? Hackere nyde at finde kreative måder at udnytte kritiske Windows-operativsystemet filer og et let mål for korruption har været den Local Security Authority Subsystem Service eller LSASS . Lsass administrerer computer sikkerhedspolitikker og brugernes legaliseringer . Dens eksekverbare lsass.exe har inspireret vira, kapre CPU processer og få computeren til at genstarte. Ved at forstå det grundlæggende i LSASS , kan du blive kyndige i at identificere uhensigtsmæssige forekomster af eksekverbare og dermed forhindre virusinfektioner. Formål
Lsass godkender brugere og gennemtvinger sikkerhedspolitik for en computer. Når en bruger logger på computeren , LSASS kontrollerer, om brugerens legitimationsoplysninger er gyldige til computeren og , hvis relevant, at domænet. Efter validering af brugeren genererer LSASS en adgang token og lancerer den første shell. LSASS forvalter også revisionen politik er forbundet med den computer, det overvåger .
Components
Local Security Authority Subsystem service omfatter seks komponenter. Local Security Authority eller LSA , forvalter brugergodkendelse og brugerrettigheder. LSA Server Service dirigerer computersikkerhed. Tjenesten Net Logon skærme og sikrer bruger-og edb- adgang til domænecontroller. Secure Sockets Layer ( SSL) krypterer autentificering opkald til en server. Kerberos v5 -godkendelse og NTLM -protokoller giver tilsyn på de enkelte login protokoller. Endelig Security Accounts Manager Tjenesten fungerer som en tilsynsmand for LSASS proces , hvilket bringer de enkelte komponenter til at fungere sammen.
Forekomster
Selvom det primære LSASS . exe -filen sidder i C: \\ Windows \\ System32 mappen , flere forekomster af filen kan eksistere i form af virusinfektion. Når infektion opstår , kan det spilder værdifulde computer ressourcer og få computeren til at genstarte eller endog crash . Eksempler på virus, der har udnyttet lsass.exe omfatter W32.Nimos.Worm , W32.Sasser.E.Worm , W32.HLLW.Lovegate.C @ mm, Trojan.W32.KELVIR , Trojan.W32.Webus , Trojan.W32 . Satiloler , trojanske E32.Downloader og Trojan.W32.Rontokbr .
Kendte problemer
Hvis en bruger kan antage, at lsass.exe er blevet ødelagt af en virus , Microsoft Corporation har frigivet et værktøj kaldet Microsoft Windows Malicious Software Removal Tool , der renser op varianter af Sasser-ormen . (Reference 4) Microsoft Security Bulletin (MS04 -11) (Resource 1 ) indeholder også en liste over rettelser til at løse fejl i forbindelse med LSASS der Genstart computeren. (Reference 5)