Qu'est-ce que lsass.exe et pourquoi est-il en cours d'exécution?

Vous avez donc trouvé lsass.exe en cours d'exécution sur votre système Windows. Vous aimeriez probablement savoir s’il s’agit d’un virus ou si c’est quelque chose qui est censé être présent. Eh bien, nous avons de bonnes nouvelles. Ce processus n'est pas un virus, lsass.exe a été créé par Microsoft et est un système central «processus d'autorité de sécurité locale» intégré à Windows. Cependant, il existe certains risques de copie d'un fichier cat. Pour plus de détails, lisez la suite.

Connu sous le nom de serveur d'authentification de sécurité local, ce fichier génère le processus responsable de l'authentification des utilisateurs dans le service WinLogon. Le processus est effectué à l'aide de packages d'authentification tels que le msgina.dll par défaut. Lorsque l'authentification réussit, lsass.exe génère un jeton d'accès utilisateur, qui est utilisé pour lancer le shell initial. Les autres processus lancés par l'utilisateur héritent de ce jeton.

Un coup d'oeil à lsass.exe dans l'explorateur de processus révèle qu'il gère 3 services d'authentification principaux dans Windows:

• EFS (Encrypting File System)
  • Fournit la technologie de chiffrement de fichiers principale utilisée pour stocker des fichiers chiffrés sur des volumes de système de fichiers NTFS. Si ce service est arrêté ou désactivé, l'application ne pourra pas accéder aux fichiers cryptés.
• KeyIso (isolation de clé CNG)
  • L'isolement de la clé CNG est hébergé dans le processus LSA. Le service fournit l'isolation du processus de clé aux clés privées et aux opérations cryptographiques associées, comme l'exigent les Critères communs. Le service stocke et utilise des clés à longue durée de vie dans un processus sécurisé conforme aux exigences des Critères communs.
• SamSs (Security Accounts Manager)
  • Le démarrage de ce service signale aux autres services que le Security Accounts Manager (SAM) est prêt à accepter les demandes. La désactivation de ce service empêchera les autres services du système d'être notifiés lorsque SAM est prêt, ce qui peut à son tour entraîner l'échec de ces services à démarrer correctement. Ce service ne doit pas être désactivé.

La politique IPSEC locale est également gérée par lsass.exe. Cela gère et démarre ISAKMP / Oakley (IKE) et le pilote de sécurité IP dans Windows Server.

Vulnérabilité

Sur une note de sécurité, ce processus est sûr. Cependant, un virus copy-cat est connu pour infecter les systèmes. Le processus malveillant est principalement nommé isass.exe (Isass.exe = mauvais), qui ressemble à Lsass.exe (lsass.exe = bon). Si vous trouvez que le processus commence par un «i» majuscule au lieu d'un «L» minuscule, votre système est probablement infecté.

Ce «isass.exe» est un virus de Troie connu sous le nom de ver Sasser. Le but du ver est d'infecter secrètement votre système et de commencer à récolter des données. Ce virus enregistrera chaque frappe tapée, et recherchera en particulier les noms d'utilisateur de compte, les mots de passe, les numéros de carte de crédit et d'autres données sensibles qui peuvent être utilisées pour un gain financier frauduleux. Si vous trouvez que votre ordinateur est infecté, ce virus peut être supprimé à l'aide du Outil de suppression des logiciels malveillants Microsoft.

Heureusement, le virus copycat «isass.exe» n’a pas été détecté depuis quelques années. Microsoft a depuis longtemps corrigé la vulnérabilité qui permettait au virus d’infecter Windows. C'est pourquoi il est important de toujours garder votre système à jour.

Conclusion

Globalement, lsass.xe est un processus de démarrage par défaut qui contrôle la sécurité de connexion. Ce processus est sûr et essentiel au fonctionnement de Windows. Il a une faible empreinte système, mais son utilisation de la mémoire n'est pas pertinente car Windows ne peut pas fonctionner correctement sans lui. Si votre ordinateur est en retard sur les mises à jour, il est possible que vous soyez infecté par un virus copy-cat, mais même dans ce cas, il est peu probable, sauf si vous utilisez toujours Windows XP ou une version antérieure.