Was ist lsass.exe und warum läuft es?
Sie haben also lsass.exe auf Ihrem Windows-System gefunden. Sie würden wahrscheinlich gerne wissen, ob es ein Virus ist, oder ob es etwas ist, das da sein soll. Nun, wir haben gute Nachrichten. Dieser Prozess ist kein Virus, lsass.exe wurde von Microsoft erstellt und ist ein Kernsystem "Local Security Authority Process" in Windows integriert. Es gibt jedoch einige Risiken einer Kopie-cat-Datei. Für weitere Details lesen Sie weiter.
Diese Datei wird als lokaler Sicherheitsauthentifizierungsserver bezeichnet und generiert den Prozess, der für die Authentifizierung von Benutzern im WinLogon-Dienst verantwortlich ist. Der Prozess wird mithilfe von Authentifizierungspaketen wie der Standardnachricht msgina.dll ausgeführt. Wenn die Authentifizierung erfolgreich ist, generiert lsass.exe ein Benutzerzugriffstoken, mit dem die ursprüngliche Shell gestartet wird. Andere Prozesse, die der Benutzer initiiert, erben dieses Token.
Ein Blick auf lsass.exe im Process Explorer zeigt, dass es drei primäre Authentifizierungsdienste in Windows verarbeitet:
- EFS (Verschlüsselndes Dateisystem)
- Bietet die Kerndateiverschlüsselungstechnologie zum Speichern verschlüsselter Dateien auf NTFS-Dateisystemvolumes. Wenn dieser Dienst gestoppt oder deaktiviert ist, kann die Anwendung nicht auf verschlüsselte Dateien zugreifen.
- KeyIso (CNG Schlüsselisolierung)
- Die CNG-Schlüsselisolierung wird im LSA-Prozess gehostet. Der Dienst stellt eine Schlüsselprozessisolation für private Schlüssel und zugehörige kryptografische Operationen bereit, wie von den Common Criteria gefordert. Der Dienst speichert und verwendet langlebige Schlüssel in einem sicheren Prozess, der den Common Criteria-Anforderungen entspricht.
- SamSs (Sicherheitskontenmanager)
- Der Start dieses Dienstes signalisiert anderen Diensten, dass der Sicherheitskonten-Manager (SAM) bereit ist, Anforderungen zu akzeptieren. Durch Deaktivieren dieses Dienstes wird verhindert, dass andere Dienste im System benachrichtigt werden, wenn SAM bereit ist. Dies kann wiederum dazu führen, dass diese Dienste nicht ordnungsgemäß gestartet werden können. Dieser Dienst sollte nicht deaktiviert werden.
Von lsass.exe wird auch die lokale IPSEC-Richtlinie behandelt. Dies verwaltet und startet den ISAKMP / Oakley (IKE) und den IP-Sicherheitstreiber in Windows Server.
Verletzlichkeit
Auf Sicherheitshinweis ist dieser Prozess sicher. Es ist jedoch bekannt, dass ein Copy-Cat-Virus Systeme infiziert. Überwiegend wird der bösartige Prozess isass.exe (Isass.exe = bad) genannt, der ähnlich wie Lsass.exe aussieht (lsass.exe = gut). Wenn Sie feststellen, dass der Prozess mit einem Großbuchstaben "i" anstelle eines Kleinbuchstabens "L" beginnt, ist Ihr System wahrscheinlich infiziert.
Diese "isass.exe" ist ein Trojaner, der als Sasser-Wurm bekannt ist. Der Zweck des Wurms besteht darin, Ihr System heimlich zu infizieren und damit zu beginnen, Daten zu sammeln. Dieser Virus protokolliert jeden getippten Tastaturanschlag und insbesondere Kontonutzernamen, Passwörter, Kreditkartennummern und andere vertrauliche Daten, die für betrügerische finanzielle Gewinne verwendet werden können. Wenn Sie feststellen, dass Ihr Computer infiziert ist, kann dieser Virus mit dem Tool zum Entfernen von Malware von Microsoft entfernt werden.
Zum Glück wurde der Nachahmer "isass.exe" Virus in ein paar Jahren nicht gesehen. Microsoft hat die Sicherheitsanfälligkeit, durch die der Virus Windows infizieren konnte, seit langem gepatcht. Aus diesem Grund ist es wichtig, Ihr System immer auf dem neuesten Stand zu halten.
Fazit
Alles in allem ist lsass.exe ein Standardstartprozess, der die Anmeldesicherheit steuert. Dieser Prozess ist sicher und essentiell für die Funktion von Windows. Es hat einen geringen System-Footprint, aber seine Speichernutzung ist irrelevant, da Windows ohne es nicht ordnungsgemäß ausgeführt werden kann. Wenn Ihr Computer bei Updates zurückliegt, besteht die Möglichkeit, dass Sie sich mit einem Kopier-Cat-Virus infizieren, aber selbst dann ist es unwahrscheinlich, dass Sie Windows XP oder früher noch verwenden.