Vad är lsass.exe och varför körs det?

Så du har hittat lsass.exe som körs på ditt Windows-system. Du skulle förmodligen vilja veta om det är ett virus eller om det är något som ska vara där. Vi har goda nyheter. Denna process är inte ett virus, lsass.exe skapades av Microsoft och är ett kärnsystem "Local Security Authority Process" inbyggt i Windows. Det finns dock vissa risker med en kopia-kattfil. För mer information, läs vidare.

Känd som lokal säkerhetsverifieringserver, den här filen genererar processen som är ansvarig för att autentisera användare i WinLogon-tjänsten. Processen utförs med hjälp av autentiseringspaket som standard msgina.dll. När autentiseringen lyckas genererar lsass.exe ett användaråtkomsttoken som används för att starta det första skalet. Andra processer som användaren initierar ärver detta token.

En titt på lsass.exe i process explorer visar att den hanterar 3 primära autentiseringstjänster i Windows:

• EFS (Encrypting File System)
  • Tillhandahåller kärnfilskrypteringstekniken som används för att lagra krypterade filer på NTFS-filsystemvolymer. Om den här tjänsten stoppas eller inaktiveras kommer applikationen inte att kunna komma åt krypterade filer.
• KeyIso (CNG Key Isolation)
  • CNG-nyckelisolering är värd i LSAbearbeta. Tjänsten tillhandahåller nyckelprocessisolering till privata nycklar och tillhörande kryptografiska operationer enligt kraven i de gemensamma kriterierna. Tjänsten lagrar och använder långlivade nycklar i en säker process som uppfyller kraven för vanliga kriterier.
• SamSs (Security Accounts Manager)
  • Starten av denna tjänst signalerar andratjänster som Security Accounts Manager (SAM) är redo att acceptera förfrågningar. Inaktivering av den här tjänsten förhindrar att andra tjänster i systemet meddelas när SAM är redo, vilket i sin tur kan leda till att dessa tjänster misslyckas med att starta korrekt. Den här tjänsten ska inte inaktiveras.

Den lokala IPSEC-policyn hanteras också av lsass.exe. Detta hanterar och startar ISAKMP / Oakley (IKE) och IP-säkerhetsdrivrutinen i Windows Server.

Sårbarhet

På en säkerhetsanvisning är denna process säker. Emellertid har ett kopia-kattvirus varit känt för att infektera system. I huvudsak heter den skadliga processen isass.exe (Isass.exe = dålig) som ser ut som Lsass.exe (lsass.exe = bra). Om du hittar att processen börjar med ett ”i” i stället för en liten bokstav ”L” är ditt system troligtvis infekterat.

Denna "isass.exe ”är ett trojanvirus som kallas Sasser-mask. Syftet med masken är att dölja ditt system hemligt och börja skörda data. Detta virus kommer att logga varje tangenttryckning som skrivs in, och särskilt gå till konton användarnamn, lösenord, kreditkortsnummer och annan känslig information som kan användas för bedräglig ekonomisk vinst. Om du upptäcker att din dator är infekterad kan detta virus tas bort med verktyget Microsoft Malware Removal.

Lyckligtvis är copycat ”isass.exe-virus har inte setts på några år. Microsoft har för länge sedan korrigerat sårbarheten som tillät viruset att infektera Windows. Det är därför det är viktigt att alltid hålla ditt system uppdaterat.

Slutsats

Övergripande lsass.xe är en standarduppstartsprocess som styr loggningssäkerhet. Denna process är säker och avgörande för Windows funktion. Det har ett lätt systemavtryck men minnesanvändningen är irrelevant eftersom Windows inte kan köra ordentligt utan den. Om din dator står bakom uppdateringar finns det en chans att du kan smittas av ett copy-cat-virus, men även då är det osannolikt om du fortfarande kör Windows XP eller tidigare.