Сервис проверки подлинности локальной системы безопасности (Local Security Authority Server Service, LSASS) — это процесс, который управляет политикой безопасности компьютера. LSASS проверяет логины, изменения паролей, токены доступа и административные привилегии у пользователей системы или сервера.
LSASS можно сравнить с охранником, который проверяет документы на входе в ночной клуб. Без него в заведение смог бы попасть любой человек с поддельными документами.
Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.
LSASS выполняется как процесс под названием lsass.exe. При запуске lsass.exe хранит в памяти такие аутентификационные данные, как зашифрованные пароли, НТ-хэши, LM-хэши и билеты Kerberos. Благодаря этому пользователи могут работать с файлами во время активных сеансов Windows, не вводя учетные данные каждый раз, когда нужно выполнить какую-либо задачу.
При краже учетных данных злоумышленники удаляют, перемещают, редактируют или заменяют настоящий файл lsass.exe. Для этого обычно используются такие инструменты, как Mimikatz, Crackmapexec и Lsassy.
ОШИБКА 404: ОБЪЯСНЯЕМ НАКОНЕЦ
Как происходит кража учетных данных через LSASS
Для этого злоумышленники обычно получают удаленный доступ к компьютеру жертвы — это можно сделать несколькими способами.
Во-первых, хакеру нужно получить права администратора, чтобы изменять LSASS. Так он сможет установить вредоносное ПО, чтобы скопировать данные процесса LSASS, скачать эту копию и локально извлечь из нее учетные данные.
Читайте по теме:
Однако, поскольку антивирус Microsoft Defender обнаруживает и удаляет вредоносное ПО все эффективнее, хакеры все чаще применяют тактику Living off the Land, при которой атаки совершаются через предустановленные программы.
Признаки кражи учетных данных
Эти пять способов помогут выяснить, не стали ли вы жертвой хакерской атаки.
Lsass.exe использует много аппаратных ресурсов
Откройте «Диспетчер задач» и проверьте, сколько CPU и памяти использует этот процесс. В обычных условиях он потребляет 0% CPU и около 5 МБ памяти. Стоит насторожиться, если он сильно нагружает CPU и задействует более 10 МБ, а вы за последнее время не выполняли никаких действий, связанных с безопасностью, например не меняли данные для входа.
В таком случае завершите процесс через «Диспетчер задач». Затем откройте местоположение файла и удалите его. В отличие от поддельного, реальный процесс отобразит ошибку. Помимо этого, стоит заглянуть в «Историю файлов» и проверить, не сохранила ли Windows резервную копию процесса.
В названии процесса есть ошибки
Хакеры часто переименовывают взломанные процессы так, чтобы они выглядели как настоящие. В таком случае злоумышленник может использовать заглавную «i», чтобы имитировать «L» в аббревиатуре LSASS. Обнаружить такое название можно с помощью конвертера регистров.
В названии также могут присутствовать лишние «a» и «s». Если вы встретили подобный файл, то удалите его (а также его резервные копии из «Истории файлов»).
Lsass.exe находится в другой папке
Снова откройте «Диспетчер задач», пролистайте до «Процессы Windows» и найдите Local Security Authority Process. Затем нажмите на него правой кнопкой мыши и выберите «Открыть расположение файла».
Настоящий файл lsass.exe находится в папке C:WindowsSystem32. Если он расположен в любом другом месте, то это, скорее всего, вредоносное ПО, и его стоит удалить.
В «Диспетчере задач» есть более одного процесса Lsass
В «Диспетчере задач» должен отображаться лишь один Local Security Authority Process. При открытии выпадающего меню, расположенного слева от названия процесса, появляется список активных служб — это тоже нормально.
Однако если вы обнаружили несколько процессов LSASS, а также более одного lsass.exe при открытии расположения файла, то велика вероятность, что ваш компьютер подвергся атаке хакеров. Попробуйте удалить эти файлы — если это настоящий lsass.exe, появится ошибка.
Файл Lsass.exe весит слишком много
Объем файлов lsass.exe небольшой: примерно 83 КБ на компьютере на базе Windows 11 и 60 КБ — на Windows 10. Конечно, хакеры понимают, что большой lsass.exe сразу привлечет внимание владельца устройства, поэтому обычно стараются этого избегать. Тем не менее, если учесть приведенные выше сигналы, вредоносное ПО все равно удастся обнаружить.
