Mikä on lsass.exe ja miksi se toimii?

Joten olet löytänyt lsass.exe: n käynnissä Windows-järjestelmässä. Haluat todennäköisesti tietää, onko kyse viruksesta vai onko siellä jotain, jonka oletetaan olevan siellä. No, meillä on hyviä uutisia. Tämä prosessi ei ole virus, lsass.exe on luonut Microsoft, ja se on Windowsin sisäänrakennettu ydinjärjestelmä ”Local Security Authority Process”. Kopio-kissatiedostossa on kuitenkin joitain riskejä. Katso lisätietoja.

Paikallisena suojauksen todennuspalvelimena tunnettu tiedosto tuottaa prosessin, joka vastaa WinLogon-palvelun käyttäjien todennuksesta. Prosessi suoritetaan käyttämällä todennuspaketteja, kuten oletus msgina.dll. Kun todennus onnistuu, lsass.exe luo käyttäjän käyttöoikeustunnuksen, jota käytetään käynnistämään alkuperäinen kuori. Muut käyttäjän käynnistämät prosessit perivät tämän tunnuksen.

Kun tarkastellaan lsass.exe-tiedostoa prosessin tutkijassa, se paljastaa, että se käsittelee 3 ensisijaista todennuspalvelua Windowsissa:

• EFS (salaava tiedostojärjestelmä)
  • Tarjoaa ydintiedostojen salaustekniikan, jota käytetään salattujen tiedostojen tallentamiseen NTFS-tiedostojärjestelmän levyille. Jos tämä palvelu lopetetaan tai poistetaan käytöstä, sovellus ei pääse salattuihin tiedostoihin.
• KeyIso (CNG-avaimen eristäminen)
  • CNG-avaimen eristäminen isännöi LSA-prosessia. Palvelu tarjoaa avainprosessien eristämisen yksityisistä avaimista ja niihin liittyvistä salaustekniikoista yhteisten kriteerien edellyttämällä tavalla. Palvelu tallentaa ja käyttää pitkäikäisiä avaimia turvallisessa prosessissa, joka täyttää yhteiset kriteerit.
• SamSs (Security Accounts Manager)
  • Tämän palvelun käynnistys ilmoittaa muista palveluista, että Security Accounts Manager (SAM) on valmis hyväksymään pyynnöt. Tämän palvelun poistaminen käytöstä estää järjestelmän muita palveluita ilmoittamasta, kun SAM on valmis, mikä puolestaan ​​voi johtaa näiden palveluiden epäonnistumiseen oikein. Tätä palvelua ei tule poistaa käytöstä.

Lsass.exe käsittelee myös paikallista IPSEC-käytäntöä. Tämä hallitsee ja käynnistää ISAKMP / Oakley (IKE) ja IP-suojausohjaimen Windows Serverissä.

alttius

Turvahuomautuksessa tämä prosessi on turvallinen. Kopiokissan viruksen on kuitenkin tiedetty tartuttavan järjestelmiä. Pääosin haittaohjelma on nimeltään isass.exe (Isass.exe = huono), joka näyttää samanlaiselta kuin Lsass.exe (lsass.exe = hyvä). Jos löydät prosessin alkavan isoilla ”i” pienten kirjaimien ”L” sijasta, järjestelmäsi todennäköisesti tarttuu.

Tämä “isass.exe” on troijalainen virus, joka tunnetaan nimellä Sasser-mato. Mato on tarkoitus tartuttaa järjestelmääsi salaa ja aloittaa tietojen keruu. Tämä virus kirjaa jokaisen kirjoitetun näppäilyn ja etenkin tilin käyttäjänimien, salasanojen, luottokorttinumeroiden ja muun arkaluontoisen tiedon jälkeen, jota voidaan käyttää vilpilliseen taloudelliseen hyötyyn. Jos huomaat tietokoneesi tartunnan saaneen, tämä virus on irrotettavissa käyttämällä Microsoftin haittaohjelmien poistotyökalu.

Onneksi copycat “isass.exe” -virusta ei ole nähty muutamassa vuodessa. Microsoft on kauan sitten korjannut haavoittuvuutta, jonka avulla virus sai tartunnan Windowsiin. Siksi on tärkeää pitää järjestelmäsi aina ajan tasalla.

johtopäätös

Kaiken lsass.xe on oletusarvoinen käynnistysprosessi, joka hallitsee sisäänkirjautumisen suojausta. Tämä prosessi on turvallinen ja välttämätön Windowsin toiminnalle. Sillä on pieni järjestelmän jalanjälki, mutta sen muistin käytöllä ei ole merkitystä, koska Windows ei voi toimia kunnolla ilman sitä. Jos tietokoneesi on takana päivityksistä, on mahdollista, että sait tartunnan kopio-kissan viruksella, mutta silloinkin se on epätodennäköistä, ellet vieläkään käytä Windows XP: tä tai aiempaa.