Vad är lsass.exe och varför körs det?

Så du har hittat lsass.exe som körs på ditt Windows-system. Du skulle förmodligen vilja veta om det är ett virus eller om det är något som ska vara där. Vi har goda nyheter. Denna process är inte ett virus, lsass.exe skapades av Microsoft och är ett kärnsystem "Local Security Authority Process" inbyggt i Windows. Det finns dock vissa risker med en kopia-kattfil. För mer information, läs vidare.

Denna fil, känd som den lokala säkerhetsautentiseringsservern, genererar processen som är ansvarig för autentisering av användare i WinLogon-tjänsten. Processen utförs med hjälp av autentiseringspaket som standard msgina.dll. När autentiseringen lyckas genererar lsass.exe ett användaråtkomsttoken, som används för att starta det första skalet. Andra processer som användaren initierar ärver detta token.

En titt på lsass.exe i process explorer visar att den hanterar 3 primära autentiseringstjänster i Windows:

• EFS (Encrypting File System)
  • Tillhandahåller kärnfilskrypteringstekniken som används för att lagra krypterade filer på NTFS-filsystemvolymer. Om den här tjänsten stoppas eller inaktiveras kommer programmet inte att kunna komma åt krypterade filer.
• KeyIso (CNG Key Isolation)
  • CNG-nyckelisolering är värd i LSA-processen. Tjänsten tillhandahåller nyckelprocessisolering till privata nycklar och tillhörande kryptografiska operationer enligt kraven i de gemensamma kriterierna. Tjänsten lagrar och använder långlivade nycklar i en säker process som uppfyller kraven för vanliga kriterier.
• SamSs (Security Accounts Manager)
  • Starten av den här tjänsten signalerar andra tjänster att Security Accounts Manager (SAM) är redo att acceptera förfrågningar. Inaktivering av denna tjänst förhindrar att andra tjänster i systemet meddelas när SAM är redo, vilket i sin tur kan orsaka att dessa tjänster misslyckas med att starta korrekt. Den här tjänsten ska inte inaktiveras.

Den lokala IPSEC-policyn hanteras också av lsass.exe. Detta hanterar och startar ISAKMP / Oakley (IKE) och IP-säkerhetsdrivrutinen i Windows Server.

Sårbarhet

På en säkerhetsanvisning är denna process säker. Emellertid har ett kopikatvirus varit känt för att infektera system. I huvudsak heter den skadliga processen isass.exe (Isass.exe = dålig) som ser ut som Lsass.exe (lsass.exe = bra). Om du hittar att processen börjar med ett ”i” i stället för en liten bokstav ”L” är ditt system troligtvis infekterat.

Detta "isass.exe" är ett trojanvirus som kallas Sasser-mask. Syftet med masken är att dölja ditt system hemligt och börja skörda data. Detta virus kommer att logga varje tangenttryckning som skrivs in, och särskilt gå till konton användarnamn, lösenord, kreditkortsnummer och annan känslig information som kan användas för bedräglig ekonomisk vinst. Om du tycker att din dator är infekterad kan detta virus tas bort med hjälp av Verktyg för borttagning av Microsoft Malware.

Lyckligtvis har copycat-isass.exe-viruset inte setts på några år. Microsoft har för länge sedan korrigerat sårbarheten som tillät viruset att infektera Windows. Det är därför det är viktigt att alltid hålla ditt system uppdaterat.

Slutsats

Totalt sett är lsass.xe en standarduppstartprocess som styr loggningssäkerhet. Denna process är säker och avgörande för Windows funktion. Det har ett lätt systemavtryck men dess minnesanvändning är irrelevant eftersom Windows inte kan köra ordentligt utan den. Om din dator står bakom uppdateringar finns det en chans att du kan smittas av ett copy-cat-virus, men även då är det osannolikt om du fortfarande kör Windows XP eller tidigare.