Čo je lsass.exe a prečo je spustený?

Takže ste našli lsass.exe bežiaci na vašom systéme Windows. Pravdepodobne by ste chceli vedieť, či sa jedná o vírus, alebo či by to malo byť niečo také. Máme dobré správy. Tento proces nie je vírusom, lsass.exe bol vytvorený spoločnosťou Microsoft a je jadrom systému „Local Security Authority Process“ zabudovaného do Windows. Existujú však určité riziká týkajúce sa súboru s kópiou mačky. Viac informácií nájdete ďalej.

lsass.exe v operačnom systéme Windows 7

Známy ako miestne bezpečnostné overenieTento server generuje proces zodpovedný za autentifikáciu používateľov v službe WinLogon. Tento proces sa vykonáva pomocou autentifikačných balíkov, ako je predvolený msgina.dll. Keď je autentifikácia úspešná, lsass.exe vygeneruje token prístupu používateľa, ktorý sa používa na spustenie počiatočného shellu. Ostatné procesy, ktoré užívateľ iniciuje, zdedia tento token.

Pohľad na lsass.exe v procese prieskumníka odhaľuje, že spracováva 3 služby primárneho overovania v systéme Windows:

  • EFS (Encrypting File System)
    • Poskytuje technológiu šifrovania základných súborov, ktorá sa používa na ukladanie šifrovaných súborov na zväzky súborového systému NTFS. Ak je táto služba zastavená alebo zakázaná, aplikácia nebude mať prístup k šifrovaným súborom.
  • KeyIso (izolácia kľúča CNG)
    • Izolácia kľúča CNG je hostená v LSAproces. Táto služba poskytuje izoláciu kľúčového procesu pre súkromné ​​kľúče a súvisiace kryptografické operácie, ako to vyžadujú spoločné kritériá. Služba ukladá a používa kľúče s dlhou životnosťou v bezpečnom procese, ktorý je v súlade s požiadavkami Common Criteria.
  • SamSs (správca bezpečnostných účtov)
    • Spustenie tejto služby signalizuje inéslužby, ktoré je manažér bezpečnostných účtov (SAM) pripravený prijímať žiadosti. Zakázanie tejto služby zabráni tomu, aby boli ostatné služby v systéme upozorňované, keď je služba SAM pripravená, čo môže následne spôsobiť správne zlyhanie týchto služieb. Táto služba by sa nemala deaktivovať.

Tiež rieši lsass.exe je miestna politika IPSEC. To riadi a spúšťa ISAKMP / Oakley (IKE) a ovládač zabezpečenia IP v systéme Windows Server.

zraniteľnosť

V prípade bezpečnostnej poznámky je tento proces bezpečný. Je však známe, že vírus kópie mačky infikuje systémy. Škodlivý proces sa prevažne nazýva isass.exe (Isass.exe = bad), ktorý vyzerá podobne ako Lsass.exe (lsass.exe = good). Ak zistíte, že proces začína veľkým písmenom „i“ namiesto malých písmen „L“, váš systém je pravdepodobne infikovaný.

Toto „isass“.exe ”je trójsky vírus známy ako červ Sasser. Účelom červa je skryté infikovanie systému a začatie zberu údajov. Tento vírus zaznamená každé zadané stlačenie klávesu, a to najmä po používateľských menách účtu, heslách, číslach kreditných kariet a ďalších citlivých údajoch, ktoré sa môžu použiť na podvodný finančný zisk. Ak zistíte, že je počítač napadnutý, tento vírus je možné odstrániť pomocou nástroja na odstránenie škodlivého softvéru spoločnosti Microsoft.

Našťastie copycat “isass.exe ”vírus nebol videný za pár rokov. Spoločnosť Microsoft už dávno opravila zraniteľnosť, ktorá vírusu umožnila infikovať Windows. Preto je dôležité neustále aktualizovať váš systém.

záver

Celkový lsass.xe je predvolený proces spúšťania, ktorý riadi bezpečnosť prihlásenia. Tento proces je bezpečný a nevyhnutný pre fungovanie systému Windows. Má ľahký systémový pôdorys, jeho využitie pamäte je však irelevantné, pretože systém Windows bez neho nemôže správne fungovať. Ak je váš počítač pozadu na aktualizáciách, je pravdepodobné, že by ste sa mohli nakaziť vírusom kópie-mačky, ale aj tak to nie je pravdepodobné, pokiaľ stále nepoužívate Windows XP alebo skôr.

1

Podobné články

Zanechať komentár