Lsass.exe nedir ve neden çalışıyor?

Yani Windows sisteminizde lsass.exe çalıştığını gördünüz. Muhtemelen virüs olup olmadığını veya orada olması gereken bir şey olup olmadığını bilmek istersiniz. İyi haberlerimiz var. Bu işlem bir virüs değildir, lsass.exe Microsoft tarafından oluşturulmuştur ve Windows'ta yerleşik bir çekirdek sistem olan “Yerel Güvenlik Yetkilisi Süreci” dir. Ancak, bir kopya-kedi dosyasının bazı riskleri vardır. Daha fazla bilgi için okumaya devam edin.

Yerel güvenlik kimlik doğrulama sunucusu olarak bilinen bu dosya, WinLogon hizmetindeki kullanıcıların kimlik doğrulamasından sorumlu işlemi oluşturur. İşlem, varsayılan msgina.dll gibi kimlik doğrulama paketleri kullanılarak gerçekleştirilir. Kimlik doğrulama başarılı olduğunda, lsass.exe ilk kabuğu başlatmak için kullanılan bir kullanıcı erişim belirteci oluşturur. Kullanıcının başlattığı diğer işlemler bu belirteci devralır.

İşlem gezginindeki lsass.exe dosyasına bakıldığında, Windows'ta 3 birincil kimlik doğrulama hizmetini işlediğini gösterir:

• EFS (Şifreleme Dosya Sistemi)
  • Şifrelenmiş dosyaları NTFS dosya sistemi birimlerinde depolamak için kullanılan temel dosya şifreleme teknolojisini sağlar. Bu hizmet durdurulur veya devre dışı bırakılırsa, uygulama şifrelenmiş dosyalara erişemez.
• KeyIso (CNG Anahtar İzolasyonu)
  • CNG anahtar izolasyonu LSA sürecinde barındırılmaktadır. Hizmet, Ortak Anahtarların gerektirdiği şekilde özel anahtarlara ve ilişkili şifreleme işlemlerine anahtar işlem yalıtımı sağlar. Hizmet, uzun ömürlü anahtarları Ortak Kriterler gereksinimlerine uygun güvenli bir süreçte depolar ve kullanır.
• SamSs (Güvenlik Hesapları Yöneticisi)
  • Bu hizmetin başlatılması, Güvenlik Hesapları Yöneticisi'nin (SAM) istekleri kabul etmeye hazır olduğu diğer hizmetleri işaret eder. Bu hizmetin devre dışı bırakılması, SAM hazır olduğunda sistemdeki diğer hizmetlerin bildirilmesini önler ve bu da bu hizmetlerin doğru şekilde başlamamasına neden olabilir. Bu hizmet devre dışı bırakılmamalıdır.

Ayrıca lsass.exe tarafından ele alınan yerel IPSEC Politikasıdır. Bu, Windows Server'daki ISAKMP / Oakley (IKE) ve IP güvenlik sürücüsünü yönetir ve başlatır.

Güvenlik Açığı

Güvenlik notunda, bu işlem güvenlidir. Bununla birlikte, bir kopya-kedi virüsünün sistemleri enfekte ettiği bilinmektedir. Ağırlıklı olarak, kötü amaçlı işlem Lsass.exe (lsass.exe = iyi) gibi görünen isass.exe (Isass.exe = kötü) olarak adlandırılır. Sürecin küçük “L” harfi yerine büyük “i” harfiyle başladığını fark ederseniz, sisteminize virüs bulaşmış olabilir.

Bu “isass.exe”, Sasser solucanı olarak bilinen bir truva atı virüsüdür. Solucanın amacı sisteminize gizlice bulaşmak ve veri toplamaya başlamaktır. Bu virüs, yazılan her tuş vuruşunu günlüğe kaydeder ve özellikle hileli finansal kazanç için kullanılabilecek hesap kullanıcı adları, şifreler, kredi kartı numaraları ve diğer hassas verilerden sonra gider. Bilgisayarınıza virüs bulaştığını tespit ederseniz, bu virüs Microsoft Kötü Amaçlı Yazılımları Temizleme aracı.

Neyse ki, taklitçi “isass.exe” virüsü birkaç yıldır görülmedi. Microsoft, uzun zamandır virüsün Windows'u etkilemesine izin veren güvenlik açığını düzeltti. Bu nedenle sisteminizi her zaman güncel tutmak önemlidir.

Sonuç

Genel olarak lsass.xe, oturum açma güvenliğini denetleyen varsayılan bir başlatma işlemidir. Bu işlem Windows'un işlevi için güvenli ve gereklidir. Hafif bir sistem ayak izine sahiptir, ancak Windows onsuz düzgün çalışamadığından bellek kullanımı önemsizdir. Bilgisayarınız güncellemelerin arkasındaysa, bir kopya-kedi virüsü bulaşma şansı vardır, ancak yine de Windows XP veya daha önceki bir sürümü çalıştırmıyorsanız olası değildir.