Che cos'è lsass.exe e perché è in esecuzione?

Quindi hai trovato lsass.exe in esecuzione sul tuo sistema Windows. Probabilmente ti piacerebbe sapere se è un virus o se è qualcosa che dovrebbe essere lì. Bene, abbiamo buone notizie. Questo processo non è un virus, lsass.exe è stato creato da Microsoft ed è un sistema principale "Local Security Authority Process" integrato in Windows. Tuttavia, ci sono alcuni rischi di un file copy-cat. Per maggiori dettagli continua a leggere.

Conosciuto come server di autenticazione di sicurezza locale, questo file genera il processo responsabile dell'autenticazione degli utenti nel servizio WinLogon. Il processo viene eseguito utilizzando pacchetti di autenticazione come msgina.dll predefinito. Quando l'autenticazione ha esito positivo, lsass.exe genera un token di accesso utente, che viene utilizzato per avviare la shell iniziale. Altri processi avviati dall'utente ereditano questo token.

Uno sguardo a lsass.exe in Process Explorer rivela che gestisce 3 servizi di autenticazione primari in Windows:

• EFS (Crittografia file system)
  • Fornisce la tecnologia di crittografia dei file di base utilizzata per archiviare i file crittografati nei volumi del file system NTFS. Se questo servizio viene interrotto o disabilitato, l'applicazione non sarà in grado di accedere ai file crittografati.
• KeyIso (isolamento chiave CNG)
  • L'isolamento della chiave CNG è ospitato nel processo LSA. Il servizio fornisce l'isolamento del processo chiave alle chiavi private e alle operazioni crittografiche associate come richiesto dai Criteri comuni. Il servizio archivia e utilizza chiavi di lunga durata in un processo sicuro conforme ai requisiti Common Criteria.
• SamSs (Security Accounts Manager)
  • L'avvio di questo servizio segnala ad altri servizi che Security Accounts Manager (SAM) è pronto ad accettare richieste. La disabilitazione di questo servizio impedirà che altri servizi nel sistema vengano avvisati quando SAM è pronto, il che a sua volta potrebbe impedire l'avvio corretto di tali servizi. Questo servizio non dovrebbe essere disabilitato.

Gestito anche da lsass.exe è la politica IPSEC locale. Questo gestisce e avvia ISAKMP / Oakley (IKE) e il driver di sicurezza IP in Windows Server.

Vulnerabilità

In una nota di sicurezza, questo processo è sicuro. Tuttavia, è noto che un virus copy-cat infetta i sistemi. Prevalentemente, il processo dannoso si chiama isass.exe (Isass.exe = non valido) che assomiglia a Lsass.exe (lsass.exe = buono). Se scopri che il processo inizia con una "i" maiuscola anziché una "L" minuscola, è probabile che il tuo sistema sia infetto.

Questo "isass.exe" è un virus trojan noto come worm Sasser. Lo scopo del worm è infettare segretamente il sistema e iniziare a raccogliere i dati. Questo virus registrerà ogni battitura digitata e in particolare seguirà nomi utente, password, numeri di carta di credito e altri dati sensibili che possono essere utilizzati per guadagni finanziari fraudolenti. Se trovi che il tuo computer è infetto, questo virus è rimovibile usando il Strumento di rimozione malware Microsoft.

Fortunatamente, il copycat "isass.exe" virus non è stato visto da alcuni anni. Microsoft ha da tempo corretto la vulnerabilità che ha permesso al virus di infettare Windows. Ecco perché è importante mantenere sempre aggiornato il sistema.

Conclusione

Nel complesso lsass.xe è un processo di avvio predefinito che controlla la sicurezza dell'accesso. Questo processo è sicuro ed essenziale per la funzione di Windows. Ha un ingombro ridotto del sistema, tuttavia l'utilizzo della memoria è irrilevante perché Windows non può funzionare correttamente senza di essa. Se il tuo computer è indietro sugli aggiornamenti, è possibile che tu sia infettato da un virus copy-cat, ma anche in questo caso è improbabile a meno che tu non stia ancora eseguendo Windows XP o versioni precedenti.