa.

alttius

Tietoturvahuomautuksessa tämä prosessi on turvallinen. Kuitenkin kopio-kissavirus on tiedossa infektoida järjestelmät. Pääasiassa, haittaohjelma tunnetaan nimellä isass.exe (Isass.exe = huono), joka muistuttaa Lsass.exe-tiedostoa (lsass.exe = good). Jos huomaat, että prosessi alkaa pääomalla "i" pienen kirjaimen "L" sijasta, järjestelmäsi on todennäköisesti tartunnan saanutta.

Tämä "isass.exe" on troijalainen virus, joka tunnetaan Sasser-matoina. Mato pyrkii piilottamaan järjestelmääsi ja aloittamaan tietojen keräämisen. Tämä virus kirjaa jokaisen näppäilyn kirjoittamisen, ja varsinkin kun käyttäjätunnukset, salasanat, luottokortin numerot ja muut arkaluonteiset tiedot ovat käytettävissä vilpillisen taloudellisen hyödyn saamiseksi. Jos löydät tietokoneesi tartunnan, tämä virus voidaan poistaa Microsoftin haittaohjelmien poistotyökalulla.

Onneksi kopioi "isass.exe" -virusta ei ole nähty muutamassa vuodessa. Microsoft on jo pitkään korjannut haavoittuvuuden, joka sallii viruksen tartuttavan Windowsia. Tämän vuoksi on tärkeää pitää järjestelmäsi ajan tasalla.

johtopäätös

Yleisesti lsass.xe on oletus käynnistysprosessi, joka ohjaa lokin suojausta. Tämä prosessi on turvallinen ja välttämätön Windowsin toiminnan kannalta. Se on kevyt järjestelmä jalanjälki kuitenkin sen muistin käyttö on merkityksetön, koska Windows ei voi toimia kunnolla ilman sitä. Jos tietokoneesi takana on päivitykset, sinulla on mahdollisuus saada tarttuva kopio-kissavirus, mutta silloinkin se on epätodennäköistä, ellei sinulla vielä ole Windows XP: tä tai sitä aiemmin.