Vad är lsass.exe och varför går det?
Känd som den lokala säkerhetsautentiseringsservern, genererar den här filen processen som är ansvarig för att autentisera användare i WinLogon-tjänsten. Processen utförs med hjälp av autentiseringspaket som standard msgina.dll. När autentisering är framgångsrikt genererar lsass.exe ett användaråtkomsttoken, som används för att starta det ursprungliga skalet. Andra processer som användaren initierar ärver den här token.
En titt på lsass.exe i processutforskaren visar att det hanterar 3 primära autentiseringstjänster i Windows:
- EFS (Encrypting File System)
- Ger den centrala filkrypteringstekniken som används för att lagra krypterade filer på volymer i NTFS-filsystem. Om den här tjänsten är stoppad eller inaktiverad kommer programmet inte att få tillgång till krypterade filer.
- KeyIso (CNG Key Isolation)
- CNG-nyckelisoleringen är värd i LSA-processen. Tjänsten tillhandahåller nyckelprocessisolering till privata nycklar och tillhörande kryptografiska operationer enligt vad som krävs enligt de gemensamma kriterierna. Tjänsten lagrar och använder långlivade nycklar i en säker process som uppfyller kraven på gemensamma kriterier.
- SamSs (Security Accounts Manager)
- Uppstarten av den här tjänsten signalerar andra tjänster som Säkerhetskontonhanteraren (SAM) är redo att acceptera förfrågningar. Om du avaktiverar den här tjänsten kommer du att förhindra att andra tjänster i systemet anmäls när SAM är klart, vilket i sin tur kan leda till att dessa tjänster inte startar korrekt. Den här tjänsten ska inte inaktiveras.
Också hanteras av lsass.exe är den lokala IPSEC Policy. Detta hanterar och startar ISAKMP / Oakley (IKE) och IP-säkerhetsdrivrutinen i Windows Server.
Sårbarhet
På en säkerhetsanvisning är denna process säker. Men ett kopikatavirus har varit känt för att infektera system. Övervägande är den skadliga processen heter isass.exe (Isass.exe = bad) som liknar Lsass.exe (lsass.exe = good). Om du tycker att processen börjar med en kapital "i" istället för ett mindrefall "L" så är ditt system troligt infekterat.
Denna "isass.exe" är ett trojansk virus som kallas Sasser-ormen. Syftet med masken är att smitta infektera ditt system och börja skörda data. Det här viruset loggar varje tangenttryckning, och särskilt efter användarnamn, lösenord, kreditkortsnummer och annan känslig data som kan användas för bedräglig ekonomisk vinst. Om du upptäcker att din dator är infekterad kan det här viruset flyttas med hjälp av Microsoft Malware Removal-verktyget.
Lyckligtvis har copycat-isass.exe-viruset inte sett på några år. Microsoft har sedan länge patchat sårbarheten som gjorde det möjligt för viruset att infektera Windows. Därför är det viktigt att du alltid håller ditt system uppdaterat.
Slutsats
Övergripande lsass.xe är en standard startprocess som kontrollerar inloggningssäkerhet. Denna process är säker och nödvändig för Windows-funktionen. Det har ett ljust systemavtryck, men dess minnesanvändning är irrelevant eftersom Windows inte kan köras ordentligt utan det. Om datorn ligger bakom uppdateringar finns det en chans att du kan bli smittad med ett kopikatavirus, men även då är det osannolikt om du fortfarande kör Windows XP eller tidigare.