Co je lsass.exe a proč je spuštěný?

Zjistili jste tedy, že ve vašem systému Windows běží lsass.exe. Pravděpodobně byste chtěli vědět, jestli se jedná o virus nebo o něco, co by tam mělo být. Máme dobré zprávy. Tento proces není virem, lsass.exe byl vytvořen společností Microsoft a jedná se o základní systém „Local Security Authority Process“ zabudovaný do Windows. Existují však určitá rizika, která se týkají souboru copy-cat. Pro více informací čtěte dále.

Tento soubor, známý jako místní ověřovací server zabezpečení, generuje proces zodpovědný za ověřování uživatelů ve službě WinLogon. Tento proces se provádí pomocí ověřovacích balíčků, jako je výchozí msgina.dll. Když je ověření úspěšné, lsass.exe vygeneruje token přístupu uživatele, který se používá ke spuštění úvodního shellu. Ostatní procesy, které uživatel iniciuje, zdědí tento token.

Pohled na prohlížeč lsass.exe v procesu odhaluje, že zpracovává 3 primární autentizační služby ve Windows:

• EFS (Encrypting File System)
  • Poskytuje technologii šifrování základních souborů používanou k ukládání šifrovaných souborů na svazky systému souborů NTFS. Pokud je tato služba zastavena nebo deaktivována, aplikace nebude mít přístup k šifrovaným souborům.
• KeyIso (izolace klíčů CNG)
  • Izolace klíče CNG je hostována v procesu LSA. Služba poskytuje izolaci klíčového procesu soukromým klíčům a související kryptografické operace, jak to vyžadují společná kritéria. Služba ukládá a používá klíče s dlouhou životností v bezpečném procesu v souladu s požadavky Common Criteria.
• SamSs (správce bezpečnostních účtů)
  • Spuštění této služby signalizuje další služby, které je správce účtů zabezpečení (SAM) připraven přijímat požadavky. Deaktivace této služby zabrání tomu, aby ostatní služby v systému byly upozorňovány, až bude SAM připraven, což může zase způsobit, že se tyto služby nebudou správně spustit. Tato služba by neměla být deaktivována.

Také zpracovává lsass.exe je místní zásady IPSEC. To řídí a spouští ISAKMP / Oakley (IKE) a ovladač zabezpečení IP v systému Windows Server.

Zranitelnost

V poznámce zabezpečení je tento proces bezpečný. Je však známo, že virus kopií kočky infikuje systémy. Převážně je škodlivý proces pojmenován isass.exe (Isass.exe = špatný), který vypadá podobně jako Lsass.exe (lsass.exe = dobrý). Pokud zjistíte, že proces začíná velkým písmenem „i“ místo malých písmen „L“, je váš systém pravděpodobně infikován.

Tento „isass.exe“ je trojský virus známý jako červ Sasser. Účelem červu je tajně infikovat váš systém a začít sbírat data. Tento virus bude zaznamenávat každý stisknutý stisk klávesy, a zejména bude následovat uživatelská jména účtu, hesla, čísla kreditních karet a další citlivá data, která mohou být použita pro podvodný finanční zisk. Pokud zjistíte, že je váš počítač napaden, je tento virus odstranitelný pomocí Nástroj pro odstranění škodlivého softwaru společnosti Microsoft.

Naštěstí copycat virus „isass.exe“ nebyl za pár let vidět. Společnost Microsoft již dávno opravila zranitelnost, která viru umožnila infikovat Windows. Z tohoto důvodu je důležité neustále aktualizovat systém.

Závěr

Celkově je lsass.xe výchozí spouštěcí proces, který řídí zabezpečení přihlášení. Tento proces je bezpečný a nezbytný pro fungování systému Windows. Má lehký systémový půdorys, jeho využití paměti je však irelevantní, protože bez něj Windows nemůže správně fungovat. Pokud váš počítač zaostává s aktualizacemi, je pravděpodobné, že byste se mohli nakazit virem s kopií kočky, ale i tak je nepravděpodobné, pokud stále nepoužíváte systém Windows XP nebo dřívější.