Hvad er lsass.exe og hvorfor går det?

Så du har fundet lsass.exe kører på dit Windows-system. Du vil nok gerne vide, om det er en virus, eller hvis det er noget der skal være der. Nå, vi har gode nyheder. Denne proces er ikke en virus, lsass.exe blev oprettet af Microsoft og er et kernesystem "Local Security Authority Process", der er indbygget i Windows. Der er dog nogle risici for en kopikatabase. For flere detaljer læs videre.

Kendt som den lokale sikkerhedsautentiseringsserver, genererer denne fil processen, der er ansvarlig for autentificering af brugere i WinLogon-tjenesten. Processen udføres ved hjælp af godkendelsespakker som standard msgina.dll. Når autentificering er vellykket, genererer lsass.exe et brugeradgangstoken, som bruges til at starte initialskallen. Andre processer, som brugeren initierer, arver dette token.

Et kig på lsass.exe i proces explorer afslører, at det håndterer 3 primære godkendelsestjenester i Windows:

  • EFS (Encrypting File System)
    • Giver den centrale filkrypteringsteknologi, der bruges til at gemme krypterede filer på NTFS-filsystemvolumener. Hvis denne tjeneste er stoppet eller deaktiveret, vil programmet ikke kunne få adgang til krypterede filer.
  • KeyIso (CNG Key Isolation)
    • CNG-nøgleisoleringen er vært i LSA-processen. Tjenesten giver nøgleprocesisolering til private nøgler og tilhørende kryptografiske operationer som krævet af de fælles kriterier. Tjenesten opbevarer og bruger langlivede nøgler i en sikker proces, der opfylder kravene til fælles kriterier.
  • SamSs (Security Accounts Manager)
    • Opstart af denne tjeneste signalerer andre tjenester, som Security Account Manager (SAM) er klar til at acceptere anmodninger. Hvis du deaktiverer denne tjeneste, forhindres andre tjenester i systemet at blive underrettet, når SAM er klar, hvilket igen kan medføre, at disse tjenester ikke starter korrekt. Denne tjeneste skal ikke deaktiveres.

Også håndteret af lsass.exe er den lokale IPSEC Policy. Dette styrer og starter ISAKMP / Oakley (IKE) og IP-sikkerhedsdriveren i Windows Server.

Sårbarhed

På en sikkerhedsnota er denne proces sikker. Imidlertid har en kopikatavirus været kendt for at inficere systemer. Overvejende er den ondsindede proces navngivet isass.exe (Isass.exe = dårlig), der ligner Lsass.exe (lsass.exe = good). Hvis du finder processen starter med en kapital "i" i stedet for et lille bogstav "L" så er dit system sandsynligvis inficeret.

Denne "isass.exe" er en trojanske virus kendt som Sasser-ormen. Formålet med ormen er at skjule infect dit system og begynde at høste data. Denne virus logger hver tastetastatur skrevet, og især går efter kontoen brugernavne, adgangskoder, kreditkortnumre og andre følsomme data, der kan bruges til svigagtig økonomisk gevinst. Hvis du finder din computer er inficeret, er denne virus flytbar ved hjælp af værktøjet Microsoft Malware Removal.

Heldigvis er copycat "isass.exe" -virus ikke blevet set om nogle få år. Microsoft har længe siden patched sårbarheden, der gjorde det muligt for viruset at inficere Windows. Derfor er det vigtigt at holde systemet opdateret.

Konklusion

Samlet lsass.xe er en standard opstartsproces, der styrer loginsikkerhed. Denne proces er sikker og afgørende for Windows-funktionen. Det har et let systemfodaftryk, men dets hukommelsesforbrug er irrelevant, fordi Windows ikke kan køre korrekt uden det. Hvis din computer er bag ved opdateringer, er der en chance for at du kan blive smittet med en kopikatavirus, men selv da er det usandsynligt, medmindre du stadig kører Windows XP eller tidligere.