Ce este lsass.exe și de ce se execută?
Cunoscut ca server de autentificare de securitate locală, acest fișier generează procesul responsabil pentru autentificarea utilizatorilor în serviciul WinLogon. Procesul este realizat utilizând pachete de autentificare, cum ar fi implicit msgina.dll. Când autentificarea este reușită, lsass.exe generează un jeton de acces pentru utilizator, care este folosit pentru a lansa shell-ul inițial. Alte procese pe care utilizatorul inițiază să le moștenească acest jeton.
O privire la lsass.exe în proces explorer dezvăluie că se ocupă de 3 servicii principale de autentificare în Windows:
- EFS (Sistem de fișiere de criptare)
- Oferă tehnologia de criptare a fișierelor de bază utilizate pentru stocarea fișierelor criptate pe volume ale sistemului de fișiere NTFS. Dacă acest serviciu este oprit sau dezactivat, aplicația nu va putea accesa fișierele criptate.
- KeyIso (Izolarea cheii CNG)
- Izolarea cheii CNG este găzduită în procesul LSA. Serviciul oferă o izolare cheie a proceselor la chei private și la operațiile criptografice asociate, conform cerințelor Criteriilor Comune. Serviciul stochează și utilizează chei de lungă durată într-un proces sigur, care respectă cerințele Criteriilor Comune.
- SamSs (manager de conturi de securitate)
- Punerea în funcțiune a acestui serviciu semnalează alte servicii pe care Managerul Conturilor de Securitate (SAM) este pregătit să accepte. Dezactivarea acestui serviciu va împiedica notificarea altor servicii din sistem atunci când SAM este gata, ceea ce poate, la rândul său, să provoace că aceste servicii nu pornesc corect. Acest serviciu nu trebuie dezactivat.
De asemenea, gestionat de lsass.exe este politica locală IPSEC. Acesta gestionează și pornește ISAKMP / Oakley (IKE) și driverul de securitate IP în Windows Server.
Vulnerabilitate
Pe o notă de securitate, acest proces este sigur. Cu toate acestea, este cunoscut faptul că virusul copiat de pisică infectează sistemele. În mod predominant, procesul rău intenționat este denumit isass.exe (Isass.exe = rău) care arată similar cu Lsass.exe (lsass.exe = bun). Dacă găsiți că procesul începe cu un "i" de capital în loc de un litere mici "L" atunci sistemul dvs. este probabil infectat.
Acest "isass.exe" este un virus troian cunoscut sub numele de vierme Sasser. Scopul viermelui este de a infecta în mod ascuns sistemul dumneavoastră și de a începe recoltarea datelor. Acest virus va loga fiecare apăsare de tastă tastat și, în special, du-te după nume de utilizator de cont, parole, numere de carduri de credit și alte date sensibile care pot fi utilizate pentru câștiguri financiare frauduloase. Dacă descoperiți că computerul este infectat, acest virus este detașabil utilizând instrumentul Microsoft Malware Removal.
Din fericire, virusul copycat "isass.exe" nu a fost văzut în câțiva ani. Microsoft a atacat de mult vulnerabilitatea care a permis virusului să infecteze Windows. Din acest motiv, este important să țineți întotdeauna sistemul actualizat.
Concluzie
În general, lsass.xe este un proces de pornire implicit, care controlează logarea de securitate. Acest proces este sigur și esențial pentru funcția Windows. Are o amprentă de sistem de lumină, totuși utilizarea memoriei este irelevantă, deoarece Windows nu poate funcționa corect fără ea. Dacă computerul se află în spatele actualizărilor, există șansa să vă puteți infecta cu un virus de tip copy-cat, dar chiar și atunci este puțin probabil dacă nu utilizați Windows XP sau mai recent.