Lsass.exe (Local Security Authority Subsystem Service) — это сервисный процесс, который работает в операционной системе Windows Server. Он отвечает за управление аутентификацией пользователей, управление безопасностью и привилегиями, а также обеспечивает доступ к различным системным ресурсам.
Процесс Lsass.exe является неотъемлемой частью ОС Windows Server и запускается при старте системы. Он работает в фоновом режиме и обрабатывает запросы пользователей, связанные с аутентификацией и авторизацией.
Благодаря Lsass.exe сервер может проверять подлинность учетных записей пользователей при входе в систему, а также контролировать их права доступа к файлам и папкам. Этот процесс также отвечает за шифрование данных паролей и другую работу, связанную с обеспечением безопасности операционной системы Windows Server.
Важно отметить, что Lsass.exe является критическим процессом for нормальной работы Windows Server и его нельзя завершать или отключать без серьезных последствий.
Кроме того, Lsass.exe поддерживает централизованное управление политиками безопасности, что позволяет администраторам контролировать доступ пользователей к определенным ресурсам, устанавливать пароли, требующие сложности, и т.д.
В заключение, Lsass.exe является важной частью безопасности и функционирования Windows Server. Этот процесс обеспечивает надежную аутентификацию пользователей и контроль прав доступа, что помогает защитить сервер от различных угроз и обеспечить непрерывную работу системы.
Содержание
- Что это за процесс Lsass.exe в Windows Server?
- Назначение процесса LSASS.EXE
- Роль процесса LSASS.EXE в безопасности системы
- Работа процесса LSASS.EXE в Windows Server
- Взаимодействие процесса LSASS.EXE с другими системными компонентами
- Проблемы и возможные угрозы, связанные с процессом LSASS.EXE
Что это за процесс Lsass.exe в Windows Server?
|
Аутентификация пользователей: |
Процесс Lsass.exe отвечает за проверку учетных записей пользователей при попытке входа в систему. Он проверяет правильность введенных учетных данных и сверяет их с информацией, хранящейся в базе данных безопасности системы (Security Account Manager). |
|
Управление безопасностью: |
Lsass.exe обеспечивает контроль доступа и управление правами пользователей в системе. Он поддерживает механизмы шифрования, аутентификации и аудита, необходимые для обеспечения безопасной работы сервера. |
|
Защита паролей: |
Процесс Lsass.exe отвечает за хранение и защиту паролей пользователей. Он шифрует и хранит пароли в базе данных безопасности системы, предотвращая их несанкционированный доступ. |
|
Взаимодействие с политиками безопасности: |
Lsass.exe обрабатывает политики безопасности, установленные на сервере, и применяет их к пользователям и группам. Это позволяет контролировать разрешения и ограничения, связанные с доступом к системным ресурсам. |
Важно отметить, что процесс Lsass.exe является критическим для корректной работы сервера. Если процесс Lsass.exe завершится или будет поврежден, сервер может перестать функционировать или стать уязвимым для различных видов атак.
Назначение процесса LSASS.EXE
Основной функцией процесса LSASS.EXE является проверка подлинности пользователей при входе в систему и аутентификация запросов на доступ к защищенным ресурсам. Он служит «пропускным пунктом» для всех пользовательских запросов на авторизацию и предоставление доступа к различным сервисам и данных в системе.
LSASS.EXE выполняет следующие задачи:
- Проверка и подтверждение идентификации пользователей по их учетным данным, включая логины и пароли;
- Генерация и проверка аутентификационных токенов для авторизации доступа к системным ресурсам;
- Управление политиками безопасности и контроль доступа в системе;
- Синхронизация паролей пользователей с активной директорией и другими источниками данных;
- Хранение и защита учетных данных пользователей и системных сертификатов;
- Обработка и контроль защищенной коммуникации между клиентами и сервером.
Таким образом, процесс LSASS.EXE является неотъемлемой частью безопасности системы Windows Server и играет важную роль в защите от несанкционированного доступа и злоумышленников.
Роль процесса LSASS.EXE в безопасности системы
Задачи, выполняемые процессом LSASS.EXE, включают:
- Аутентификацию пользователей и проверку их идентичности.
- Управление привилегиями и доступом пользователей.
