Security Lab

Lsass.exe

Lsass.exe

Процесс отвечает за проверку попыток входа в систему на ваш комьютер.

Lsass.exe – исходя из определения Microsoft,  Local Security Authentication Server. Процесс отвечает за проверку попыток авторизации на системе. Если произошел успешный вход системе, процесс создает маркер доступа пользователя и, в дальнейшем использует его для запуска оболочки (explorer.exe). Все процессы, которые запускает пользователь, также будут соответствовать этому маркер.

Этот процесс является критическим для работы Windows и его работа не может быть завершена через диспечер задач. lsass.exe всегда выполняется с правами SYSTEM.
При заражении трояном или при получении полного доступа к данному сервису система полностью «обезоруживается» — злоумышленник может получить полные права для доступа к целевому компьютеру. Поэтому способ шифрования и способ передачи данных для авторизации между компонентами не документируется. К тому же пароль передаётся не в чистом виде, а в виде хеша, который сравнивается с хешем реального пароля.

Так как процесс выполняется всегда на всех NT версиях Windows, он часто используется авторами вирусов и шпионских программ для сокрытия своего присутствия на системе.
Злонамеренные файлы могут иметь такое же имя, но будут расположены в отличной от %SystemRoot%\System32 директории.  Если вам удается завершить процесс с таким именем в диспечере задач, это означает, что он не является легитимным. Также никогда не может быть более одной копии процесса в памяти компьютера.
Наиболее известные ошибки с lsass.exe:

  • Сообщение об ошибке "lsass.exe. system error" – эта ошибка вызывается сетевым червем Sasser. Эта ошибка также может заблокировать вам вход в систему. Попытайтесь по возможности загрузится в безопасном режиме и проксанировать компьютер на наличие вирусов. После удаления вируса, восстановите Windows с помощью установочного диска.
  • Процесс использует 100% ресурсов CPU – в некоторых случаях процесс может использовать дополнительные ресурсы центрального процессора.  Обычно это происходит на старых, необновленных версиях Windows.  Установите последние обновления на компьютере.
  • В случае если файл lsass.exe был удален, при загрузке Windows отобразит черное окно без приглашения входа в систему.