Hva er lsass.exe, og hvorfor kjører den?

Så du har funnet lsass.exe som kjører på Windows-systemet ditt. Du vil sannsynligvis gjerne vite om det er et virus, eller om det er noe som skal være der. Vel, vi har gode nyheter. Denne prosessen er ikke et virus, lsass.exe ble opprettet av Microsoft og er et kjernesystem “Local Security Authority Process” innebygd i Windows. Imidlertid er det noen risikoer for en kopi-katt fil. For mer informasjon, les videre.

Denne filen er kjent som den lokale sikkerhetsgodkjenningsserveren, og genererer prosessen som er ansvarlig for å autentisere brukere i WinLogon-tjenesten. Prosessen utføres ved å bruke godkjenningspakker som standard msgina.dll. Når godkjenning er vellykket, genererer lsass.exe et brukertilgangstoken som brukes til å starte det opprinnelige skallet. Andre prosesser som brukeren initierer arver dette symbolet.

En titt på lsass.exe i prosessutforsker viser at den håndterer tre primære autentiseringstjenester i Windows:

• EFS (Encrypting File System)
  • Tilbyr kjernefilkrypteringsteknologien som brukes til å lagre krypterte filer på NTFS filsystemvolum. Hvis denne tjenesten er stoppet eller deaktivert, vil ikke applikasjonen ha tilgang til krypterte filer.
• KeyIso (CNG Key Isolation)
  • CNG-nøkkelisolasjonen er vert i LSA-prosessen. Tjenesten gir nøkkelprosessisolering til private nøkler og tilknyttede kryptografiske operasjoner som kreves av de vanlige kriteriene. Tjenesten lagrer og bruker langlevede nøkler i en sikker prosess som oppfyller vanlige kriterier.
• SamSs (Security Accounts Manager)
  • Oppstarten av denne tjenesten signaliserer andre tjenester om at Security Accounts Manager (SAM) er klar til å godta forespørsler. Deaktivering av denne tjenesten vil forhindre at andre tjenester i systemet blir varslet når SAM er klar, noe som igjen kan føre til at disse tjenestene ikke klarer å starte riktig. Denne tjenesten skal ikke deaktiveres.

Den lokale IPSEC-policyen håndteres også av lsass.exe. Dette administrerer og starter ISAKMP / Oakley (IKE) og IP-sikkerhetsdriveren i Windows Server.

sårbarhet

På en sikkerhetsmerknad er denne prosessen trygg. Imidlertid er det kjent at en kopikatusvirus smitter systemer. Overveiende heter den ondsinnede prosessen isass.exe (Isass.exe = bad) som ser ut som Lsass.exe (lsass.exe = good). Hvis du finner at prosessen starter med et "i" i stedet for en liten bokstav "L", er systemet ditt sannsynligvis infisert.

Denne "isass.exe" er et trojan-virus kjent som Sasser-ormen. Formålet med ormen er å skjult infisere systemet ditt og begynne å høste data. Dette viruset vil logge hvert tastetrykk som er skrevet, og bestemte brukernavn, passord, kredittkortnummer og andre sensitive data som kan brukes til uredelig økonomisk gevinst. Hvis du finner ut at datamaskinen din er infisert, kan dette viruset fjernes ved å bruke Microsoft Malware Removal tool.

Heldigvis har ikke copycat-isass.exe-viruset blitt sett på noen få år. Microsoft har for lengst oppdatert sårbarheten som tillot viruset å infisere Windows. Dette er grunnen til at det alltid er viktig å holde systemet oppdatert.

Konklusjon

Overall lsass.xe er en standard oppstartsprosess som kontrollerer påloggingssikkerhet. Denne prosessen er trygg og viktig for Windows-funksjonen. Det har et lett systemavtrykk, men minnebruken er uten betydning fordi Windows ikke kan kjøre ordentlig uten det. Hvis datamaskinen din står bak oppdateringer, er det en sjanse for at du kan bli smittet med et copy-cat-virus, men selv da er det lite sannsynlig med mindre du fremdeles kjører Windows XP eller tidligere.