lsass.exe, что это за процесс?

lsass.exe

Что такое lsass.exe?

Это критически важный процесс в операционной системе. Он отвечает за процедуру авторизации пользователя, входящего в систему. Как видно из этого описания, он запускается ещё до загрузки и инициализации пользовательской оболочки, поэтому является важным составным элементом в безопасности операционной системы, контролируя доступ к ресурсам компьютера. При попытке входа в систему программа сверяет уникальную пару логин-пароль с имеющимися записями и, если находит соответствие, то пользователю разрешается доступ к Windows и он может с ней работать в рамках своих прав. Авторизация может произойти автоматически, когда по умолчанию устанавливается вход одного определённого пользователя, или по запросу приложения, которому при успешном входе присваиваются права пользователя. Далее, все программы, запущенные пользователем или приложением, наследуют их права и особую метку, по которой можно узнать, кто их запустил.

Кстати, не следует путать авторизацию пользователя на отдельном компьютере, чем и занимается служба lsass.exe, с авторизацией в сети, к которой подключён данный компьютер.

Является ли lsass.exe вирусом?

Благодаря тому, что служба авторизации контролирует вход пользователей в операционную систему, она представляет собой очень лакомую цель для авторов вирусов. Если удастся подменить исполняемый файл или получить контроль над службой каким-то иным способом, то злоумышленник получит полный доступ к компьютеру и ко всем хранящимся на нём данными. Встроенная защита службы не позволит так просто завладеть учётными данными пользователей — они шифруются. Кроме того, для сравнения не используется сам пароль, а только его хеш.

Конечно, оригинальный lsass.exe – это совсем не вирус, так как является неотъемлемой и очень важной частью Windows. Тем не менее если в диспетчере задач есть этот исполняемый файл, это не значит, что это именно он, системный, а не вирус. Существует много вирусов, троянов, червей, которые маскируются под это приложение.

Как же определить, вредоносная программа это или нет?

Есть несколько способов узнать об этом:

1) Можно запустить антивирус с самыми последними обновлениями и просканировать систему

2) Оригинальный файл lsass.exe всегда лежит по одному адресу – «Системный_каталог\system32». Например, чаще всего это C:\Windows\system32:
lsass_exe_location

Если запущенный файл располагается в какой-либо другой папке, то с большой вероятностью — он вирус. Узнать, где расположен запущенный файл, можно через менеджер задач — на вкладке «Процессы» нужно выбрать приложение, нажав правую кнопку мыши, выбрать тот пункт, открывающий папку с файлом.

3) Если используется операционная система новее Windows XP, то оригинальный процесс lsass.exe не виден в диспетчере задач без применения прав администратора.

4) Вирусы могут иметь другое, но очень похожее название. Например, известный червь Sasser именовал свои исполняемые файлы как isass.exe, lsasss.exe, Isass.exe (‘I’ – заглавная ‘i’).

5) Если операционная система выдаёт сообщения об ошибках, вызываемых процессом lsass.exe, то с большой долей вероятности это результат действия вирусов.

Можно ли завершить lsass.exe из диспетчера задач?

Закрытие этого процесса приведёт к неработоспособности системы. Как уже говорилось, это критически важная для работы Windows программа. При завершении процесса lsass.exe будут проблемы со всеми действиями, требующими проверки прав пользователя — при работе с файлами, запуске приложений и так далее. Система предупредит об этом и перезагрузится в течение одной минуты. Поэтому завершать этот процесс не рекомендуется.

Похожие записи: