Wat is lsass.exe en waarom is het actief?

Dus je hebt lsass.exe op je Windows-systeem gevonden. Je zou waarschijnlijk graag willen weten of het een virus is, of dat het iets is dat er zou moeten zijn. Wel, we hebben goed nieuws. Dit proces is geen virus, lsass.exe is gemaakt door Microsoft en is een kernsysteem "Local Security Authority Process" ingebouwd in Windows. Er zijn echter enkele risico's van een copy-cat-bestand. Lees voor meer informatie.

Dit bestand staat bekend als de lokale beveiligingsverificatieserver en genereert het proces dat verantwoordelijk is voor het verifiëren van gebruikers in de WinLogon-service. Het proces wordt uitgevoerd met behulp van authenticatiepakketten, zoals de standaard msgina.dll. Wanneer de authenticatie succesvol is, genereert lsass.exe een gebruikerstoegangstoken, dat wordt gebruikt om de initiële shell te starten. Andere processen die de gebruiker initieert, erven dit token.

Een blik op lsass.exe in process explorer laat zien dat het 3 primaire authenticatieservices in Windows verwerkt:

  • EFS (Encrypting File System)
    • Biedt de coderingstechnologie voor kernbestanden die wordt gebruikt om gecodeerde bestanden op NTFS-volumes van het bestandssysteem op te slaan. Als deze service wordt gestopt of uitgeschakeld, heeft de toepassing geen toegang tot gecodeerde bestanden.
  • KeyIso (CNG Key Isolation)
    • De CNG-sleutelisolatie wordt gehost in het LSA-proces. De service biedt de belangrijkste procesisolatie voor privésleutels en bijbehorende cryptografische bewerkingen zoals vereist door de Common Criteria. De service slaat en bewaart langlevende sleutels in een beveiligd proces dat voldoet aan de Common Criteria-vereisten.
  • SamSs (Security Accounts Manager)
    • Het opstarten van deze service signaleert andere services dat de Security Accounts Manager (SAM) gereed is om verzoeken te accepteren. Als u deze service uitschakelt, voorkomt u dat andere services in het systeem worden gewaarschuwd wanneer SAM klaar is, wat ertoe kan leiden dat die services niet correct kunnen worden gestart. Deze service moet niet worden uitgeschakeld.

Ook behandeld door lsass.exe is het lokale IPSEC-beleid. Hiermee wordt het ISAKMP / Oakley (IKE) en het IP-beveiligingsstuurprogramma in Windows Server beheerd en gestart.

Kwetsbaarheid

Op een beveiligingsnota is dit proces veilig. Het is echter bekend dat een copy-cat-virus systemen infecteert. Over het algemeen heet het schadelijke proces isass.exe (Isass.exe = bad), dat lijkt op Lsass.exe (lsass.exe = goed). Als u merkt dat het proces begint met een hoofdletter "i" in plaats van een kleine letter "L", is uw systeem waarschijnlijk geïnfecteerd.

Dit "isass.exe" is een trojan-virus dat bekend staat als de Sasser-worm. Het doel van de worm is om uw systeem heimelijk te infecteren en met het oogsten van gegevens te beginnen. Dit virus zal elke ingetoetste toetsaanslag registreren, en in het bijzonder gaan na accountgebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige gegevens die kunnen worden gebruikt voor frauduleus financieel gewin. Als u merkt dat uw computer is geïnfecteerd, is dit virus verwijderbaar met behulp van het hulpprogramma Microsoft Malware Removal.

Gelukkig is het "isass.exe" -virus van de copycat in een paar jaar niet meer gezien. Microsoft heeft al lang geleden het beveiligingslek gepatcht waardoor het virus Windows kon infecteren. Daarom is het belangrijk om uw systeem altijd up-to-date te houden.

Conclusie

Algehele lsass.xe is een standaard opstartproces dat de inlogbeveiliging controleert. Dit proces is veilig en essentieel voor de functie van Windows. Het heeft een lichte voetafdruk van het systeem, maar het geheugengebruik is niet relevant, omdat Windows niet goed kan draaien zonder dit. Als uw computer achterloopt op updates, bestaat de kans dat u geïnfecteerd raakt met een copy-cat-virus, maar zelfs dan is het onwaarschijnlijk tenzij u nog steeds Windows XP of eerder gebruikt.