- Хранение и защиту учетных записей пользователей, паролей и других конфиденциальных данных.
- Обработку запросов авторизации и выдачу доступных ресурсов пользователям.
Процесс LSASS.EXE осуществляет связь с базой данных безопасности (Security Account Manager), где хранятся учетные записи пользователей и связанная с ними информация о безопасности. Он также отслеживает события безопасности и предотвращает несанкционированный доступ к системе, контролируя процессы аутентификации пользователей.
LSASS.EXE является одним из наиболее ценных процессов в системе, и его компрометация может привести к серьезным нарушениям безопасности и уязвимостям системы. Поэтому рекомендуется принимать меры по защите этого процесса, например, обновлять операционную систему регулярно, использовать антивирусное программное обеспечение и настраивать межсетевой экран для блокирования подозрительной активности.
Работа процесса LSASS.EXE в Windows Server
Основные задачи процесса LSASS.EXE включают:
| Функция | Описание |
| Аутентификация пользователя | LSASS.EXE проверяет подлинность пользовательских учетных записей и выполняет процедуры аутентификации при входе в систему. |
| Управление безопасностью | Процесс LSASS.EXE обеспечивает управление безопасностью в Windows Server, включая проверку доступа к ресурсам и управление политиками безопасности. |
| Обработка паролей | LSASS.EXE отвечает за хранение и обработку паролей пользователей, используемых для аутентификации. |
| Создание и проверка сеансовых ключей | LSASS.EXE создает и проверяет сеансовые ключи, используемые для шифрования данных и обеспечения безопасной связи в сети. |
| Запуск служб безопасности | Процесс LSASS.EXE отвечает за запуск и управление службами безопасности, такими как криптографические службы и служба аудита безопасности. |
LSASS.EXE является незаменимым компонентом операционной системы Windows Server, обеспечивающим безопасность и надежность системы. Любые проблемы или неправильное функционирование этого процесса могут привести к серьезным проблемам безопасности и доступности системы.
Взаимодействие процесса LSASS.EXE с другими системными компонентами
LSASS.EXE взаимодействует с другими системными компонентами, обеспечивая безопасность и защиту операционной системы от несанкционированного доступа. Вот некоторые из основных способов взаимодействия LSASS.EXE с другими компонентами:
- Аутентификация пользователей: LSASS.EXE обрабатывает запросы на аутентификацию пользователей, проверяет их учетные данные, такие как пароль, и определяет, имеют ли они доступ к системе.
- Хранение учетных данных: LSASS.EXE сохраняет зашифрованные данные пользователей, такие как пароли и ключи шифрования, в защищенной системной базе данных (Security Accounts Manager).
- Межпроцессное взаимодействие: LSASS.EXE осуществляет взаимодействие с другими процессами и компонентами операционной системы Windows Server, обмениваясь необходимой информацией о безопасности и аутентификации.
- Обработка запросов на доступ: LSASS.EXE проверяет права доступа пользователей к различным ресурсам системы, таким как файлы, папки и сетевые ресурсы, и принимает решение о предоставлении или отказе в доступе.
Таким образом, процесс LSASS.EXE не только обеспечивает безопасность и аутентификацию пользователей, но и активно взаимодействует с другими системными компонентами для эффективного управления безопасностью операционной системы Windows Server.
Проблемы и возможные угрозы, связанные с процессом LSASS.EXE
Одной из распространенных проблем, связанных с процессом LSASS.EXE, является его перегрузка или повышенное использование ресурсов системы. Высокая загрузка этого процесса может вызвать сбой системы и привести к отказу в обслуживании пользователей. Причины такой перегрузки могут быть разными, включая неправильную настройку конфигурации системы, вредоносные программы или атаки на сервер.
Еще одной потенциально опасной угрозой, связанной с процессом LSASS.EXE, является злоумышленник, который может использовать уязвимости в этом процессе для получения повышенных привилегий или доступа к системе. Атаки на процесс LSASS.EXE могут включать в себя внедрение кода, внедрение вредоносного ПО, перехват паролей и другие методы, направленные на компрометацию безопасности системы или получение конфиденциальной информации.
Для защиты от проблем и угроз, связанных с процессом LSASS.EXE, рекомендуется принять следующие меры безопасности:
- Регулярно обновлять операционную систему Windows Server и устанавливать патчи безопасности.
