Vad är lsass.exe och varför går det?
Så du har hittat lsass.exe som körs på ditt Windows-system. Du skulle nog vilja veta om det är ett virus, eller om det är något som ska vara där. Tja, vi har goda nyheter. Denna process är inte ett virus, lsass.exe skapades av Microsoft och är ett kärnsystem "Local Security Authority Process" som är inbyggd i Windows. Det finns emellertid vissa risker med en kopikattfil. För mer information läs vidare.
Känd som den lokala säkerhetsautentiseringsservern, genererar den här filen processen som är ansvarig för att autentisera användare i WinLogon-tjänsten. Processen utförs med hjälp av autentiseringspaket som standard msgina.dll. När autentisering är framgångsrikt genererar lsass.exe ett användaråtkomsttoken, som används för att starta det ursprungliga skalet. Andra processer som användaren initierar ärver denna token.
En titt på lsass.exe i processutforskaren visar att det hanterar 3 primära autentiseringstjänster i Windows:
- EFS (Encrypting File System)
- Ger den centrala filkrypteringstekniken som används för att lagra krypterade filer på volymer i NTFS-filsystem. Om den här tjänsten är stoppad eller inaktiverad kommer programmet inte att få tillgång till krypterade filer.
- KeyIso (CNG Key Isolation)
- CNG-nyckelisoleringen är värd i LSA-processen. Tjänsten tillhandahåller nyckelprocessisolering till privata nycklar och tillhörande kryptografiska operationer enligt vad som krävs enligt de gemensamma kriterierna. Tjänsten lagrar och använder långlivade nycklar i en säker process som uppfyller kraven på gemensamma kriterier.
- SamSs (Security Accounts Manager)
- Uppstarten av denna tjänst signalerar andra tjänster som Security Account Manager (SAM) är redo att acceptera förfrågningar. Om du avaktiverar den här tjänsten kommer du att förhindra att andra tjänster i systemet anmäls när SAM är klart, vilket i sin tur kan leda till att dessa tjänster inte startar korrekt. Den här tjänsten bör inte inaktiveras.
Också hanteras av lsass.exe är den lokala IPSEC Policy. Detta hanterar och startar ISAKMP / Oakley (IKE) och IP-säkerhetsdrivrutinen i Windows Server.
Sårbarhet
På en säkerhetsanmälan är denna process säker. Men ett kopikatavirus har varit känt för att infektera system. Övervägande är den skadliga processen heter isass.exe (Isass.exe = bad) som liknar Lsass.exe (lsass.exe = good). Om du tycker att processen börjar med en kapital "i" istället för ett mindrefall "L" så är ditt system troligt smittat.
Denna "isass.exe" är ett trojansk virus som kallas Sasser-ormen. Syftet med masken är att dölja ditt system och börja skörda data. Det här viruset loggar varje tangenttryckning, och särskilt efter användarnamn, lösenord, kreditkortsnummer och annan känslig data som kan användas för bedräglig ekonomisk vinst. Om du upptäcker att din dator är infekterad kan det här viruset flyttas med hjälp av Microsoft Malware Removal-verktyget.
Lyckligtvis har copycat-isass.exe-viruset inte sett på några år. Microsoft har sedan länge patchat sårbarheten som gjorde det möjligt för viruset att infektera Windows. Därför är det viktigt att du alltid håller ditt system uppdaterat.
Slutsats
Övergripande lsass.xe är en standard startprocess som kontrollerar inloggningssäkerhet. Denna process är säker och nödvändig för Windows-funktionen. Det har ett ljust systemavtryck, men dess minnesanvändning är irrelevant eftersom Windows inte kan köras ordentligt utan det. Om datorn ligger bakom uppdateringar finns det en chans att du kan bli smittad med ett kopikattvirus, men även då är det osannolikt om du fortfarande kör Windows XP eller tidigare.