Mi az lsass.exe és miért fut?

Tehát megtalálta az lsass.exe fájlt a Windows rendszerén. Valószínűleg azt szeretné tudni, hogy ez egy vírus, vagy valószínűleg ott van-e. Nos, jó híreink vannak. Ez a folyamat nem vírus, az lsass.exe-t a Microsoft hozta létre, és a Windowsba beépített „Local Security Authority Process” központi rendszer. Van azonban néhány kockázat a copy-cat fájlban. További részletek:

Helyi biztonsági hitelesítési szerverként ismert fájl létrehozza a WinLogon szolgáltatásban a felhasználók hitelesítéséért felelős folyamatot. A folyamatot hitelesítési csomagok, például az alapértelmezett msgina.dll használatával hajtják végre. Ha a hitelesítés sikeres, az lsass.exe létrehoz egy felhasználói hozzáférési jogkivonatot, amelyet a kezdeti héj indításához használnak. A felhasználó által kezdeményezett egyéb folyamatok öröklik ezt a tokent.

Az lsass.exe betekintése a folyamat felfedezőjébe kiderül, hogy a Windows 3 elsődleges hitelesítési szolgáltatást kezeli:

• EFS (titkosító fájlrendszer)
  • Biztosítja a titkosított fájlok NTFS fájlrendszer kötetekben való tárolásához használt alapvető fájl titkosítási technológiát. Ha ezt a szolgáltatást leállítják vagy letiltják, az alkalmazás nem fog hozzáférni a titkosított fájlokhoz.
• KeyIso (CNG kulcs leválasztás)
  • A CNG-kulcs elkülönítése az LSA folyamatban található. Ez a szolgáltatás a kulcsfontosságú folyamatok elválasztását biztosítja a magánkulcsokhoz és a kapcsolódó kriptográfiai műveletekhez, a közös kritériumok szerint. A szolgáltatás hosszú élettartamú kulcsokat tárol és használ egy biztonságos folyamatban, amely megfelel a közös kritériumok követelményeinek.
• SamSs (biztonsági fiókkezelő)
  • A szolgáltatás indítása más szolgáltatásokat jelez, hogy a Security Accounts Manager (SAM) készen áll a kérések elfogadására. Ennek a szolgáltatásnak a letiltása megakadályozza a rendszer többi szolgáltatásának értesítését, amikor a SAM készen áll, ami viszont ezeket a szolgáltatásokat nem indíthatja el megfelelően. Ezt a szolgáltatást nem szabad letiltani.

Az lsass.exe kezeli a helyi IPSEC házirendet is. Ez kezeli és elindítja az ISAKMP / Oakley (IKE) és az IP biztonsági illesztőprogramot a Windows Server rendszeren.

Sebezhetőség

Biztonsági megjegyzés szerint ez a folyamat biztonságos. Azonban a másolat-macska vírusról ismert, hogy megfertőzi a rendszereket. Elsősorban a rosszindulatú folyamat neve isass.exe (Isass.exe = rossz), amely hasonló a Lsass.exe fájlhoz (lsass.exe = jó). Ha úgy találja, hogy a folyamat nagybetűvel „i” kezdődik, nem pedig az „L” kisbetű, akkor valószínűleg a rendszer fertőzött.

Ez az „isass.exe” egy trójai vírus, amelyet Sasser féregnek neveznek. A féreg célja a rendszer titkos megfertőzése és az adatgyűjtés megkezdése. Ez a vírus naplózza az összes beírt billentyűleütést, különös tekintettel a felhasználónevekre, jelszavakra, hitelkártya-számokra és más olyan érzékeny adatokra, amelyek csalárd pénzügyi haszonhoz felhasználhatók. Ha úgy találja, hogy számítógépe fertőzött, a vírus eltávolítható a Microsoft Malware eltávolító eszköz.

Szerencsére a copycat “isass.exe” vírust néhány év alatt nem láttak. A Microsoft már régen javította azt a sebezhetőséget, amely lehetővé tette a vírusnak a Windows megfertőzését. Ezért fontos a rendszert mindig frissíteni.

Következtetés

Összességében az lsass.xe egy alapértelmezett indítási folyamat, amely ellenőrzi a bejelentkezés biztonságát. Ez a folyamat biztonságos és nélkülözhetetlen a Windows működéséhez. Kicsi a rendszer lábnyoma, azonban memóriahasználata nem releváns, mivel a Windows nem működik megfelelően. Ha számítógépe elmarad a frissítésektől, akkor esélye van rá, hogy megfertőződjön egy copy-cat vírussal, de még akkor sem valószínű, hacsak továbbra sem futtatja a Windows XP-t vagy korábbi.