¿Qué es lsass.exe y por qué se está ejecutando?
Conocido como el servidor de autenticación de seguridad local, este archivo genera el proceso responsable de autenticar a los usuarios en el servicio WinLogon. El proceso se realiza mediante el uso de paquetes de autenticación, como el msgina.dll predeterminado. Cuando la autenticación es exitosa, lsass.exe genera un token de acceso de usuario, que se utiliza para iniciar el shell inicial. Otros procesos que el usuario inicia heredan este token..
Una mirada a lsass.exe en el explorador de procesos revela que maneja 3 servicios de autenticación primaria en Windows:
- EFS (Sistema de cifrado de archivos)
- Proporciona la tecnología de cifrado de archivos principal utilizada para almacenar archivos cifrados en volúmenes de sistema de archivos NTFS. Si este servicio se detiene o desactiva, la aplicación no podrá acceder a los archivos cifrados.
- KeyIso (aislamiento de claves CNG)
- El aislamiento de la clave CNG está alojado en el proceso LSA. El servicio proporciona un proceso de aislamiento de claves a las claves privadas y las operaciones criptográficas asociadas que requieren los Criterios comunes. El servicio almacena y utiliza claves de larga duración en un proceso seguro que cumple con los requisitos de los Criterios comunes..
- SamSs (administrador de cuentas de seguridad)
- El inicio de este servicio indica a otros servicios que el Administrador de cuentas de seguridad (SAM) está listo para aceptar solicitudes. La desactivación de este servicio evitará que se notifique a otros servicios en el sistema cuando SAM esté listo, lo que a su vez puede hacer que esos servicios no se inicien correctamente. Este servicio no debe ser deshabilitado..
También manejado por lsass.exe es la política local de IPSEC. Esto administra e inicia el ISAKMP / Oakley (IKE) y el controlador de seguridad IP en Windows Server.
Vulnerabilidad
En una nota de seguridad, este proceso es seguro. Sin embargo, se sabe que un virus copy-cat infecta los sistemas. Predominantemente, el proceso malicioso se llama isass.exe (Isass.exe = malo) que se parece a Lsass.exe (lsass.exe = bueno). Si encuentra que el proceso comienza con una "i" mayúscula en lugar de una "L" minúscula, es probable que su sistema esté infectado.
Este "isass.exe" es un virus troyano conocido como el gusano Sasser. El propósito del gusano es infectar de forma encubierta su sistema y comenzar a recopilar datos. Este virus registrará cada pulsación de tecla y buscará nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos confidenciales que se puedan usar para obtener ganancias financieras fraudulentas. Si descubre que su computadora está infectada, este virus se puede eliminar con la herramienta de eliminación de malware de Microsoft..
Afortunadamente, el virus "isass.exe" no se ha visto en algunos años. Microsoft ha solucionado la vulnerabilidad que permitía que el virus infectara Windows. Por eso es importante mantener siempre el sistema actualizado..
Conclusión
En general, lsass.xe es un proceso de inicio predeterminado que controla el inicio de sesión de seguridad. Este proceso es seguro y esencial para la función de Windows. Tiene una huella de sistema ligero, sin embargo, su uso de memoria es irrelevante porque Windows no puede ejecutarse correctamente sin él. Si su computadora está atrasada con las actualizaciones, existe la posibilidad de que se infecte con un virus copy-cat, pero aún así es poco probable a menos que aún esté ejecutando Windows XP o una versión anterior.