- Использовать надежное антивирусное программное обеспечение и регулярно сканировать систему на наличие вредоносных программ.
- Настраивать фаервол и другие механизмы безопасности для предотвращения несанкционированного доступа к процессу LSASS.EXE.
- Использовать сложные пароли и регулярно изменять их.
- Мониторить процесс LSASS.EXE и в случае обнаружения необычной активности, немедленно проводить расследование и принимать меры для предотвращения атаки или компрометации системы.
Создание надежной защиты процесса LSASS.EXE является неотъемлемой частью общей стратегии безопасности Windows Server и помогает минимизировать риски и проблемы, связанные с этим процессом.
В данном материале мы рассмотрим вопрос о загрузке процессора службой lsass.exe. Для начала давайте узнаем, что это за процесс такой, чтобы знать с чем мы имеем дело.
При работе за компьютером возникают такие моменты, когда система резко начинает тормозить, а приложения, которыми вы пользовались – вылетать. Конечно, необходимо заранее предвидеть такое и оптимизировать систему как надо. К сожалению, если в системе произошел какой-то сбой, возникающий, как по вине самого пользователя, так и из-за вирусов, то тут никакая оптимизация не поможет. Зайдя в диспетчер задач, можно обнаружить загрузку процессора под 100% и процесс, который его загружает. Такое бывает не всегда, но в этом небольшом руководстве мы рассматриваем именно этот случай.
Самое интересное, что наиболее часто загрузка процессора, оперативки или жёсткого диска происходит благодаря системным процессам и это не очень радует.
Если вы обнаружили, что lsass exe грузит процессор, то давайте разберемся с этой проблемой.
Что такое lsass.exe
Системная служба компании Micrososft, отвечающая за защиту данных, вот что такое lsass.exe. Впервые появилась в версии Vista и внедрена во все современные системы. Процесс работает сразу после включения компьютера и отслеживает всё, что делает пользователь, на основе этого активирует какие-либо защитные параметры.
Данной службой загрузка процессора или других компонентов вполне допустима, но продолжаться должно пару минут, а сама нагрузка не больше 70%. Если у вас процесс постоянно нагружает компоненты до 100%, то есть вероятность заражения файлов процесса, либо произошел какой-то сбой.
Если процесс lsass.exe заражён – что делать
Зараженные процессы по любому будут грузить всё до ста процентов, но решить проблему можно так:
Воспользуйтесь утилитами CCleaner, AdwCleaner или подобными, скачать их можно с официальных сайтов.
Зайдите и удалите всё содержимое из папки Temp. Находится она по следующему пути: C:\Users\Имя-Пользователя\AppData\Local\Temp.
Откройте какой-нибудь деинсталлятор и проверьте, какие программы были установлены в последнее время. Если есть что-то подозрительное, то удаляем. Можно воспользоваться Uninstall Tool и альтернативными программами.
Запускаем утилиту AdwCleaner и начинаем сканирование системы.
Скачайте программу UnHackMe, запустите её и снова проведите проверку системы.
Воспользуйтесь программой CCleaner, чтобы почистить реестр от мусора и, возможно, зараженных записей.
Во всех ваших браузерах сделайте сброс настроек.
Еще скачайте кто-нибудь хороший антивирус и просканируйте полностью систему, а если будут найдены вирусы, то естественно удаляем.
Отключить процесс lsass exe
Этот пункт подразумевает, что процесс lsass.exe не заражен. Чтобы он не грузил систему мы просто его остановим, хотя системные службы отключать не рекомендуется, но выбора у нас нет.
Нам нужно попасть в утилиту «Службы». Для этого мы запускаем окно «Выполнить» с помощью клавиш Win+R, а потом вводим туда команду: services.msc.
В открывшемся окне ищем службу «Диспетчер учетных данных» и щелкаем по не дважды левой кнопкой мыши. Выбираете пункт «Свойства».
Откроется окошко, где находим вкладку «Тип запуска» и там выбираем вариант «Отключена». Также не забудьте остановить службу советующей кнопкой. Применяем все действия нажатием по кнопке «Применить».
