Hva er lsass.exe og hvorfor går det?
Så du har funnet lsass.exe som kjører på Windows-systemet. Du vil nok vite om det er et virus, eller hvis det er noe som skal være der. Vel, vi har gode nyheter. Denne prosessen er ikke et virus, lsass.exe ble opprettet av Microsoft og er et kjernesystem "Local Security Authority Process" innebygd i Windows. Det er imidlertid noen risiko for en kopikatabase. For flere detaljer les videre.
Kjent som den lokale sikkerhetsautentiseringsserveren, genererer denne filen prosessen som er ansvarlig for godkjenning av brukere i WinLogon-tjenesten. Prosessen utføres ved hjelp av autentiseringspakker som standard msgina.dll. Når autentisering er vellykket, genererer lsass.exe et brukertilgangstoken, som brukes til å starte det opprinnelige skallet. Andre prosesser som brukeren initierer arver dette token.
En titt på lsass.exe i prosessutforskeren avslører at den håndterer 3 primære autentiseringstjenester i Windows:
- EFS (krypteringsfilsystem)
- Gir kjernefilkrypteringsteknologi som brukes til å lagre krypterte filer på NTFS-filsystemvolumer. Hvis denne tjenesten er stoppet eller deaktivert, vil programmet ikke kunne få tilgang til krypterte filer.
- KeyIso (CNG Key Isolation)
- CNG-nøkkelisolasjonen er vert i LSA-prosessen. Tjenesten gir nøkkelprosessisolering til private nøkler og tilhørende kryptografiske operasjoner som kreves av de vanlige kriteriene. Tjenesten lagrer og bruker langlivede nøkler i en sikker prosess som oppfyller kravene til felles kriterier.
- SamSs (Security Accounts Manager)
- Oppstart av denne tjenesten signalerer andre tjenester som Security Accounts Manager (SAM) er klar til å akseptere forespørsler. Deaktivering av denne tjenesten hindrer at andre tjenester i systemet blir varslet når SAM er klar, noe som igjen kan føre til at tjenestene mislykkes i å starte riktig. Denne tjenesten skal ikke deaktiveres.
Også håndtert av lsass.exe er den lokale IPSEC-policyen. Dette styrer og starter ISAKMP / Oakley (IKE) og IP-sikkerhetsdriveren i Windows Server.
sårbarhet
På sikkerhetsnota er denne prosessen sikker. Imidlertid har et kopikatavirus vært kjent for å infisere systemer. Overveiende er den ondsinnede prosessen kalt isass.exe (Isass.exe = dårlig) som ligner Lsass.exe (lsass.exe = good). Hvis du finner prosessen starter med en hovedstad "jeg" i stedet for et små bokstav "L", er systemet sannsynligvis infisert.
Denne "isass.exe" er et trojansk virus kjent som Sasser-ormen. Formålet med ormen er å skjule systemet ditt og begynne å hente data. Dette viruset logger hver tastetrykk skrevet, og spesielt går etter kontoen brukernavn, passord, kredittkortnumre og andre sensitive data som kan brukes til svindel økonomisk gevinst. Hvis du finner at datamaskinen er infisert, er dette viruset flyttbart ved hjelp av Microsoft Malware Removal-verktøyet.
Heldigvis har copycat "isass.exe" viruset ikke blitt sett på noen få år. Microsoft har lenge siden patched sikkerhetsproblemet som tillot viruset å infisere Windows. Derfor er det viktig å alltid holde systemet oppdatert.
Konklusjon
Samlet lsass.xe er en standard oppstartsprosess som kontrollerer logginsikkerhet. Denne prosessen er sikker og viktig for funksjonen til Windows. Det har et lett systemfotavtrykk, men det er ikke noe minnebruk fordi Windows ikke kan kjøre riktig uten det. Hvis datamaskinen ligger bak oppdateringer, er det en sjanse for at du kan bli smittet med et kopikatavirus, men selv da er det lite sannsynlig at du ikke kjører Windows XP eller tidligere.