O que é o lsass.exe e por que está em execução?
Segurança Windows 8 Vindovs 7 Processo Do Windows / / March 17, 2020
Então você encontrou o lsass.exe em execução no seu sistema Windows. Você provavelmente gostaria de saber se é um vírus ou se é algo que deveria estar lá. Bem, temos boas notícias.
Então você encontrou o lsass.exe em execução no seu sistema Windows. Você provavelmente gostaria de saber se é um vírus ou se é algo que deveria estar lá. Bem, temos boas notícias. Esse processo não é um vírus, o lsass.exe foi criado pela Microsoft e é um sistema central “Processo de Autoridade de Segurança Local” incorporado ao Windows. No entanto, existem alguns riscos de um arquivo copy-cat. Para mais detalhes, continue a ler.
Conhecido como servidor de autenticação de segurança local, esse arquivo gera o processo responsável pela autenticação de usuários no serviço WinLogon. O processo é realizado usando pacotes de autenticação, como o padrão msgina.dll. Quando a autenticação é bem-sucedida, o lsass.exe gera um token de acesso do usuário, usado para iniciar o shell inicial. Outros processos que o usuário inicia herdam esse token.
Uma olhada no lsass.exe no process explorer revela que ele lida com três serviços de autenticação primária no Windows:
- EFS (sistema de arquivos com criptografia)
- Fornece a tecnologia de criptografia de arquivos principal usada para armazenar arquivos criptografados em volumes do sistema de arquivos NTFS. Se este serviço for parado ou desativado, o aplicativo não poderá acessar arquivos criptografados.
- KeyIso (isolamento de chave CNG)
- O isolamento da chave CNG é hospedado no processo LSA. O serviço fornece isolamento de processo chave para chaves privadas e operações criptográficas associadas, conforme exigido pelos Critérios Comuns. O serviço armazena e usa chaves de longa duração em um processo seguro, em conformidade com os requisitos de Critérios Comuns.
- SamSs (Gerenciador de contas de segurança)
- A inicialização deste serviço sinaliza outros serviços que o Gerenciador de Contas de Segurança (SAM) está pronto para aceitar solicitações. Desabilitar esse serviço impedirá que outros serviços no sistema sejam notificados quando o SAM estiver pronto, o que, por sua vez, pode fazer com que esses serviços falhem ao iniciar corretamente. Este serviço não deve ser desativado.
Também tratada pelo lsass.exe é a Diretiva IPSEC local. Isso gerencia e inicia o ISAKMP / Oakley (IKE) e o driver de segurança IP no Windows Server.
Vulnerabilidade
Em uma nota de segurança, esse processo é seguro. No entanto, um vírus de cópia-gato é conhecido por infectar sistemas. Predominantemente, o processo malicioso é denominado isass.exe (Isass.exe = ruim), semelhante ao Lsass.exe (lsass.exe = bom). Se você achar que o processo começa com um "i" maiúsculo em vez de um "L" minúsculo, é provável que seu sistema esteja infectado.
Este "isass.exe" é um vírus de Trojan conhecido como worm Sasser. O objetivo do worm é infectar secretamente seu sistema e começar a coletar dados. Esse vírus registra cada pressionamento de tecla digitado e, em particular, busca nomes de usuário, senhas, números de cartão de crédito e outros dados confidenciais que podem ser usados para obter ganhos financeiros fraudulentos. Se você achar que seu computador está infectado, esse vírus é removível usando o Ferramenta de Remoção de Malware da Microsoft.
Felizmente, o vírus copycat "isass.exe" não é detectado há alguns anos. A Microsoft há muito tempo corrigiu a vulnerabilidade que permitia ao vírus infectar o Windows. É por isso que é importante manter sempre seu sistema atualizado.
Conclusão
No geral, lsass.xe é um processo de inicialização padrão que controla a segurança do logon. Esse processo é seguro e essencial para a função do Windows. Ele possui uma pegada leve do sistema, no entanto, seu uso de memória é irrelevante porque o Windows não pode ser executado corretamente sem ele. Se o seu computador está atrasado nas atualizações, há uma chance de você ser infectado por um vírus de cópia-gato, mas mesmo assim é improvável, a menos que você ainda esteja executando o Windows XP ou anterior.