Wat is lsass.exe en waarom is het actief?

Dus je hebt lsass gevonden.exe draait op uw Windows-systeem. U wilt waarschijnlijk weten of het een virus is, of dat het daar hoort te zijn. We hebben goed nieuws. Dit proces is geen virus, lsass.exe is gemaakt door Microsoft en is een in Windows ingebouwd kernsysteem "Local Security Authority Process". Er zijn echter enkele risico's van een copy-cat-bestand. Lees verder voor meer informatie.

Bekend als de lokale beveiligingsverificatieserver, genereert dit bestand het proces dat verantwoordelijk is voor het verifiëren van gebruikers in de WinLogon-service. Het proces wordt uitgevoerd met authenticatiepakketten zoals de standaard msgina.dll. Als de authenticatie succesvol is, genereert lsass.exe een gebruikerstoegangstoken, dat wordt gebruikt om de initiële shell te starten. Andere processen die de gebruiker initieert, nemen dit token over.

Een blik op lsass.exe in procesverkenner onthult dat het 3 primaire authenticatieservices in Windows verwerkt:

• EFS (Encrypting File System)
  • Biedt de kerntechnologie voor bestandscodering die wordt gebruikt om gecodeerde bestanden op NTFS-bestandssysteemvolumes op te slaan. Als deze service is gestopt of uitgeschakeld, heeft de applicatie geen toegang tot versleutelde bestanden.
• KeyIso (CNG-sleutelisolatie)
  • De CNG-sleutelisolatie wordt gehost in de LSAwerkwijze. De service biedt sleutelprocesisolatie voor privésleutels en bijbehorende cryptografische bewerkingen zoals vereist door de Common Criteria. De service bewaart en gebruikt langlevende sleutels in een veilig proces dat voldoet aan de Common Criteria-vereisten.
• SamSs (Security Accounts Manager)
  • Het opstarten van deze service signaleert andereservices waarvan de Security Accounts Manager (SAM) klaar is om verzoeken te accepteren. Als u deze service uitschakelt, wordt voorkomen dat andere services in het systeem worden gewaarschuwd wanneer SAM gereed is, waardoor deze services mogelijk niet correct worden gestart. Deze service mag niet worden uitgeschakeld.

Ook afgehandeld door lsass.exe is het lokale IPSEC-beleid. Dit beheert en start de ISAKMP / Oakley (IKE) en het IP-beveiligingsstuurprogramma in Windows Server.

Kwetsbaarheid

Om veiligheidsredenen is dit proces veilig. Het is echter bekend dat een kopieerkat-virus systemen infecteert. Het kwaadaardige proces heet overwegend isass.exe (Isass.exe = slecht) en lijkt op Lsass.exe (lsass.exe = goed). Als u merkt dat het proces begint met een hoofdletter "i" in plaats van een kleine letter "L", is uw systeem waarschijnlijk geïnfecteerd.

Deze "isass.exe ”is een trojan-virus dat bekend staat als de Sasser-worm. Het doel van de worm is om je systeem heimelijk te infecteren en te beginnen met het verzamelen van gegevens. Dit virus registreert elke ingevoerde toetsaanslag en gaat met name achter gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige gegevens die kunnen worden gebruikt voor frauduleus financieel gewin. Als u merkt dat uw computer is geïnfecteerd, kan dit virus worden verwijderd met behulp van de Microsoft Malware Removal Tool.

Gelukkig is de copycat "isass.exe "virus is al een paar jaar niet meer gezien. Microsoft heeft de kwetsbaarheid waardoor het virus Windows kon infecteren allang hersteld. Daarom is het belangrijk om uw systeem altijd up-to-date te houden.

Gevolgtrekking

Algemeen lsass.xe is een standaard opstartproces dat de aanmeldingsbeveiliging regelt. Dit proces is veilig en essentieel voor de werking van Windows. Het heeft een lichte voetafdruk van het systeem, maar het geheugengebruik is niet relevant omdat Windows zonder dit niet goed kan werken. Als uw computer achterloopt op updates, bestaat de kans dat u geïnfecteerd raakt met een copy-cat-virus, maar zelfs dan is het onwaarschijnlijk tenzij u nog steeds Windows XP of eerder gebruikt.