Утечка памяти в процессе Lsass.exe при высокой рабочей нагрузки SSL в Windows Server 2012 R2 или Windows Server 2012
Симптомы
При использовании функции централизованное хранилище сертификатов, в безопасности службы подсистемы локального администратора (Lsass.exe) возникает утечка памяти при высокой рабочей нагрузки Secure Sockets Layer (SSL) в Windows Server 2012 R2 или Windows Server 2012.
Решение
Для решения этой проблемы, корпорация Майкрософт выпустила исправление. Несмотря на то, что эта проблема наблюдалась только в Windows Server 2012 R2 или Windows Server 2012, исправление также относится к Windows 8.1, Windows 8 и Windows RT 8.1.
Сведения об исправлении
Доступно исправление от службы поддержки Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы просмотреть полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Не существует предварительных условий для установки исправления Windows 8 или Windows Server 2012.
Необходимость перезагрузки
Не требуется перезагружать компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет все ранее выпущенные исправления.
Что такое lsass.exe и насколько это безопасно?
Представьте себе машину с тысячами движущихся частей, и если вы заглянете под капот, то увидите, как все части крутятся и крутятся. Пока один из них не сделает что-то неожиданное, трудно понять, чего от него ожидать. Но вы точно знаете, когда что-то не так.
Некоторые процессы Windows похожи на это, и lsass.exe — один из них. Когда lsass.exe выполняет свою работу, никого не волнует. Когда lssas.exe имеет высокую загрузку процессора или дает сбой, мы замечаем и удивляемся, почему он вообще существует.
Что такое lsass.exe и насколько это безопасно?
Вы можете себе представить, что когда lsass.exe выполняет свою работу, это мощный и очень безопасный инструмент. Вы также можете представить, что, когда он не выполняет свою работу, дела идут плохо.
Как удалить lsass.exe из Windows 11/10
Не удаляйте lsass.exe из Windows, если вы не уверены, что это поддельный lsass.exe. Это очень важно для Windows 11/10. Попытка остановить процесс lsass.exe в Windows 11/10 приведет к появлению сообщения об ошибке. Вы хотите завершить системный процесс «Процесс локальной безопасности»?
Выбор этого приведет к выключению Windows и потере несохраненной работы. Если lsass.exe не работает по какой-либо причине, он, скорее всего, мгновенно выключит Windows.
Как проверить, является ли lsass.exe реальным или нет
Если вы подозреваете, что lsass.exe вызывает проблемы, сначала проверьте, действительно ли это lsass.exe.
Внимательно проверьте имя lsass.exe
L в нижнем регистре, i (I) в верхнем регистре и число 1 могут быть обманчивыми для глаза. Хакеры заменят одно другим. Как вы думаете, настоящий lsass.exe может быть Isass.exe или 1sass.exe.
Название поддельного процесса также может иметь небольшие вариации в написании. Возможно, на S слишком много, пробел или какое-то другое небольшое различие, которое легко не заметить.
Проверьте цифровую подпись Lsass.exe и расположение файла
Сканирование Lsass.exe с помощью Microsoft Defender
Если по-прежнему возникают проблемы, выполните то же сканирование с другим надежный антивирус или приложение для защиты от вредоносных программ.
Если какая-либо из вышеперечисленных проверок не удалась, начните процесс удаления вирусов или вредоносных программ с вашего компьютера.
Может ли lsass.exe стать причиной высокой загрузки ЦП, ОЗУ или других ресурсов системы?
Наиболее важные процессы Windows не используют много ресурсов. У них ограниченные рабочие места, и для их выполнения требуется немного. Тем не менее, lsass.exe может резко увеличиваться при обработке чего-то вроде входа в систему, но он должен почти полностью отказаться от использования в течение секунды или двух.
Если загрузка ЦП программой lsass.exe на сервере контроллера домена (DC) довольно высока, это, вероятно, связано с безопасностью обработки для большого числа пользователей. Он контролирует Active Directory база данных. Если вы знаете об Active Directory (AD), то неудивительно, что lsass.exe будет использовать больше ресурсов на контроллере домена, чем на среднем компьютере.
На DC ожидайте, что lsass.exe будет оставаться ниже 10% ЦП, за исключением пикового времени, когда люди входят в систему или выходят из нее. На ПК ожидайте, что lsass.exe большую часть времени будет оставаться ниже 1%.
