Was ist lsass.exe und warum läuft es?
Diese Datei, die als lokaler Sicherheitsauthentifizierungsserver bezeichnet wird, generiert den Prozess, der für die Authentifizierung von Benutzern im WinLogon-Dienst verantwortlich ist. Der Prozess wird mithilfe von Authentifizierungspaketen wie der Standarddatei msgina.dll ausgeführt. Bei erfolgreicher Authentifizierung generiert lsass.exe ein Benutzerzugriffstoken, das zum Starten der ursprünglichen Shell verwendet wird. Andere Prozesse, die der Benutzer initiiert, erben dieses Token.
Ein Blick auf lsass.exe im Prozess-Explorer zeigt, dass es drei primäre Authentifizierungsdienste in Windows ausführt:
- EFS (verschlüsselndes Dateisystem)
- Stellt die zentrale Dateiverschlüsselungstechnologie bereit, die zum Speichern verschlüsselter Dateien auf NTFS-Dateisystemvolumes verwendet wird. Wenn dieser Dienst angehalten oder deaktiviert ist, kann die Anwendung nicht auf verschlüsselte Dateien zugreifen.
- KeyIso (CNG-Schlüsselisolation)
- Die CNG-Schlüsselisolation wird im LSA-Prozess gehostet. Der Dienst bietet die Schlüsselprozessisolierung für private Schlüssel und zugehörige kryptografische Vorgänge gemäß den Common Criteria. Der Dienst speichert und verwendet langlebige Schlüssel in einem sicheren Prozess, der den Common Criteria-Anforderungen entspricht.
- SamSs (Sicherheitskontenmanager)
- Der Start dieses Dienstes signalisiert anderen Diensten, dass der Sicherheitskonten-Manager (SAM) bereit ist, Anforderungen zu akzeptieren. Durch die Deaktivierung dieses Dienstes werden andere Dienste im System nicht benachrichtigt, wenn SAM bereit ist. Dies kann dazu führen, dass diese Dienste nicht ordnungsgemäß gestartet werden. Dieser Dienst sollte nicht deaktiviert werden.
Von lsass.exe wird auch die lokale IPSEC-Richtlinie behandelt. Dadurch werden ISAKMP / Oakley (IKE) und der IP-Sicherheitstreiber in Windows Server verwaltet und gestartet.
Verletzlichkeit
Dieser Vorgang ist sicherheitshalber sicher. Es ist jedoch bekannt, dass ein Copy-Cat-Virus Systeme infiziert. Überwiegend heißt der bösartige Prozess isass.exe (Isass.exe = schlecht), der Lsass.exe (lsass.exe = gut) ähnelt. Wenn Sie feststellen, dass der Prozess mit einem Großbuchstaben "i" anstelle eines Kleinbuchstaben "L" beginnt, ist Ihr System wahrscheinlich infiziert.
Diese "isass.exe" ist ein Trojaner-Virus, der als Sasser-Wurm bekannt ist. Der Wurm dient dazu, Ihr System verdeckt zu infizieren und mit dem Sammeln von Daten zu beginnen. Dieser Virus protokolliert jeden getippten Tastendruck und insbesondere nach Benutzernamen, Kennwörtern, Kreditkartennummern und anderen vertraulichen Daten, die für betrügerische Gewinne verwendet werden können. Wenn Sie feststellen, dass Ihr Computer infiziert ist, kann dieser Virus mit dem Microsoft-Tool zum Entfernen von Malware entfernt werden.
Glücklicherweise wurde der kopierte "isass.exe" -Virus in einigen Jahren nicht mehr gesehen. Microsoft hat die Sicherheitslücke, durch die der Virus Windows infizieren konnte, längst behoben. Aus diesem Grund ist es wichtig, Ihr System stets auf dem neuesten Stand zu halten.
Fazit
Lsass.xe ist ein standardmäßiger Startvorgang, der die Sicherheit bei der Anmeldung steuert. Dieser Vorgang ist sicher und für die Funktion von Windows wesentlich. Es hat einen geringen Systemabdruck, aber die Speicherbelegung ist irrelevant, da Windows ohne es nicht ordnungsgemäß ausgeführt werden kann. Wenn Ihr Computer bei Updates hinterherhinkt, besteht die Möglichkeit, dass Sie mit einem Copy-Cat-Virus infiziert werden. Dies ist jedoch selbst dann unwahrscheinlich, wenn Sie noch Windows XP oder eine frühere Version ausführen.