122
عدد المشاهدات
ما هو lsass.exe ولماذا يعمل؟
الأمان ويندوز 8 Vindovs 7 عملية ويندوز / / March 17, 2020
لذا فقد وجدت lsass.exe قيد التشغيل على نظام Windows الخاص بك. ربما ترغب في معرفة ما إذا كان فيروسًا ، أو ما إذا كان من المفترض أن يكون هناك. حسنًا ، لدينا أخبار جيدة.
لذا فقد وجدت lsass.exe قيد التشغيل على نظام Windows الخاص بك. ربما ترغب في معرفة ما إذا كان فيروسًا ، أو ما إذا كان من المفترض أن يكون هناك. حسنًا ، لدينا أخبار جيدة. هذه العملية ليست فيروسًا ، تم إنشاء lsass.exe بواسطة Microsoft وهو نظام أساسي "عملية سلطة الأمان المحلية" المضمنة في Windows. ومع ذلك ، هناك بعض مخاطر ملف نسخة القط. لمزيد من التفاصيل تابع القراءة.
يُعرف هذا الملف باسم خادم مصادقة الأمان المحلي ، ويقوم بإنشاء العملية المسؤولة عن مصادقة المستخدمين في خدمة WinLogon. يتم تنفيذ العملية باستخدام حزم المصادقة مثل msgina.dll الافتراضي. عند نجاح المصادقة ، يقوم lsass.exe بإنشاء رمز وصول المستخدم ، والذي يتم استخدامه لإطلاق shell الأولي. العمليات الأخرى التي يبدأها المستخدم ترث هذا الرمز المميز.
تكشف نظرة على lsass.exe في مستكشف العمليات أنه يعالج 3 خدمات مصادقة أساسية في Windows:
- EFS (نظام تشفير الملفات)
- يوفر تقنية تشفير الملفات الأساسية المستخدمة لتخزين الملفات المشفرة على وحدات تخزين نظام الملفات NTFS. إذا تم إيقاف هذه الخدمة أو تعطيلها ، فلن يتمكن التطبيق من الوصول إلى الملفات المشفرة.
- يوفر تقنية تشفير الملفات الأساسية المستخدمة لتخزين الملفات المشفرة على وحدات تخزين نظام الملفات NTFS. إذا تم إيقاف هذه الخدمة أو تعطيلها ، فلن يتمكن التطبيق من الوصول إلى الملفات المشفرة.
- KeyIso (عزل مفتاح CNG)
- تتم استضافة عزل مفتاح CNG في عملية LSA. توفر الخدمة عزل العملية الرئيسية للمفاتيح الخاصة وعمليات التشفير المرتبطة بها كما هو مطلوب في المعايير العامة. تقوم الخدمة بتخزين واستخدام مفاتيح طويلة العمر في عملية آمنة تتوافق مع متطلبات المعايير العامة.
- SamSs (مدير حسابات الأمن)
- يشير بدء تشغيل هذه الخدمة إلى خدمات أخرى أن مدير حسابات الأمان (SAM) جاهز لقبول الطلبات. سيؤدي تعطيل هذه الخدمة إلى منع إعلام الخدمات الأخرى في النظام عندما تكون SAM جاهزة ، مما قد يؤدي بدوره إلى فشل بدء تشغيل هذه الخدمات بشكل صحيح. لا يجب تعطيل هذه الخدمة.
يتم التعامل معها أيضًا بواسطة lsass.exe وهي سياسة IPSEC المحلية. هذا يدير ويبدأ ISAKMP / Oakley (IKE) وبرنامج تشغيل أمان IP في Windows Server.
عالي التأثر
في ملاحظة أمنية ، هذه العملية آمنة. ولكن من المعروف أن فيروس النسخ يصيب الأنظمة. في الغالب ، تسمى العملية الخبيثة isass.exe (Isass.exe = bad) والتي تشبه Lsass.exe (lsass.exe = good). إذا وجدت أن العملية تبدأ بحرف "i" كبير بدلاً من حرف "L" صغير ، فمن المحتمل أن يكون نظامك مصابًا.
هذا "isass.exe" هو فيروس طروادة يعرف باسم دودة ساسر. الغرض من الدودة هو إصابة نظامك سرا والبدء في جمع البيانات. سيسجل هذا الفيروس كل ضغطة مفتاح يتم كتابتها ، ويذهب بشكل خاص بعد أسماء مستخدمي الحساب وكلمات المرور وأرقام بطاقات الائتمان والبيانات الحساسة الأخرى التي يمكن استخدامها لتحقيق مكاسب مالية احتيالية. إذا وجدت أن جهاز الكمبيوتر الخاص بك مصاب فإن هذا الفيروس قابل للإزالة باستخدام أداة إزالة البرامج الضارة من Microsoft.
لحسن الحظ ، لم يشاهد فيروس "isass.exe" المقلد منذ بضع سنوات. قامت Microsoft منذ فترة طويلة بتصحيح الثغرة الأمنية التي سمحت للفيروس بإصابة Windows. هذا هو السبب في أنه من المهم دائمًا الحفاظ على تحديث النظام الخاص بك.
استنتاج
يعد lsass.xe بشكل عام عملية بدء تشغيل افتراضية تتحكم في تسجيل الدخول إلى الأمان. هذه العملية آمنة وضرورية لوظيفة Windows. لديها بصمة نظام خفيفة ولكن استخدام الذاكرة غير ذي صلة لأن Windows لا يمكن تشغيله بشكل صحيح بدونه. إذا كان جهاز الكمبيوتر الخاص بك متخلفًا عن التحديثات ، فهناك احتمال أن تصاب بفيروس نسخة ، ولكن حتى ذلك الحين من غير المحتمل إلا إذا كنت لا تزال تستخدم نظام التشغيل Windows XP أو إصدار سابق.
الاشتراك
YOU MIGHT ALSO LIKE