Если lsass.exe загружает оперативную память или сеть, есть вероятность, что это не настоящий lsass.exe или он заражен. Примите обычные меры предосторожности, например запуск автономной проверки на вирусы с помощью Microsoft Defender.
Все, что влияет на безопасность, может повлиять на количество ресурсов, которые использует lsass.exe. Разница во времени между DC и подключенной к нему системой. Точное время имеет решающее значение для таких вещей, как сертификаты безопасности. Проверьте DC и подключенные системы на предмет разницы во времени. Вы можете использовать сервер протокола сетевого времени (NTP) для синхронизации времени для всех устройств в домене.
Поврежденные системные файлы также могут быть причиной высокого использования ресурсов законным lsass.exe. Попробуйте использовать команды SFC и DISM для очистить и восстановить системные файлы.
Если автономное сканирование на вирусы и использование команд SFC и DISM не решают проблему, возможно, единственный вариант — стереть и переустановить Windows.
Где я могу узнать больше о процессах Windows?
Хорошо, что вы заинтересовались тем, как работает ваше устройство с Windows! У нас есть много статей о процессах Windows, о том, можно ли их удалить и почему у процесса может быть ЦП, память, сеть или использование диска слишком велико.
Мы также покажем, как использовать SysInternals Process Monitor и Process Explorer для устранения проблем. Если вы не видите статью о процессе, который вас интересует, дайте нам знать. Мы будем рады написать это для вас.
Lsass exe что это за процесс windows server
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Общие обсуждения
Переписка со службой поддержки Kaspersky:
Kaspersky Small Office Security 6.0 File Server Protection
Запрос ожидает обработки
Ваше сообщение
Ответ Службы технической поддержки
Ваше сообщение
Инструкцию выполнили (хотя маркер напротив пункта: «Обнаружить другие программы, которые могут быть использованы для нанесения вреда компьютеру или данным пользователя» был установлен ранее), ситуация сохраняется, шлю файл lsass.exe в архиве с паролем: infected. Так же у меня вопрос: как заблокировать исходящий трафик процесса lsass.exe? Блокировка с помощью «сетевых правил программы» не помогает. Сетевая активность в «Мониторинге сети» Kaspersky Small Office Security не фиксирует все соединения процесса Local Security Authority Process (тот же lsass.exe) в отличие от сетевой активности на закладке сеть в мониторинге ресурсов Windpws. Согласно мониторингу ресурсов Windpws процесс lsass.exe отправляет данных 1093 КБ/с тогда как сетевая активность в «Мониторинге сети» Kaspersky того же процесса фиксируется в 0,04 КБ/с, при общем исходящем трафике 4,50 КБ/с. Так например согласно прикрепленной к настоящему сообщению «Сетевой активности от 25.06.2019» Kaspersky не фиксирует соединение процесса lsass.exe с исходящим трафиком 677 КБ/с на адрес 123.138.91.29 в отличии от мониторинга ресурсов Windpws. Что говорит о некорректной работе программы Kaspersky Small Office Security. Прошу разобраться в этом и помочь решить данную проблему.
Файлы: lsass.rarСетевая активность от 25.06.2019.jpg
Ответ Службы технической поддержки
Ваше сообщение
Установили последние обновления Windows, проблема сохранилась. Так же было замечено, что при попытки блокировки процесса lsass.exe описанным ранее способом то привадила к высвобождению трафика, то нет, как будто я и не блокировал этот процесс. В процессе дня наблюдается эпизодические всплески данного процесса. Он появляется, загружает сеть исходящим трафиком так, что не возможно пользоваться интернетом и со временем все нормализуется. Окончательно заблокировать исходящий трафик процесса lsass.exe с помощью «сетевых правил программы» в Kaspersky Small Office Security не удается. Даже если любая сетевая активность для адреса подсети – Доверительная, Локальная и Публичная сети стоит на запрете процесс lsass.exe грузит сеть своим большим до 8 Мбит/с исходящим трафиком при пропускной способности интернета в 2 Мбита/с. Приложения: отчёт утилиты GetSystemInfo версии 6.
