Lsass.exe nedir ve neden çalışıyor?
Windows sisteminizde çalışan lsass.exe'yi buldunuz. Muhtemelen bir virüs olup olmadığını veya orada olması gereken bir şey olup olmadığını bilmek istersiniz. Şey, iyi haberlerimiz var. Bu işlem bir virüs değildir, lsass.exe Microsoft tarafından oluşturulmuştur ve Windows'da yerleşik bir “Yerel Güvenlik Yetkilisi Süreci” sistemidir. Bununla birlikte, bir kopya kedi dosyasının bazı riskleri vardır. Daha fazla bilgi için okumaya devam edin.
Yerel güvenlik kimlik doğrulama sunucusu olarak bilinen bu dosya, WinLogon hizmetindeki kullanıcıların kimliğini doğrulamak için sorumludur. İşlem, varsayılan msgina.dll gibi kimlik doğrulama paketlerini kullanarak gerçekleştirilir. Kimlik doğrulama başarılı olduğunda, lsass.exe, başlangıç kabuğunu başlatmak için kullanılan bir kullanıcı erişim belirteci oluşturur. Kullanıcının başlattığı diğer işlemler bu belirteci devralır.
Process explorer'da lsass.exe dosyasına bir bakış, Windows'da 3 birincil kimlik doğrulama hizmetini ele aldığını ortaya çıkarır:
- EFS (Şifreleme Dosya Sistemi)
- Şifrelenmiş dosyaları NTFS dosya sistemi birimlerinde depolamak için kullanılan çekirdek dosya şifreleme teknolojisini sağlar. Bu hizmet durdurulur veya devre dışı bırakılırsa, uygulama şifrelenmiş dosyalara erişemez.
- KeyIso (CNG Anahtar İzolasyonu)
- CNG anahtar yalıtımı LSA işleminde barındırılmaktadır. Hizmet, Ortak Kriterler tarafından gereken özel anahtarlara ve ilişkili şifreleme işlemlerine anahtar işlem yalıtımı sağlar. Servis, uzun ömürlü anahtarları Ortak Kriterler gerekliliklerine uygun güvenli bir süreçte depolar ve kullanır.
- SamSs (Güvenlik Hesapları Yöneticisi)
- Bu hizmetin başlatılması, Güvenlik Hesapları Yöneticisi'nin (SAM) istekleri kabul etmeye hazır olduğu diğer hizmetleri de işaret eder. Bu hizmetin devre dışı bırakılması, SAM hazır olduğunda, sistemdeki diğer hizmetlerin bildirilmesini engeller ve bu da söz konusu hizmetlerin doğru şekilde başlayamamasına neden olabilir. Bu hizmet devre dışı bırakılmamalıdır.
Ayrıca lsass.exe tarafından ele alınan yerel IPSEC Politikasıdır. Bu, Windows Server'daki ISAKMP / Oakley (IKE) ve IP güvenlik sürücüsünü yönetir ve başlatır.
Güvenlik Açığı
Bir güvenlik notunda bu işlem güvenlidir. Ancak bir kopya kedi virüsünün sistemlere bulaştığı bilinmektedir. Ağırlıklı olarak, kötü niyetli işlem, Lsass.exe (lsass.exe = iyi) benzeyen isass.exe (Isass.exe = bozuk) olarak adlandırılır. İşlemin “L” küçük harf yerine “i” ile başladığını görürseniz, sisteminiz muhtemelen enfekte olur.
Bu “isass.exe”, Sasser solucanı olarak bilinen bir trojan virüsüdür. Solucanın amacı, sisteminizi gizli bir şekilde enfekte etmek ve veri toplamaya başlamaktır. Bu virüs yazılan her tuş vuruşu kaydeder ve özellikle hesap kullanıcı adları, şifreler, kredi kartı numaraları ve hileli finansal kazanç için kullanılabilecek diğer hassas verilerden sonra gider. Bilgisayarınızın virüs bulaştığını tespit ederseniz, Microsoft Kötü amaçlı Yazılım Temizleme aracını kullanarak bu virüs kaldırılabilir.
Neyse ki, “isass.exe” virüsünün kopyalayıcısı birkaç yıl içinde görülmedi. Microsoft, virüsün Windows'u etkilemesine izin veren güvenlik açığını uzun zaman önce yandı. Sisteminizi her zaman güncel tutmak için bu yüzden önemlidir.
Sonuç
Genel lsass.xe, güvenlik günlüğünü denetleyen varsayılan bir başlatma işlemidir. Bu işlem, Windows'un işlevi için güvenli ve gereklidir. Hafif bir sistem ayak izine sahiptir ancak bellek kullanımı gereksizdir, çünkü Windows düzgün bir şekilde çalışamaz. Bilgisayarınız güncellemelerin gerisinde kalıyorsa, bir kopya-kedi virüsü bulaşmış olabilirsiniz, ancak yine de Windows XP veya daha önceki bir sürümü kullanmıyorsanız bile olası değildir.