Apa itu lsass.exe dan Mengapa Lari?

Jadi, Anda menemukan lsass.exe berjalan di sistem Windows Anda. Anda mungkin ingin tahu apakah itu virus, atau apakah itu sesuatu yang seharusnya ada di sana. Kami punya kabar baik. Proses ini bukan virus, lsass.exe dibuat oleh Microsoft dan merupakan sistem inti "Proses Otoritas Keamanan Lokal" yang dibangun ke dalam Windows. Namun, ada beberapa risiko file copy-cat. Untuk lebih jelasnya baca terus.

Dikenal sebagai server otentikasi keamanan lokal, file ini menghasilkan proses yang bertanggung jawab untuk mengautentikasi pengguna di layanan WinLogon. Proses ini dilakukan dengan menggunakan paket otentikasi seperti msgina.dll default. Ketika otentikasi berhasil, lsass.exe menghasilkan token akses pengguna, yang digunakan untuk meluncurkan shell awal. Proses lain yang diinisiasi pengguna mewarisi token ini.

Melihat lsass.exe dalam proses explorer mengungkapkan ia menangani 3 layanan otentikasi utama di Windows:

• EFS (Encrypting File System)
  • Menyediakan teknologi enkripsi file inti yang digunakan untuk menyimpan file yang dienkripsi pada volume sistem file NTFS. Jika layanan ini dihentikan atau dinonaktifkan, aplikasi tidak akan dapat mengakses file yang dienkripsi.
• KeyIso (Isolasi Kunci CNG)
  • Isolasi kunci CNG di-host dalam proses LSA. Layanan ini menyediakan isolasi proses kunci untuk kunci pribadi dan operasi kriptografi terkait sebagaimana disyaratkan oleh Kriteria Umum. Layanan menyimpan dan menggunakan kunci berumur panjang dalam proses yang aman mematuhi persyaratan Kriteria Umum.
• SamSs (Manajer Akun Keamanan)
  • Startup layanan ini memberi sinyal layanan lain bahwa Manajer Akun Keamanan (SAM) siap menerima permintaan. Menonaktifkan layanan ini akan mencegah layanan lain dalam sistem agar tidak diberitahukan ketika SAM siap, yang pada gilirannya dapat menyebabkan layanan tersebut gagal untuk memulai dengan benar. Layanan ini tidak boleh dinonaktifkan.

Juga ditangani oleh lsass.exe adalah Kebijakan IPSEC lokal. Ini mengelola dan memulai ISAKMP / Oakley (IKE) dan driver keamanan IP di Windows Server.

Kerentanan

Pada catatan keamanan, proses ini aman. Namun virus copy-cat telah diketahui menginfeksi sistem. Secara dominan, proses jahat bernama isass.exe (Isass.exe = buruk) yang terlihat mirip dengan Lsass.exe (lsass.exe = baik). Jika Anda menemukan prosesnya dimulai dengan huruf kapital "i" dan bukan huruf kecil "L" maka sistem Anda kemungkinan terinfeksi.

"Isass.exe" ini adalah virus trojan yang dikenal sebagai cacing Sasser. Tujuan dari worm ini adalah untuk menginfeksi sistem Anda secara rahasia dan mulai memanen data. Virus ini akan mencatat setiap ketikan yang diketik, dan secara khusus menggunakan nama pengguna akun, kata sandi, nomor kartu kredit, dan data sensitif lainnya yang dapat digunakan untuk mendapatkan keuntungan finansial yang curang. Jika Anda menemukan komputer Anda terinfeksi virus ini dapat dilepas menggunakan Alat Penghapusan Malware Microsoft.

Untungnya, virus "isass.exe" copycat belum terlihat dalam beberapa tahun. Microsoft telah lama memperbaiki kerentanan yang memungkinkan virus menginfeksi Windows. Inilah sebabnya mengapa penting untuk selalu memperbarui sistem Anda.

Kesimpulan

Secara keseluruhan lsass.xe adalah proses startup default yang mengontrol keamanan login. Proses ini aman dan penting untuk fungsi Windows. Ini memiliki jejak sistem cahaya namun penggunaan memorinya tidak relevan karena Windows tidak dapat berjalan dengan baik tanpanya. Jika komputer Anda ketinggalan pembaruan, ada kemungkinan Anda bisa terinfeksi virus copy-cat, tetapi meskipun demikian kemungkinannya kecil kecuali Anda masih menjalankan Windows XP atau sebelumnya.