Какво е lsass.exe и защо се изпълнява?

Така че открихте, че lsass.exe работи на вашата Windows система. Вероятно бихте искали да знаете дали това е вирус или е нещо, което трябва да е там. Е, имаме добри новини. Този процес не е вирус, lsass.exe е създаден от Microsoft и представлява основна система „Местен процес на местна сигурност”, вградена в Windows. Съществуват обаче някои рискове от файла с копие-котка. За повече подробности прочетете на.

Известен като локалния сървър за удостоверяване на сигурността, този файл генерира процеса, отговорен за удостоверяването на потребителите в услугата WinLogon. Процесът се извършва с помощта на пакети за удостоверяване, като например по подразбиране msgina.dll. Когато удостоверяването е успешно, lsass.exe генерира потребителски маркер за достъп, който се използва за стартиране на първоначалната обвивка. Други процеси, които потребителят инициира, наследяват този маркер.

Преглед на lsass.exe в изследовател на процеси разкрива, че той обработва 3 основни услуги за удостоверяване в Windows:

• EFS (Шифроване на файлова система)
  • Предоставя технологията за кодиране на основните файлове, използвана за съхраняване на криптирани файлове в томовете на файловата система на NTFS. Ако тази услуга бъде спряна или деактивирана, приложението няма да има достъп до криптирани файлове.
• KeyIso (изолация на ключ за CNG)
  • Изолацията на ключове за CNG се провежда в процеса на LSA. Услугата осигурява изолиране на ключови процеси на частни ключове и свързаните с тях криптографски операции, както се изисква от Общите критерии. Услугата съхранява и използва дълготрайни ключове в защитен процес, отговарящ на изискванията на Общите критерии.
• SamSs (Мениджър на акаунти за сигурност)
  • Стартирането на тази услуга сигнализира за други услуги, че Мениджърът на акаунти за сигурност (SAM) е готов да приеме заявки. Деактивирането на тази услуга ще попречи на други услуги в системата да бъдат известявани, когато SAM е готов, което от своя страна може да доведе до неуспешно стартиране на тези услуги. Тази услуга не трябва да бъде деактивирана.

Също така се обработва от lsass.exe е местната политика на IPSEC. Това управлява и стартира ISAKMP / Oakley (IKE) и драйвера за защита на IP в Windows Server.

уязвимост

Забележка за сигурност този процес е безопасен. Известно е обаче, че вирусът с копие-котка заразява системите. Преобладаващо злонамереният процес носи името isass.exe (Isass.exe = лошо), което изглежда подобно на Lsass.exe (lsass.exe = добро). Ако откриете, че процесът започва с главно „i“, вместо с малки букви „L“, вероятно системата ви е заразена.

Този „isass.exe“ е троянски вирус, известен като червей Sasser. Целта на червея е скрито заразяване на вашата система и започване на събиране на данни. Този вирус ще регистрира всяко натискане на клавиш и по-специално ще се грижи за потребителски имена, пароли, номера на кредитни карти и други чувствителни данни, които могат да бъдат използвани за измамна финансова печалба. Ако откриете, че компютърът ви е заразен, този вирус може да бъде премахнат с помощта на Инструмент за премахване на зловреден софтуер на Microsoft.

За щастие вирусът copycat “isass.exe” не е бил видян от няколко години. Microsoft отдавна закърпи уязвимостта, която позволи на вируса да зарази Windows. Ето защо е важно винаги да поддържате актуализирана вашата система.

заключение

Като цяло lsass.xe е процес на стартиране по подразбиране, който контролира влизането в сигурността. Този процес е безопасен и съществен за функцията на Windows. Той има лек отпечатък на системата, но използването на паметта му е без значение, тъй като Windows не може да работи правилно без него. Ако компютърът ви изостава при актуализации, има вероятност да се заразите с вирус на copy-cat, но дори и тогава е малко вероятно, ако все още не използвате Windows XP или по-рано.