lsass.exeとは何ですか、なぜ実行されているのですか？

lsassが見つかりました。Windowsシステムで実行されているexe。あなたはおそらくそれがウイルスなのか、それがそこにあるはずなのかを知りたいと思うでしょう。さて、良いニュースがあります。このプロセスはウイルスではありません。lsass.exeはMicrosoftによって作成され、Windowsに組み込まれたコアシステム「ローカルセキュリティ機関プロセス」です。ただし、copy-catファイルにはいくつかのリスクがあります。詳細については、をお読みください。

ローカルセキュリティ認証として知られていますサーバーの場合、このファイルはWinLogonサービスでユーザーを認証するプロセスを生成します。このプロセスは、デフォルトのmsgina.dllなどの認証パッケージを使用して実行されます。認証が成功すると、lsass.exeはユーザーアクセストークンを生成します。これは、初期シェルの起動に使用されます。ユーザーが開始する他のプロセスは、このトークンを継承します。

プロセスエクスプローラーでlsass.exeを見ると、Windowsで3つのプライマリ認証サービスを処理していることがわかります。

• EFS（暗号化ファイルシステム）
  • 暗号化されたファイルをNTFSファイルシステムボリュームに格納するために使用されるコアファイル暗号化技術を提供します。このサービスが停止または無効になっている場合、アプリケーションは暗号化されたファイルにアクセスできません。
• KeyIso（CNGキー分離）
  • CNGキーの分離はLSAでホストされます処理する。このサービスは、Common Criteriaでの必要に応じて、秘密キーと関連する暗号操作に対するキープロセスの分離を提供します。サービスは、Common Criteriaの要件に準拠した安全なプロセスで、長期間有効なキーを保存および使用します。
• SamSs（セキュリティアカウントマネージャー）
  • このサービスの起動は、他のセキュリティアカウントマネージャー（SAM）が要求を受け入れる準備ができているサービス。このサービスを無効にすると、SAMの準備ができたときにシステム内の他のサービスに通知されなくなり、その結果、これらのサービスが正しく開始できなくなる場合があります。このサービスは無効にしないでください。

lsass.exeによって処理されるのは、ローカルIPSECポリシーです。これにより、ISAKMP / Oakley（IKE）およびWindows ServerのIPセキュリティドライバーが管理および起動されます。

脆弱性

セキュリティ上の注意として、このプロセスは安全です。 ただし、copy-catウイルスはシステムに感染することが知られています。主に、悪意のあるプロセスの名前はisass.exe（Isass.exe = bad）で、Lsass.exe（lsass.exe = good）に似ています。プロセスが小文字の「L」ではなく大文字の「i」で始まることがわかった場合は、システムが感染している可能性があります。

これは「いや。exe」は、Sasserワームとして知られるトロイの木馬ウイルスです。ワームの目的は、システムにひそかに感染し、データの収集を開始することです。このウイルスは、入力されたすべてのキーストロークを記録し、特にアカウントのユーザー名、パスワード、クレジットカード番号、および不正な金銭的利益に使用できるその他の機密データを追跡します。コンピュータが感染している場合、このウイルスはMicrosoft Malware Removalツールを使用して除去できます。

幸いなことに、コピーキャットは「assass。exe」ウイルスはここ数年見られませんでした。マイクロソフトは、ウイルスがWindowsに感染することを許可する脆弱性にパッチを当てて以来、長い間パッチを適用しています。このため、システムを常に最新の状態に保つことが重要です。

結論

全体的なlsass。xeは、ログオンセキュリティを制御するデフォルトの起動プロセスです。このプロセスは、Windowsの機能にとって安全で不可欠です。それは軽いシステムフットプリントを持っていますが、Windowsはそれなしでは適切に実行できないため、メモリ使用量は無関係です。お使いのコンピューターが更新プログラムに遅れている場合、copy-catウイルスに感染する可能性がありますが、それでもWindows XP以前を実行していなければ可能性は低いです。