Ответ Службы технической поддержки
Lsass.exe: что это за процесс и почему он грузит процессор
В Диспетчере задач Windows можно встретить процесс с названием «lsass.exe». Обычно данный файл просто висит в памяти компьютера и не создает никаких неудобств. Но, некоторые пользователи сталкиваются с тем, что процесс «lsass.exe» грузит процессор, память или диск на 100%.
В этой статье мы расскажем, что это за процесс, является ли он вирусом и можно ли его удалить.
Lsass.exe: что это за процесс
Поскольку процесс « lsass.exe » присутствует во всех современных версиях Windows, он часто используется создателями вирусов и шпионских программ для маскировки своих зловредов в системе. Вредоносные программы могут заражать непосредственно сам файл « lsass.exe » в папке System32, создавать файлы с похожими названиями в папке System32 или использовать такое же имя, но располагаться в других папках.
Lsass.exe – это вирус?
Можно ли удалять lsass.exe?
Удалять файл « lsass.exe », даже в случае заражения вирусами, нельзя. Поскольку без этого файла вы не сможете зайти в систему и продолжить работу. Фактически Windows выйдет из строя и вам придется восстанавливать работу с помощью загрузочного диска.
Но, если в качестве первой буквы указана большая буква « i » ( Isass.exe ), то такой файл является вирусом, который просто прикидывается системным файлом, и его можно спокойно удалять. Для того чтобы проверить, какая буква используется нужно скопировать имя файла и перевести его в нижний регистр (lowercase). Это можно сделать при помощи онлайн сервисов или программы Word.
Кроме этого, для маскировки вредоносного файла могут использоваться и другие ошибки в названии файла, например:
Также файл « lsass.exe » можно удалять если он находится не в папке « c:\windows\system32 ». В этом случае это также вирус.
Как проверить lsass.exe
Для того чтобы узнать точное название файла и его расположение, нужно открыть « Диспетчер задач », перейти на вкладку « Подробности » и открыть свойства файла.
В результате откроется окно со свойствами, в котором будет указано имя файла и его расположение.
В свойствах файла также можно проверить цифровую подпись. Оригинальный файл « lsass.exe » должен быть подписан компанией Майкрософт.
Проверка целостности системных файлов
Чтобы проверить всю операционную систему на целостность файлов нужно запустить командную строку с правами администратора и выполнить команду:
Также с помощью SFC можно проверить только файл « lsass.exe ». Для этого нужно использовать команду « sfc /scanfile » с указанием полного пути к файлу, например:
Для использования DISM вам также понадобится командная строка с правами администратора. В этом случае для проверки системы нужно выполнить:
Если операционная система не загружается, то эти команды можно выполнить с загрузочного диска. Более подробно об использовании SFC и DISM можно прочитать в отдельной статье о проверке целостности системных файлов.
Lsass.exe грузит процессор, память или диск
Пользователи иногда сталкиваются с тем, что процесс « lsass.exe » создает высокую нагрузку на процессор, оперативную память или жесткий диск. Ниже мы рассмотрим некоторые причины и возможные решения данной проблемы.
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.
Процесс отвечает за проверку попыток входа в систему на ваш комьютер.
Lsass.exe – исходя из определения Microsoft, Local Security Authentication Server. Процесс отвечает за проверку попыток авторизации на системе. Если произошел успешный вход системе, процесс создает маркер доступа пользователя и, в дальнейшем использует его для запуска оболочки (explorer.exe). Все процессы, которые запускает пользователь, также будут соответствовать этому маркер.
Этот процесс является критическим для работы Windows и его работа не может быть завершена через диспечер задач. lsass.exe всегда выполняется с правами SYSTEM.
При заражении трояном или при получении полного доступа к данному сервису система полностью «обезоруживается» — злоумышленник может получить полные права для доступа к целевому компьютеру. Поэтому способ шифрования и способ передачи данных для авторизации между компонентами не документируется. К тому же пароль передаётся не в чистом виде, а в виде хеша, который сравнивается с хешем реального пароля.
Так как процесс выполняется всегда на всех NT версиях Windows, он часто используется авторами вирусов и шпионских программ для сокрытия своего присутствия на системе.
Злонамеренные файлы могут иметь такое же имя, но будут расположены в отличной от %SystemRoot%\System32 директории. Если вам удается завершить процесс с таким именем в диспечере задач, это означает, что он не является легитимным. Также никогда не может быть более одной копии процесса в памяти компьютера.
