? Hackers desfrutar de encontrar formas criativas de explorar os arquivos críticos do sistema operacional Windows , e um alvo fácil para a corrupção tem sido o Security Authority Subsystem Service local, ou lsass . Lsass administra as políticas de segurança de computadores e autenticações do usuário. Sua lsass.exe executável inspirou vírus que roubam processos de CPU e causar o computador para reiniciar. Ao compreender as noções básicas de lsass , você pode se tornar mais experiente na identificação de casos inadequados do executável e, assim, prevenir infecções virais. Finalidade
Lsass autentica os usuários e reforça a política de segurança de um computador. Quando um usuário faz logon no computador, cheques lsass se as credenciais do usuário são válidas para o computador e , se for o caso , para o domínio . Depois de validar o usuário , lsass gera um token de acesso e inicia o shell inicial. LSASS também gerencia a política de auditoria associado ao computador que monitora .
Componentes
O Security Authority Subsystem Service local inclui seis componentes . A Autoridade de Segurança Local, ou LSA , gerencia privilégios de autenticação de usuário e de usuário. O Server Service LSA dirige segurança do computador. Os monitores de serviço Logon de rede e protege o usuário eo computador de acesso para o controlador de domínio . Secure Sockets Layer ( SSL) criptografa chamadas de autenticação para um servidor. Os protocolos de autenticação Kerberos v5 e NTLM a supervisão em protocolos de login individuais. Finalmente , o Serviço Security Accounts Manager atua como um supervisor do processo lsass , trazendo os componentes individuais para funcionar em conjunto .
Instâncias
Embora o lsass primário . exe fica no diretório C: \\ Windows \\ System32 , várias instâncias do arquivo pode existir por meio de infecção viral. Quando a infecção ocorre , pode desperdiçar recursos valiosos do computador e fazer com que o computador seja reiniciado ou até mesmo travar . Exemplos de vírus que exploraram lsass.exe incluem W32.Nimos.Worm , W32.Sasser.E.Worm , W32.HLLW.Lovegate.C @ mm , Trojan.W32.KELVIR , Trojan.W32.Webus , Trojan.W32 . Satiloler , Trojan E32.Downloader e Trojan.W32.Rontokbr .
Problemas conhecidos
Se um usuário desconfia que lsass.exe foi corrompido por um vírus , a Microsoft corporation lançou uma ferramenta chamada ferramenta de Remoção de Software malicioso do Microsoft Windows que limpa variantes do worm Sasser . (Referência 4) Boletim de Segurança da Microsoft (MS04 -11) (Resource 1) também fornece uma lista de correções para ajudar a resolver os erros associados à lsass que reiniciar o computador. (Referência 5)