Was ist lsass.exe und warum läuft es?

Sie haben also festgestellt, dass lsass.exe auf Ihrem Windows-System ausgeführt wird. Sie möchten wahrscheinlich wissen, ob es sich um einen Virus handelt oder ob er vorhanden sein soll. Wir haben gute Nachrichten. Dieser Prozess ist kein Virus. Lsass.exe wurde von Microsoft erstellt und ist ein in Windows integriertes Kernsystem „Local Security Authority Process“. Es gibt jedoch einige Risiken einer Nachahmer-Datei. Weitere Details finden Sie weiter.

Diese Datei wird als lokaler Sicherheitsauthentifizierungsserver bezeichnet und generiert den Prozess, der für die Authentifizierung von Benutzern im WinLogon-Dienst verantwortlich ist. Der Prozess wird mithilfe von Authentifizierungspaketen wie der Standard-msgina.dll ausgeführt. Wenn die Authentifizierung erfolgreich ist, generiert lsass.exe ein Benutzerzugriffstoken, mit dem die erste Shell gestartet wird. Andere Prozesse, die der Benutzer initiiert, erben dieses Token.

Ein Blick auf lsass.exe im Prozess-Explorer zeigt, dass drei primäre Authentifizierungsdienste in Windows verarbeitet werden:

• EFS (Encrypting File System)
  • Bietet die zentrale Dateiverschlüsselungstechnologie zum Speichern verschlüsselter Dateien auf NTFS-Dateisystemvolumes. Wenn dieser Dienst gestoppt oder deaktiviert wird, kann die Anwendung nicht auf verschlüsselte Dateien zugreifen.
• KeyIso (CNG-Schlüsselisolation)
  • Die CNG-Schlüsselisolation wird im LSA-Prozess gehostet. Der Dienst bietet eine Schlüsselprozessisolierung für private Schlüssel und zugehörige kryptografische Vorgänge, wie in den allgemeinen Kriterien gefordert. Der Service speichert und verwendet langlebige Schlüssel in einem sicheren Prozess, der den Anforderungen der Common Criteria entspricht.
• SamSs (Security Accounts Manager)
  • Der Start dieses Dienstes signalisiert anderen Diensten, dass der Security Accounts Manager (SAM) bereit ist, Anforderungen anzunehmen. Durch Deaktivieren dieses Dienstes wird verhindert, dass andere Dienste im System benachrichtigt werden, wenn SAM bereit ist, was wiederum dazu führen kann, dass diese Dienste nicht ordnungsgemäß gestartet werden. Dieser Dienst sollte nicht deaktiviert werden.

Ebenfalls von lsass.exe behandelt wird die lokale IPSEC-Richtlinie. Dadurch werden ISAKMP / Oakley (IKE) und der IP-Sicherheitstreiber in Windows Server verwaltet und gestartet.

Verletzlichkeit

Aus Sicherheitsgründen ist dieser Vorgang sicher. Es ist jedoch bekannt, dass ein Nachahmer-Virus Systeme infiziert. Der böswillige Prozess heißt überwiegend isass.exe (Isass.exe = schlecht) und ähnelt Lsass.exe (lsass.exe = gut). Wenn Sie feststellen, dass der Prozess mit einem Großbuchstaben "i" anstelle eines Kleinbuchstaben "L" beginnt, ist Ihr System wahrscheinlich infiziert.

Diese "isass.exe" ist ein Trojaner, der als Sasser-Wurm bekannt ist. Der Wurm dient dazu, Ihr System verdeckt zu infizieren und mit der Datenerfassung zu beginnen. Dieser Virus protokolliert jeden eingegebenen Tastendruck und sucht insbesondere nach Benutzernamen, Passwörtern, Kreditkartennummern und anderen vertraulichen Daten des Kontos, die für betrügerische finanzielle Gewinne verwendet werden können. Wenn Sie feststellen, dass Ihr Computer infiziert ist, kann dieser Virus mithilfe von entfernt werden Microsoft-Tool zum Entfernen von Malware.

Glücklicherweise wurde der Nachahmer-Virus "isass.exe" seit einigen Jahren nicht mehr gesehen. Microsoft hat die Sicherheitsanfälligkeit, durch die der Virus Windows infizieren konnte, längst behoben. Aus diesem Grund ist es wichtig, Ihr System immer auf dem neuesten Stand zu halten.

Fazit

Insgesamt ist lsass.xe ein Standardstartprozess, der die Anmeldesicherheit steuert. Dieser Vorgang ist sicher und für die Funktion von Windows unerlässlich. Es hat einen geringen Systembedarf, seine Speichernutzung ist jedoch irrelevant, da Windows ohne es nicht ordnungsgemäß ausgeführt werden kann. Wenn Ihr Computer bei Updates im Rückstand ist, besteht die Möglichkeit, dass Sie mit einem Nachahmer-Virus infiziert werden. Selbst dann ist dies unwahrscheinlich, es sei denn, Sie verwenden noch Windows XP oder früher.