Hvad er lsass.exe, og hvorfor kører det?

Så du har fundet lsass.exe, der kører på dit Windows-system. Du vil sandsynligvis gerne vide, om det er en virus, eller om det er noget, der skal være der. Vi har gode nyheder. Denne proces er ikke en virus, lsass.exe blev oprettet af Microsoft og er et kernesystem "Local Security Authority Process" indbygget i Windows. Der er dog nogle risici ved en kopi-kat fil. For mere information, læs videre.

Denne fil, der er kendt som den lokale sikkerhedsgodkendelsesserver, genererer processen, der er ansvarlig for godkendelse af brugere i WinLogon-tjenesten. Processen udføres ved hjælp af godkendelsespakker som standard msgina.dll. Når godkendelse er vellykket, genererer lsass.exe et brugeradgangstoken, der bruges til at starte det oprindelige shell. Andre processer, som brugeren initierer, arver dette token.

Et kig på lsass.exe i process explorer afslører, at det håndterer 3 primære godkendelsestjenester i Windows:

• EFS (krypterende filsystem)
  • Tilvejebringer kernefilkrypteringsteknologi, der bruges til at gemme krypterede filer på NTFS-filsystemvolumener. Hvis denne service er stoppet eller deaktiveret, kan applikationen ikke få adgang til krypterede filer.
• KeyIso (CNG Key Isolation)
  • CNG-nøgleisolering er vært i LSA-processen. Tjenesten leverer nøgleprocesisolering til private nøgler og tilknyttede kryptografiske operationer som krævet i de fælles kriterier. Tjenesten lagrer og bruger længe levede nøgler i en sikker proces, der overholder fælles kriterier.
• SamSs (Security Accounts Manager)
  • Opstart af denne tjeneste signalerer andre tjenester, at Security Accounts Manager (SAM) er klar til at acceptere anmodninger. Deaktivering af denne tjeneste forhindrer, at andre tjenester i systemet bliver underrettet, når SAM er klar, hvilket igen kan forårsage, at disse tjenester ikke starter korrekt. Denne service bør ikke deaktiveres.

Den lokale IPSEC-politik håndteres også af lsass.exe. Dette administrerer og starter ISAKMP / Oakley (IKE) og IP-sikkerhedsdriveren i Windows Server.

Sårbarhed

På en sikkerhedsnote er denne proces sikker. Imidlertid har en kopi-kat-virus været kendt for at inficere systemer. Overvejende kaldes den ondsindede proces isass.exe (Isass.exe = bad), der ligner Lsass.exe (lsass.exe = good). Hvis du finder, at processen starter med et "i" i stedet for et lille bogstav "L", er dit system sandsynligvis inficeret.

Denne "isass.exe" er en trojanvirus kendt som Sasser-ormen. Formålet med ormen er at hemmeligt inficere dit system og begynde at høste data. Denne virus vil logge hvert tastetryk, der er indtastet, og især gå efter kontonavn, adgangskoder, kreditkortnumre og andre følsomme data, der kan bruges til falske økonomiske gevinster. Hvis du finder din computer er inficeret, kan denne virus fjernes ved hjælp af Microsoft Malware-fjernelsesværktøj.

Heldigvis er copycat “isass.exe” -virussen ikke blevet set i et par år. Microsoft har for længe løst den sårbarhed, der gjorde det muligt for virussen at inficere Windows. Derfor er det vigtigt at altid holde dit system opdateret.

Konklusion

Generelt er lsass.xe en standardstartproces, der kontrollerer log på sikkerhed. Denne proces er sikker og vigtig for Windows funktion. Det har et let systemfodaftryk, men dens hukommelsesanvendelse er irrelevant, fordi Windows ikke kan køre ordentligt uden det. Hvis din computer er bagved opdateringer, er der en chance for, at du kan blive inficeret med en kopi-kat-virus, men selv da er det usandsynligt, medmindre du stadig kører Windows XP eller tidligere.