Mis on lsass.exe ja miks see töötab?

Nii olete leidnud, et lsass.exe töötab teie Windowsi süsteemis. Tõenäoliselt tahaksite teada saada, kas see on viirus või on see midagi sellist, mida väidetavalt seal leidub. Noh, meil on häid uudiseid. See protsess ei ole viirus, lsass.exe lõi Microsoft ja see on Windowsi sisseehitatud põhisüsteem „Local Security Authority Process”. Kopeerimisfaili puhul on siiski mõned riskid. Lisateavet leiate siit.

Kohaliku turbe autentimise serverina tuntud fail genereerib protsessi, mis vastutab WinLogoni teenuse kasutajate autentimise eest. Protsess viiakse läbi autentimispakettide, näiteks vaikimisi msgina.dll, abil. Kui autentimine õnnestub, genereerib lsass.exe kasutaja juurdepääsu loa, mida kasutatakse algse kesta käivitamiseks. Muud protsessid, mille kasutaja käivitab, pärandavad selle märgi.

Vaadates protsessi uurija lsass.exe, selgub, et see haldab Windowsi 3 peamist autentimisteenust:

• EFS (failisüsteemi krüptimine)
  • Pakub põhifailide krüptimistehnoloogiat, mida kasutatakse krüptitud failide salvestamiseks NTFS-failisüsteemi köites. Kui see teenus peatatakse või keelatakse, ei pääse rakendus krüptitud failidele juurde.
• KeyIso (CNG võtme eraldamine)
  • CNG-võtmete eraldamine toimub LSA protsessis. Teenus pakub privaatvõtmete võtmeprotsesside eraldamist ja nendega seotud krüptograafilisi toiminguid, nagu on nõutud ühistes kriteeriumides. Teenus salvestab ja kasutab pikaealisi võtmeid turvalises protsessis, mis vastab ühiste kriteeriumide nõuetele.
• SamSs (turvakontode haldur)
  • Selle teenuse käivitamine annab teistele teenustele märku, et turbekontode haldur (SAM) on valmis taotlusi vastu võtma. Selle teenuse keelamine takistab süsteemi teiste teenuste teavitamist, kui SAM on valmis, mis võib omakorda põhjustada nende teenuste korrektse käivituse. Seda teenust ei tohiks keelata.

Lsass.exe haldab ka kohalikku IPSEC-poliitikat. See haldab ja käivitab Windows Serveris ISAKMP / Oakley (IKE) ja IP-turbe draiveri.

Haavatavus

Turvamärkusel on see protsess ohutu. Siiski on teada, et koopiaviirus nakatab süsteeme. Valdavalt kannab pahatahtlik protsess nime isass.exe (Isass.exe = halb), mis näeb välja sarnane Lsass.exe-ga (lsass.exe = hea). Kui leiate, et protsess algab väiketähtede "L" asemel suurtähega "i", on teie süsteem tõenäoliselt nakatunud.

See isass.exe on trooja viirus, mida tuntakse ussi Sasser nime all. Ussi eesmärk on teie süsteemi varjatud nakatamine ja andmete kogumise alustamine. See viirus logib sisse kõik sisestatud klahvivajutused ja eriti pärast konto kasutajanimesid, paroole, krediitkaardinumbreid ja muid tundlikke andmeid, mida saab kasutada pettuse saamiseks rahaliselt. Kui leiate, et teie arvuti on nakatunud, on see viirus eemaldatav, kasutades Microsofti pahavara eemaldamise tööriist.

Õnneks pole copycat “isass.exe” viirust paari aasta jooksul nähtud. Microsoft on juba ammu parandanud haavatavust, mis võimaldas viirusel Windowsi nakatada. Seetõttu on oluline oma süsteemi alati ajakohastada.

Järeldus

Üldiselt on lsass.xe vaikimisi käivitamisprotsess, mis kontrollib sisselogimise turvalisust. See protsess on ohutu ja Windowsi funktsioneerimiseks hädavajalik. Sellel on vähe süsteemi jalajälge, kuid selle mälukasutus pole oluline, kuna Windows ei saa ilma selleta korralikult töötada. Kui teie arvuti on värskenduste taga, on võimalus nakatuda copy-cat viirusesse, kuid isegi siis on see ebatõenäoline, kui te endiselt ei kasuta Windows XP või varasemat.