Che cos'è lsass.exe e perché è in esecuzione?
Conosciuto come server di autenticazione di sicurezza locale, questo file genera il processo responsabile dell'autenticazione degli utenti nel servizio WinLogon. Il processo viene eseguito utilizzando pacchetti di autenticazione come msgina.dll predefinito. Quando l'autenticazione ha esito positivo, lsass.exe genera un token di accesso utente, che viene utilizzato per avviare la shell iniziale. Altri processi che l'utente avvia ereditano questo token.
Uno sguardo a lsass.exe in Process Explorer rivela che gestisce 3 servizi di autenticazione primaria in Windows:
- EFS (Encrypting File System)
- Fornisce la tecnologia di crittografia dei file di base utilizzata per archiviare i file crittografati sui volumi del file system NTFS. Se questo servizio viene arrestato o disabilitato, l'applicazione non sarà in grado di accedere ai file crittografati.
- KeyIso (isolamento chiave CNG)
- L'isolamento della chiave CNG è ospitato nel processo LSA. Il servizio fornisce l'isolamento dei processi chiave per le chiavi private e le operazioni crittografiche associate, come richiesto dai criteri comuni. Il servizio memorizza e utilizza chiavi di lunga durata in un processo sicuro conforme ai requisiti dei Common Criteria.
- SamS (Security Accounts Manager)
- L'avvio di questo servizio segnala altri servizi che Security Accounts Manager (SAM) è pronto ad accettare richieste. La disabilitazione di questo servizio impedirà la notifica di altri servizi nel sistema quando SAM è pronto, il che potrebbe a sua volta causare il mancato avvio corretto di tali servizi. Questo servizio non dovrebbe essere disabilitato.
Gestito anche da lsass.exe è il criterio IPSEC locale. Questo gestisce e avvia ISAKMP / Oakley (IKE) e il driver di sicurezza IP in Windows Server.
Vulnerabilità
Su una nota di sicurezza, questo processo è sicuro. Tuttavia è noto che un virus copia-gatto infetta i sistemi. Prevalentemente, il processo dannoso è isass.exe (Isass.exe = cattivo) che assomiglia a Lsass.exe (lsass.exe = buono). Se si scopre che il processo inizia con una "i" maiuscola anziché una "L" minuscola, è probabile che il sistema sia infetto.
Questo "isass.exe" è un virus trojan noto come worm Sasser. Lo scopo del worm è infettare segretamente il tuo sistema e iniziare a raccogliere i dati. Questo virus registrerà ogni battitura digitata e, in particolare, farà riferimento a nomi utente, password, numeri di carte di credito e altri dati sensibili che possono essere utilizzati per guadagni finanziari fraudolenti. Se trovi che il tuo computer è infetto, questo virus è rimovibile usando lo strumento di rimozione malware di Microsoft.
Fortunatamente, il virus "isass.exe" copycat non è stato visto in pochi anni. Da tempo Microsoft ha corretto la vulnerabilità che ha permesso al virus di infettare Windows. Questo è il motivo per cui è importante mantenere sempre aggiornato il tuo sistema.
Conclusione
Nel complesso lsass.xe è un processo di avvio predefinito che controlla la sicurezza di accesso. Questo processo è sicuro ed essenziale per la funzione di Windows. Ha un ingombro di sistema leggero, tuttavia l'utilizzo della memoria è irrilevante perché Windows non può funzionare correttamente senza di esso. Se il tuo computer è in ritardo sugli aggiornamenti c'è la possibilità che tu possa essere infettato da un virus di copia-gatto, ma anche allora è improbabile a meno che tu non stia ancora utilizzando Windows XP o versioni precedenti.