Čo je lsass.exe a prečo je spustený?
Zabezpečenia Windows 8 Vindovs 7 Proces Windows / / March 17, 2020
Na vašom systéme Windows ste teda našli aplikáciu lsass.exe. Pravdepodobne by ste chceli vedieť, či sa jedná o vírus alebo o niečo, čo má byť. Máme dobré správy.
Na vašom systéme Windows ste teda našli aplikáciu lsass.exe. Pravdepodobne by ste chceli vedieť, či sa jedná o vírus alebo o niečo, čo má byť. Máme dobré správy. Tento proces nie je vírusom, lsass.exe bol vytvorený spoločnosťou Microsoft a je jadrom systému „Local Security Authority Process“ zabudovaného do Windows. Existujú však určité riziká týkajúce sa súboru s kópiou mačky. Viac informácií nájdete ďalej.
Tento súbor, známy ako lokálny bezpečnostný autentifikačný server, generuje proces zodpovedný za autentifikáciu používateľov v službe WinLogon. Tento proces sa vykonáva pomocou autentifikačných balíkov, ako je predvolený msgina.dll. Keď je autentifikácia úspešná, lsass.exe vygeneruje token prístupu používateľa, ktorý sa používa na spustenie počiatočného shellu. Ostatné procesy, ktoré užívateľ iniciuje, zdedia tento token.
Pohľad na lsass.exe v procese prieskumníka odhaľuje, že spracováva 3 služby primárneho overovania v systéme Windows:
- EFS (Encrypting File System)
- Poskytuje technológiu šifrovania základných súborov, ktorá sa používa na ukladanie šifrovaných súborov na zväzky súborového systému NTFS. Ak je táto služba zastavená alebo zakázaná, aplikácia nebude mať prístup k šifrovaným súborom.
- KeyIso (izolácia kľúča CNG)
- Izolácia kľúča CNG je hostená v procese LSA. Táto služba poskytuje izoláciu kľúčového procesu pre súkromné kľúče a súvisiace kryptografické operácie, ako to vyžadujú spoločné kritériá. Služba ukladá a používa kľúče s dlhou životnosťou v bezpečnom procese, ktorý je v súlade s požiadavkami Common Criteria.
- SamSs (správca bezpečnostných účtov)
- Spustenie tejto služby signalizuje ďalšie služby, ktoré je manažér bezpečnostných účtov (SAM) pripravený prijať požiadavky. Zakázanie tejto služby zabráni tomu, aby boli ostatné služby v systéme upozorňované, keď je služba SAM pripravená, čo môže následne spôsobiť správne zlyhanie týchto služieb. Táto služba by sa nemala deaktivovať.
Tiež rieši lsass.exe je miestna politika IPSEC. To riadi a spúšťa ISAKMP / Oakley (IKE) a ovládač zabezpečenia IP v systéme Windows Server.
zraniteľnosť
V prípade bezpečnostnej poznámky je tento proces bezpečný. Je však známe, že vírus kópie mačky infikuje systémy. Škodlivý proces sa prevažne nazýva isass.exe (Isass.exe = bad), ktorý vyzerá podobne ako Lsass.exe (lsass.exe = good). Ak zistíte, že proces začína veľkým písmenom „i“ namiesto malých písmen „L“, váš systém je pravdepodobne infikovaný.
Tento „isass.exe“ je trójsky vírus známy ako červ Sasser. Účelom červa je skryté infikovanie systému a začatie zberu údajov. Tento vírus zaznamená každé zadané stlačenie klávesu, a to najmä po používateľských menách účtu, heslách, číslach kreditných kariet a ďalších citlivých údajoch, ktoré sa môžu použiť na podvodný finančný zisk. Ak zistíte, že je váš počítač napadnutý, tento vírus je odstrániteľný pomocou Nástroj na odstránenie škodlivého softvéru spoločnosti Microsoft.
Našťastie sa vírus kópie „isass.exe“ za pár rokov nevidel. Spoločnosť Microsoft už dávno opravila zraniteľnosť, ktorá vírusu umožnila infikovať Windows. Preto je dôležité neustále aktualizovať váš systém.
záver
Celkovo je lsass.xe predvolený proces spustenia, ktorý riadi bezpečnosť prihlásenia. Tento proces je bezpečný a nevyhnutný pre fungovanie systému Windows. Má ľahký systémový pôdorys, jeho využitie pamäte je však irelevantné, pretože systém Windows bez neho nemôže správne fungovať. Ak je váš počítač pozadu na aktualizáciách, je pravdepodobné, že by ste sa mohli nakaziť vírusom kópie-mačky, ale aj tak to nie je pravdepodobné, pokiaľ stále nepoužívate systém Windows XP alebo skôr.