Що таке lsass.exe і чому він працює?

Отже, ви знайшли lsass.працює на вашій системі Windows. Ви, мабуть, хотіли б знати, чи це вірус, чи це щось, що повинно бути там. Що ж, у нас є хороші новини. Цей процес не є вірусом, lsass.exe був створений корпорацією Майкрософт і є основною системою «Місцевий орган управління безпекою», вбудованою в Windows. Однак існують певні ризики, що стосуються файлу copy-cat. Детальніше читайте далі.

Відомий як локальна автентифікація безпекисервер, цей файл генерує процес, відповідальний за автентифікацію користувачів у сервісі WinLogon. Процес виконується за допомогою пакетів аутентифікації, таких як msgina.dll за замовчуванням. Коли аутентифікація успішна, lsass.exe генерує маркер доступу користувача, який використовується для запуску початкової оболонки. Інші процеси, які ініціює користувач, успадковують цей маркер.

Погляд на lsass.exe в провіднику процесів виявляє, що він обробляє 3 основні послуги аутентифікації в Windows:

• EFS (шифрування файлової системи)
  • Забезпечує технологію шифрування основних файлів, що використовується для зберігання зашифрованих файлів у томах файлової системи NTFS. Якщо цю послугу буде зупинено або вимкнено, програма не зможе отримати доступ до зашифрованих файлів.
• KeyIso (ізоляція ключа CNG)
  • Ізоляція ключа CNG розміщується в LSAпроцес. Служба забезпечує ізоляцію ключових процесів приватними ключами та пов'язаними з ними криптографічними операціями відповідно до загальних критеріїв. Служба зберігає та використовує довговічні ключі у захищеному процесі, що відповідає вимогам загальних критеріїв.
• SamSs (менеджер облікових записів безпеки)
  • Запуск цієї послуги сигналізує про іншихпослуги, які менеджер облікових записів безпеки (SAM) готовий приймати запити. Якщо вимкнути цю послугу, інші служби в системі не будуть отримувати повідомлення, коли SAM буде готовий, що, в свою чергу, може призвести до неправильного запуску цих служб. Ця служба не повинна бути відключена.

Також обробляє lsass.exe локальна політика IPSEC. Це керує і запускає ISAKMP / Oakley (IKE) та драйвер безпеки IP в Windows Server.

Уразливість

Щодо безпеки, цей процес є безпечним. Однак, як відомо, вірус копіювальної кішки заражає системи. Зловмисний процес здебільшого називається isass.exe (Isass.exe = погано), схожий на Lsass.exe (lsass.exe = добре). Якщо ви виявите, що процес починається з великої літери "i" замість малого регістру "L", то ваша система, ймовірно, заражена.

Це “питання.exe ”- троянський вірус, відомий як глист Сассер. Мета хробака - приховано заразити вашу систему і почати збирання даних. Цей вірус буде реєструвати кожне натискання клавіш, зокрема, імена користувачів, паролів, номерів кредитних карток та інших конфіденційних даних, які можна використовувати для шахрайських фінансових вигод. Якщо ви виявили, що ваш комп'ютер заражений, цей вірус можна видалити за допомогою інструмента видалення шкідливих програм Microsoft.

На щастя, копія "isass.exe ”вірус не було помічено протягом декількох років. Microsoft давно виправляє вразливість, яка дозволила вірусу заразити Windows. Ось чому важливо постійно оновлювати вашу систему.

Висновок

Загальний lsass.xe - це процес запуску за замовчуванням, який контролює безпеку журналу. Цей процес є безпечним і важливим для функції Windows. Він має легкий системний слід, однак його використання пам'яті не має значення, оскільки Windows не може нормально працювати без нього. Якщо ваш комп'ютер відстає від оновлень, є ймовірність, що ви можете заразитися вірусом копіювального кота, але навіть тоді це малоймовірно, якщо ви все ще не працюєте з Windows XP або раніше.