Qu'est-ce que lsass.exe et pourquoi est-il en cours d'exécution?
Connu sous le nom de serveur d'authentification de sécurité locale, ce fichier génère le processus responsable de l'authentification des utilisateurs dans le service WinLogon. Le processus est effectué à l'aide de packages d'authentification tels que le fichier msgina.dll par défaut. Lorsque l'authentification réussit, lsass.exe génère un jeton d'accès utilisateur, utilisé pour lancer le shell initial. Les autres processus initiés par l'utilisateur héritent de ce jeton..
Un coup d'œil à lsass.exe dans l'explorateur de processus révèle qu'il gère 3 services d'authentification principaux dans Windows:
- EFS (Système de fichiers crypté)
- Fournit la technologie de cryptage de fichier principale utilisée pour stocker des fichiers cryptés sur des volumes de système de fichiers NTFS. Si ce service est arrêté ou désactivé, l'application ne pourra pas accéder aux fichiers cryptés..
- KeyIso (Isolation de clé CNG)
- L'isolation de la clé CNG est hébergée dans le processus LSA. Le service fournit une isolation de processus de clé aux clés privées et aux opérations cryptographiques associées, conformément aux critères communs. Le service enregistre et utilise des clés à longue durée de vie dans un processus sécurisé conforme aux exigences des critères communs..
- SamSs (Gestionnaire de comptes de sécurité)
- Le démarrage de ce service signale aux autres services que le gestionnaire de comptes de sécurité (SAM) est prêt à accepter les demandes. La désactivation de ce service empêchera les autres services du système d'être avertis lorsque SAM est prêt, ce qui peut empêcher leur démarrage de démarrer correctement. Ce service ne doit pas être désactivé.
Lsass.exe gère également la stratégie IPSEC locale. Ceci gère et démarre ISAKMP / Oakley (IKE) et le pilote de sécurité IP dans Windows Server..
Vulnérabilité
Sur une note de sécurité, ce processus est sécurisé. Cependant, on sait qu'un virus imitant le chat infecte des systèmes. Le processus malveillant s'appelle principalement isass.exe (Isass.exe = bad) et ressemble à Lsass.exe (lsass.exe = bon). Si vous constatez que le processus commence par un «i» majuscule au lieu d'un «L» minuscule, votre système est probablement infecté..
Ce «isass.exe» est un virus de Troie connu sous le nom de ver Sasser. Le ver a pour objectif d’infecter secrètement votre système et de commencer à récolter des données. Ce virus enregistre toutes les frappes au clavier saisies, et notamment les noms d'utilisateur, mots de passe, numéros de carte de crédit et autres données confidentielles du compte pouvant être utilisés à des fins financières. Si vous constatez que votre ordinateur est infecté, ce virus peut être éliminé à l'aide de l'outil de suppression de logiciels malveillants Microsoft.
Heureusement, le virus copycat «isass.exe» n'a pas été détecté depuis quelques années. Microsoft a depuis longtemps corrigé la vulnérabilité qui permettait au virus d’infecter Windows. C’est pourquoi il est important de toujours garder votre système à jour.
Conclusion
Dans l’ensemble, lsass.xe est un processus de démarrage par défaut qui contrôle la sécurité d’ouverture de session. Ce processus est sûr et essentiel au fonctionnement de Windows. Il a une faible empreinte système, mais son utilisation de la mémoire n’est pas pertinente car Windows ne peut pas fonctionner correctement sans ce dernier. Si votre ordinateur est en retard de mise à jour, il est possible que vous soyez infecté par un virus Copy-Cat, mais même dans ce cas, il est peu probable que vous utilisiez toujours Windows XP ou une version antérieure..
