Kaj je lsass.exe in zakaj deluje?

Tako ste našli sistem lsass.exe, ki deluje v sistemu Windows. Verjetno bi radi vedeli, ali gre za virus ali če naj bi šlo tam. No, imamo dobre novice. Ta postopek ni virus, lsass.exe je ustvaril Microsoft in je osrednji sistem “Local Security Authority Process”, vgrajen v Windows. Vendar pa obstaja nekaj datotek s kopijo-mačka. Za več podrobnosti preberite dalje.

Ta datoteka, znana kot lokalni strežnik za preverjanje pristnosti, ustvari postopek, ki je odgovoren za preverjanje pristnosti uporabnikov v storitvi WinLogon. Postopek se izvaja z uporabo paketov za preverjanje pristnosti, kot je privzeti msgina.dll. Ko je preverjanje pristnosti uspešno, lsass.exe ustvari žeton za dostop uporabnika, ki se uporablja za zagon začetne lupine. Drugi procesi, ki jih uporabnik iniciira, podedujejo ta žeton.

Pogled na lsass.exe v procesorju razkrije, da v operacijskem sistemu Windows deluje 3 primarne avtentikacijske storitve:

• EFS (šifriranje datotečnega sistema)
  • Ponuja tehnologijo šifriranja jedrnih datotek, ki se uporablja za shranjevanje šifriranih datotek na zvezke datotečnega sistema NTFS. Če je ta storitev ustavljena ali onemogočena, aplikacija ne bo mogla dostopati do šifriranih datotek.
• KeyIso (CNG izolacija ključa)
  • Izolacija ključa CNG se nahaja v postopku LSA. Storitev omogoča izolacijo ključnega procesa z zasebnimi ključi in povezanimi kriptografskimi operacijami, kot to zahtevajo skupna merila. Storitev shranjuje in uporablja dolgožive ključe v varnem postopku, ki ustreza zahtevam skupnih meril.
• SamSs (upravitelj varnostnih računov)
  • Zagon te storitve signalizira druge storitve, da je upravitelj varnostnih računov (SAM) pripravljen sprejeti zahteve. Če onemogočite to storitev, druge storitve v sistemu ne bodo obveščene, ko bo SAM pripravljen, kar lahko posledično povzroči, da se te storitve ne bodo pravilno zagnale. Ta storitev ne sme biti onemogočena.

Lsass.exe obravnava tudi lokalna politika IPSEC. To upravlja in zažene ISAKMP / Oakley (IKE) in varnostni gonilnik IP v operacijskem sistemu Windows Server.

Ranljivost

Po varnostni opombi je ta postopek varen. Vendar pa je znano, da virus kopiranja mačk okuži sisteme. Zlonamerni postopek večinoma nosi ime isass.exe (Isass.exe = slabo), ki je podoben Lsass.exe (lsass.exe = dobro). Če ugotovite, da se postopek začne z veliko začetnico „i“ namesto z malo začetnico „L“, potem je verjetno okužen vaš sistem.

Ta "isass.exe" je trojanski virus, znan kot Sasser črv. Namen glista je prikrito okužiti vaš sistem in začeti zbrati podatke. Ta virus bo beležil vse tipkano tipko, še posebej pa uporabniška imena, gesla, številke kreditnih kartic in druge občutljive podatke, ki jih je mogoče uporabiti za lažne finančne koristi. Če ugotovite, da je vaš računalnik okužen, je virus mogoče odstraniti s pomočjo Microsoftovo orodje za odstranjevanje zlonamerne programske opreme

Na srečo virus copycat "isass.exe" ni bil viden že nekaj let. Microsoft je že davno popravil ranljivost, ki je virusu omogočila, da okuži Windows. Zato je pomembno, da sistem vedno posodabljate.

Zaključek

Na splošno je lsass.xe privzeti postopek zagona, ki nadzoruje varnost pri prijavi. Ta postopek je varen in bistven za delovanje sistema Windows. Ima lahek sistemski odtis, vendar njegova poraba pomnilnika ni pomembna, saj Windows brez nje ne more pravilno delovati. Če vaš računalnik zaostaja za posodobitvami, obstaja možnost, da bi se okužili z virusom copy-cat, vendar je celo malo verjetno, če še vedno ne uporabljate sistema Windows XP ali starejšega.