Что такое lsass.exe и почему он работает?

Итак, вы обнаружили, что lsass.exe работает в вашей системе Windows. Вы, вероятно, хотели бы знать, является ли это вирусом, или это то, что должно быть там. Ну, у нас хорошие новости. Этот процесс не является вирусом, lsass.exe был создан Microsoft и является базовой системой «Процесс локальной безопасности», встроенной в Windows. Тем не менее, существуют некоторые риски, связанные с файлом copy-cat. Для более подробной информации читайте дальше.

Этот файл, известный как локальный сервер аутентификации безопасности, генерирует процесс, отвечающий за аутентификацию пользователей в службе WinLogon. Процесс выполняется с использованием пакетов аутентификации, таких как msgina.dll по умолчанию. Когда аутентификация успешна, lsass.exe генерирует токен доступа пользователя, который используется для запуска начальной оболочки. Другие процессы, которые инициирует пользователь, наследуют этот токен.

Взгляд на lsass.exe в проводнике процессов показывает, что он обрабатывает 3 основных службы аутентификации в Windows:

• EFS (шифрованная файловая система)
  • Предоставляет базовую технологию шифрования файлов, используемую для хранения зашифрованных файлов на томах файловой системы NTFS. Если эта служба остановлена ​​или отключена, приложение не сможет получить доступ к зашифрованным файлам.
• KeyIso (изоляция ключей КПГ)
  • Изоляция ключей КПГ размещается в процессе АЛП. Служба обеспечивает изоляцию ключевых процессов от закрытых ключей и связанных криптографических операций в соответствии с общими критериями. Служба хранит и использует долгоживущие ключи в безопасном процессе, отвечающем требованиям Common Criteria.
• SamSs (менеджер учетных записей безопасности)
  • Запуск этой службы сигнализирует другим службам, что диспетчер учетных записей безопасности (SAM) готов принимать запросы. Отключение этой службы предотвратит уведомление других служб в системе о готовности SAM, что, в свою очередь, может привести к неправильному запуску этих служб. Эта услуга не должна быть отключена.

Lsass.exe также обрабатывает локальную политику IPSEC. Это управляет и запускает ISAKMP / Oakley (IKE) и драйвер безопасности IP в Windows Server.

уязвимость

На заметку о безопасности, этот процесс безопасен. Однако известно, что вирус подражания заражает системы. В основном, вредоносный процесс называется isass.exe (Isass.exe = bad), который похож на Lsass.exe (lsass.exe = good). Если вы обнаружите, что процесс начинается с заглавной буквы «i» вместо строчной буквы «L», то ваша система, вероятно, заражена.

Этот «isass.exe» представляет собой троянский вирус, известный как червь Sasser. Целью червя является скрытое заражение вашей системы и начало сбора данных. Этот вирус будет регистрировать каждое нажатие клавиши и, в частности, вводить имена пользователей, пароли, номера кредитных карт и другие конфиденциальные данные, которые могут быть использованы для мошеннической финансовой выгоды. Если вы обнаружили, что ваш компьютер заражен, этот вирус можно удалить с помощью Средство удаления вредоносных программ Microsoft.

К счастью, вирус подражания «isass.exe» не был замечен в течение нескольких лет. Microsoft уже давно исправила уязвимость, которая позволила вирусу заразить Windows. Вот почему важно всегда обновлять вашу систему.

Вывод

В целом lsass.xe - это процесс запуска по умолчанию, который контролирует безопасность входа в систему. Этот процесс безопасен и необходим для работы Windows. Он занимает мало места в системе, однако его использование памяти не имеет значения, поскольку Windows не может нормально работать без него. Если ваш компьютер отстает от обновлений, есть вероятность, что вы можете заразиться вирусом copy-cat, но даже тогда это маловероятно, если вы все еще не используете Windows XP или более раннюю версию.