Kas yra lsass.exe ir kodėl jis veikia?

Taigi jūs radote „lsass.exe“, veikiantį „Windows“ sistemoje. Tikriausiai norėtumėte sužinoti, ar tai virusas, ar ten kažkas yra. Na, mes turime gerų naujienų. Šis procesas nėra virusas, „lsass.exe“ sukūrė „Microsoft“ ir yra pagrindinė „Windows“ integruota sistema „Vietinės saugos tarnybos procesas“. Tačiau egzistuoja tam tikra kopijavimo katės failo rizika. Norėdami gauti daugiau informacijos skaitykite.

Šis failas, žinomas kaip vietinis saugos autentifikavimo serveris, generuoja procesą, atsakingą už vartotojų autentifikavimą „WinLogon“ tarnyboje. Procesas atliekamas naudojant autentifikavimo paketus, tokius kaip numatytasis msgina.dll. Kai autentifikavimas sėkmingas, lsass.exe sugeneruoja vartotojo prieigos raktą, kuris naudojamas pradiniam apvalkalui paleisti. Kiti procesai, kuriuos inicijuoja vartotojas, paveldi šį prieigos raktą.

Pažvelgus į „lsass.exe“ proceso naršyklėje, paaiškėja, kad jis teikia 3 pagrindines autentifikavimo paslaugas „Windows“:

• EFS (šifruojanti failų sistema)
  • Pateikiama pagrindinė failų šifravimo technologija, naudojama šifruotiems failams saugoti NTFS failų sistemos tome. Jei ši paslauga bus sustabdyta arba išjungta, programa negalės pasiekti šifruotų failų.
• „KeyIso“ (CNG rakto izoliacija)
  • SGD rakto izoliacija vykdoma LSA procese. Ši paslauga teikia privačių raktų proceso atskyrimą ir susijusias kriptografines operacijas, kaip reikalaujama pagal bendruosius kriterijus. Paslauga saugo ir naudoja ilgalaikius raktus saugiame procese, atitinkančiame bendrųjų kriterijų reikalavimus.
• „SamSs“ (saugos sąskaitų tvarkyklė)
  • Šios paslaugos paleidimas signalizuoja apie kitas paslaugas, kad saugos sąskaitų tvarkyklė (SAM) yra pasirengusi priimti užklausas. Išjungus šią paslaugą bus užkirstas kelias pranešti apie kitas sistemos paslaugas, kai SAM bus parengtas, o tai gali sukelti netinkamą šių paslaugų paleidimą. Ši paslauga neturėtų būti išjungta.

Vietinę IPSEC politiką taip pat tvarko lsass.exe. Tai valdo ir paleidžia ISAKMP / Oakley (IKE) ir IP saugos tvarkyklę „Windows Server“.

Pažeidžiamumas

Saugos pažymoje pažymėtina, kad šis procesas yra saugus. Tačiau buvo žinoma, kad kopijos virusas užkrečia sistemas. Dažniausiai kenkėjiškas procesas yra pavadintas isass.exe (Isass.exe = blogas), kuris atrodo panašus į Lsass.exe (lsass.exe = geras). Jei pastebėsite, kad procesas prasideda didžiosiomis raidėmis „i“, o ne mažosiomis raidėmis „L“, tada jūsų sistema greičiausiai užkrėsta.

Šis „isass.exe“ yra Trojos virusas, žinomas kaip „Sasser“ kirminas. Kirmėlės tikslas yra slapta užkrėsti jūsų sistemą ir pradėti rinkti duomenis. Šis virusas užfiksuos kiekvieną įvestą klavišo paspaudimą, ypač po vartotojo vardų, slaptažodžių, kreditinių kortelių numerių ir kitų neskelbtinų duomenų, kurie gali būti naudojami apgaulingai finansinei naudai gauti. Jei pastebite, kad jūsų kompiuteris yra užkrėstas, šis virusas yra pašalinamas naudojant „Microsoft“ kenkėjiškų programų šalinimo įrankis.

Laimei, kopijavimo aparato „isass.exe“ virusas nebuvo pastebėtas per kelerius metus. „Microsoft“ seniai pataisė pažeidžiamumą, dėl kurio virusas galėjo užkrėsti „Windows“. Štai kodėl svarbu nuolat atnaujinti savo sistemą.

Išvada

Apskritai lsass.xe yra numatytasis paleisties procesas, kuris kontroliuoja prisijungimo saugą. Šis procesas yra saugus ir būtinas „Windows“ funkcijai. Jis turi nedidelį sistemos pėdsaką, tačiau jo atmintis nėra svarbi, nes be jo „Windows“ negali tinkamai veikti. Jei jūsų kompiuteris atsilieka nuo atnaujinimų, yra tikimybė, kad galite užsikrėsti kopijavimo katės virusu, tačiau net ir tada tai mažai tikėtina, nebent vis dar naudojate „Windows XP“ ar ankstesnę versiją.