Наиболее известные ошибки с lsass.exe:
- Сообщение об ошибке «lsass.exe. system error» – эта ошибка вызывается сетевым червем Sasser. Эта ошибка также может заблокировать вам вход в систему. Попытайтесь по возможности загрузится в безопасном режиме и проксанировать компьютер на наличие вирусов. После удаления вируса, восстановите Windows с помощью установочного диска.
- Процесс использует 100% ресурсов CPU – в некоторых случаях процесс может использовать дополнительные ресурсы центрального процессора. Обычно это происходит на старых, необновленных версиях Windows. Установите последние обновления на компьютере.
- В случае если файл lsass.exe был удален, при загрузке Windows отобразит черное окно без приглашения входа в систему.
В Диспетчере задач Windows можно встретить процесс с названием «lsass.exe». Обычно данный файл просто висит в памяти компьютера и не создает никаких неудобств. Но, некоторые пользователи сталкиваются с тем, что процесс «lsass.exe» грузит процессор, память или диск на 100%.
В этой статье мы расскажем, что это за процесс, является ли он вирусом и можно ли его удалить.
Lsass.exe: что это за процесс
Аббревиатура LSASS расшифровывается как Local Security Authority Subsystem Service, что можно перевести как Сервис проверки подлинности локальной системы безопасности. LSASS является частью операционной системы Windows и выполняет функции, связанные с авторизацией локальных пользователей. При каждом входе локального пользователя в систему процесс «lsass.exe» проверяет пароль или другие данные для авторизации и разрешает или запрещает вход. Без данного файла вход локальных пользователей в Windows невозможен.
Поскольку процесс «lsass.exe» присутствует во всех современных версиях Windows, он часто используется создателями вирусов и шпионских программ для маскировки своих зловредов в системе. Вредоносные программы могут заражать непосредственно сам файл «lsass.exe» в папке System32, создавать файлы с похожими названиями в папке System32 или использовать такое же имя, но располагаться в других папках.
Lsass.exe – это вирус?
Процесс «lsass.exe» с буквой L, а не i, и расположением в папке «c:\windows\system32» является частью операционной системы Windows и не несет какой-либо опасности. Но, как и любой файл на компьютере, он может быть заражен в результате проникновения вирусов. В этом случае для очистки файла нужно использовать антивирусные программы. Они могут определить наличие вируса и выполнить очистку файла.
Можно ли удалять lsass.exe?
Удалять файл «lsass.exe», даже в случае заражения вирусами, нельзя. Поскольку без этого файла вы не сможете зайти в систему и продолжить работу. Фактически Windows выйдет из строя и вам придется восстанавливать работу с помощью загрузочного диска.
Но, если в качестве первой буквы указана большая буква «i» (Isass.exe), то такой файл является вирусом, который просто прикидывается системным файлом, и его можно спокойно удалять. Для того чтобы проверить, какая буква используется нужно скопировать имя файла и перевести его в нижний регистр (lowercase). Это можно сделать при помощи онлайн сервисов или программы Word.
Кроме этого, для маскировки вредоносного файла могут использоваться и другие ошибки в названии файла, например:
isass.exe lsass .exe lsassa.exe lsasss.exe Isassa.exe
Также файл «lsass.exe» можно удалять если он находится не в папке «c:\windows\system32». В этом случае это также вирус.
Как проверить lsass.exe
Для того чтобы узнать точное название файла и его расположение, нужно открыть «Диспетчер задач», перейти на вкладку «Подробности» и открыть свойства файла.
В результате откроется окно со свойствами, в котором будет указано имя файла и его расположение.
В свойствах файла также можно проверить цифровую подпись. Оригинальный файл «lsass.exe» должен быть подписан компанией Майкрософт.
Проверка целостности системных файлов
После очистки файла «lsass.exe» с помощью антивирусов желательно выполнить проверку целостности системных файлов. Для этого можно использовать такие встроенные в Windows инструменты как SFC и DISM.