Способы предотвратить кражу учетных данных через LSASS
Безопасность на компьютерах Windows постепенно улучшается, но кража учетных данных остается серьезной угрозой. Особенно это актуально для старых устройств, работающих на устаревших операционных системах, и новых, не получающих обновления ПО.
Ниже представлены три простых способа избежать этой угрозы.
Установите последние обновления системы безопасности
Такие обновления исправляют уязвимости, которые злоумышленники могут использовать для атаки на компьютер. Поддержание устройств в актуальном состоянии снижает риск взлома. Для этого подключите автоматическую загрузку и установку обновлений для Windows, а также сторонних программ, установленных на ПК.
Используйте Credential Guard в Защитнике Windows
Credential Guard или Диспетчер учетных данных — это механизм безопасности, создающий изолированный процесс LSASS (LSAIso), который безопасно хранит все учетные данные и взаимодействует с основным LSASS для проверки пользователей. Этот механизм защищает целостность личной информации и предотвращает ее кражу.
Credential Guard доступен на корпоративной и профессиональной версиях Windows 10 и 11, а также на некоторых версиях серверных ОС Windows Server. Устройства также должны соответствовать строгим требования, таким как наличие протокола Secure Boot и поддержка 64-разрядной виртуализации. Эта функция не активирована по умолчанию — ее нужно устанавливать вручную.
Отключите удаленный доступ к рабочему столу
С помощью удаленного доступа вы и другие авторизованные пользователи можете использовать компьютер, находясь в другом физическом месте. Эта функция позволяет вам переносить файлы с рабочего на домашнее устройство, а сотрудникам техподдержки — удаленно устранять неполадки. Это удобно, но делает компьютер уязвимым для хакерских атак.
Чтобы отключить удаленный доступ, нажмите клавишу «Пуск» и введите в поисковую строку «удаленный доступ». Выберите «Разрешить удаленные подключения к этому компьютеру» и уберите галочку у пункта «Разрешить подключение удаленного помощника к этому компьютеру».
Помимо этого, можно удалить ПО для удаленного доступа, такое как TeamViewer, AeroAdmin и AnyDesk. Эти программы повышают риски, в том числе, атак в стиле Living off the Land.
Источник: rb.ru
Lsass.exe: что это за процесс и почему он грузит процессор
В Диспетчере задач Windows можно встретить процесс с названием «lsass.exe». Обычно данный файл просто висит в памяти компьютера и не создает никаких неудобств. Но, некоторые пользователи сталкиваются с тем, что процесс «lsass.exe» грузит процессор, память или диск на 100%.
В этой статье мы расскажем, что это за процесс, является ли он вирусом и можно ли его удалить.
Lsass.exe: что это за процесс
Аббревиатура LSASS расшифровывается как Local Security Authority Subsystem Service, что можно перевести как Сервис проверки подлинности локальной системы безопасности. LSASS является частью операционной системы Windows и выполняет функции, связанные с авторизацией локальных пользователей. При каждом входе локального пользователя в систему процесс «lsass.exe» проверяет пароль или другие данные для авторизации и разрешает или запрещает вход. Без данного файла вход локальных пользователей в Windows невозможен.
Поскольку процесс «lsass.exe» присутствует во всех современных версиях Windows, он часто используется создателями вирусов и шпионских программ для маскировки своих зловредов в системе. Вредоносные программы могут заражать непосредственно сам файл «lsass.exe» в папке System32, создавать файлы с похожими названиями в папке System32 или использовать такое же имя, но располагаться в других папках.
Lsass.exe – это вирус?
Процесс «lsass.exe» с буквой L, а не i, и расположением в папке «c:windowssystem32» является частью операционной системы Windows и не несет какой-либо опасности. Но, как и любой файл на компьютере, он может быть заражен в результате проникновения вирусов. В этом случае для очистки файла нужно использовать антивирусные программы. Они могут определить наличие вируса и выполнить очистку файла.
Можно ли удалять lsass.exe?
Удалять файл «lsass.exe», даже в случае заражения вирусами, нельзя. Поскольку без этого файла вы не сможете зайти в систему и продолжить работу. Фактически Windows выйдет из строя и вам придется восстанавливать работу с помощью загрузочного диска.
Но, если в качестве первой буквы указана большая буква «i» (Isass.exe), то такой файл является вирусом, который просто прикидывается системным файлом, и его можно спокойно удалять. