¿Qué es lsass.exe y por qué se está ejecutando?

Entonces ha encontrado que lsass.exe se ejecuta en su sistema Windows Probablemente le gustaría saber si es un virus o si es algo que se supone que debe estar allí. Bueno, tenemos buenas noticias. Este proceso no es un virus, lsass.exe fue creado por Microsoft y es un sistema central "Proceso de autoridad de seguridad local" integrado en Windows. Sin embargo, existen algunos riesgos de un archivo copy-cat. Para más detalles sigue leyendo.

Conocido como el servidor de autenticación de seguridad local, este archivo genera el proceso responsable de autenticar a los usuarios en el servicio WinLogon. El proceso se realiza utilizando paquetes de autenticación como el msgina.dll predeterminado. Cuando la autenticación es exitosa, lsass.exe genera un token de acceso de usuario, que se utiliza para iniciar el shell inicial. Otros procesos que inicia el usuario heredan este token.

Una mirada a lsass.exe en el explorador de procesos revela que maneja 3 servicios de autenticación principales en Windows:

• EFS (Sistema de cifrado de archivos)
  • Proporciona la tecnología central de cifrado de archivos utilizada para almacenar archivos cifrados en volúmenes del sistema de archivos NTFS. Si este servicio se detiene o deshabilita, la aplicación no podrá acceder a los archivos cifrados.
• KeyIso (aislamiento de clave CNG)
  • El aislamiento de la clave CNG está alojado en el proceso LSA. El servicio proporciona aislamiento de proceso de clave a claves privadas y operaciones criptográficas asociadas según lo requerido por los Criterios comunes. El servicio almacena y utiliza claves de larga duración en un proceso seguro que cumple con los requisitos de Criterios comunes.
• SamSs (Gerente de Cuentas de Seguridad)
  • El inicio de este servicio señala a otros servicios que el Administrador de Cuentas de Seguridad (SAM) está listo para aceptar solicitudes. Deshabilitar este servicio evitará que otros servicios en el sistema sean notificados cuando SAM esté listo, lo que a su vez puede causar que esos servicios no se inicien correctamente. Este servicio no debe deshabilitarse.

También manejado por lsass.exe es la política local de IPSEC. Esto administra e inicia el ISAKMP / Oakley (IKE) y el controlador de seguridad IP en Windows Server.

Vulnerabilidad

En una nota de seguridad, este proceso es seguro. Sin embargo, se sabe que un virus copy-cat infecta los sistemas. Predominantemente, el proceso malicioso se denomina isass.exe (Isass.exe = malo) que se parece a Lsass.exe (lsass.exe = bueno). Si encuentra que el proceso comienza con una "i" mayúscula en lugar de una "L" minúscula, es probable que su sistema esté infectado.

Este "isass.exe" es un virus troyano conocido como gusano Sasser. El objetivo del gusano es infectar de manera encubierta su sistema y comenzar a recolectar datos. Este virus registrará cada pulsación de tecla que se ingrese y, en particular, irá detrás de los nombres de usuario, las contraseñas, los números de tarjeta de crédito y otros datos confidenciales de la cuenta que pueden usarse para obtener ganancias financieras fraudulentas. Si encuentra que su computadora está infectada, este virus se puede eliminar usando Herramienta de eliminación de malware de Microsoft.

Afortunadamente, el virus copycat "isass.exe" no se ha visto en algunos años. Microsoft hace tiempo que parchó la vulnerabilidad que permitió que el virus infecte Windows. Por eso es importante mantener siempre actualizado su sistema.

Conclusión

En general, lsass.xe es un proceso de inicio predeterminado que controla la seguridad de inicio de sesión. Este proceso es seguro y esencial para la función de Windows. Tiene una huella ligera del sistema, sin embargo, su uso de memoria es irrelevante porque Windows no puede funcionar correctamente sin él. Si su computadora está atrasada con las actualizaciones, existe la posibilidad de que se infecte con un virus copy-cat, pero aun así es poco probable a menos que todavía esté ejecutando Windows XP o una versión anterior.