Чтобы проверить всю операционную систему на целостность файлов нужно запустить командную строку с правами администратора и выполнить команду:
sfc /scannow
Также с помощью SFC можно проверить только файл «lsass.exe». Для этого нужно использовать команду «sfc /scanfile» с указанием полного пути к файлу, например:
sfc /scanfile=C:\Windows\System32\lsass.exe
Для использования DISM вам также понадобится командная строка с правами администратора. В этом случае для проверки системы нужно выполнить:
dism /Online /Cleanup-Image /RestoreHealth
Если операционная система не загружается, то эти команды можно выполнить с загрузочного диска. Более подробно об использовании SFC и DISM можно прочитать в отдельной статье о проверке целостности системных файлов.
Lsass.exe грузит процессор, память или диск
Пользователи иногда сталкиваются с тем, что процесс «lsass.exe» создает высокую нагрузку на процессор, оперативную память или жесткий диск. Ниже мы рассмотрим некоторые причины и возможные решения данной проблемы.
- Вирусы. Проверьте имя, расположение и цифровую подпись файла, так как это описано выше. Выполните проверку компьютера на вирусы. Помните, что в Диспетчере задач не должно быть более одной копии процесса «lsass.exe». Наличие нескольких копий «lsass.exe» говорит о наличии вируса.
- Повреждение файлов. Выполните проверку системных файлов с помощью SFC и DISM. При необходимости проверку можно выполнить с загрузочного диска Windows.
- Проблемы с браузером. В некоторых пользователей процесс «lsass.exe» грузит процессор при запуске браузера (чаще всего Chrome). В этом случае попробуйте выполнить переустановку браузер или удалить следующую папку:
C:\Users\<username>\appdata\roaming\microsoft\protect\<guid>
Обратите внимание, это приведет к удалению паролей, локально сохраненных в браузере.
Посмотрите также:
- Как завершить процесс через командную строку в Windows 7 или Windows 10
- Как перезапустить Проводник (Explorer) в Windows 10 или Windows 7
- Csrss.exe: что это за процесс в Windows 7, 10, 11
- Как поставить высокий приоритет программе в Windows 11 и Windows 10
- Dwm.exe: что это за процесс на Windows 11 и Windows 10
Автор
Александр Степушин
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Остались вопросы?
Задайте вопрос в комментариях под статьей или на странице
«Задать вопрос»
и вы обязательно получите ответ.
|
|
This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed. |
Local Security Authority Subsystem Service (LSASS)[1] is a process in Microsoft Windows operating systems that is responsible for enforcing the security policy on the system. It verifies users logging on to a Windows computer or server, handles password changes, and creates access tokens.[2] It also writes to the Windows Security Log.
Forcible termination of lsass.exe will result in the system losing access to any account, including NT AUTHORITY, prompting a restart of the machine.
Because lsass.exe is a crucial system file, its name is often faked by malware. The lsass.exe file used by Windows is located in the directory %WINDIR%\System32 and the description of the file is Local Security Authority Process. If it is running from any other location, that lsass.exe is most likely a virus, spyware, trojan or worm. Due to the way some systems display fonts, malicious developers may name the file something like Isass.exe (capital «i» instead of a lowercase «L») in efforts to trick users into installing or executing a malicious file instead of the trusted system file.[3] The Sasser worm spreads by exploiting a buffer overflow in the LSASS on Windows XP and Windows 2000 operating systems.
References[edit]
- ^ «Configuring Additional LSA Protection». Microsoft. Retrieved 2022-02-04.
- ^ «Windows 7 Services | Windows CMD». SS64.com. Retrieved 2016-05-24.
- ^ «The Best Way To Remove Lsass.exe Virus — Fix Lsass Process». Errorboss.com. 23 December 2014. Retrieved 2016-05-24.
External links[edit]
- Security Subsystem Architecture
- LSA Authentication
- MS identity management
Microsoft Windows components |
|||||||
|---|---|---|---|---|---|---|---|
|
|||||||
| Management tools |
|
||||||
| Apps |
|
||||||
| Shell |
|
||||||
| Services |
|
||||||
| File systems |
|
||||||
| Server |
|
||||||
| Architecture |
|
||||||
| Security |
|
||||||
| Compatibility |
|
||||||
| API |
|
||||||
| Games |
|
||||||
| Discontinued |
|
||||||
| Spun off to Microsoft Store |
|
||||||
|
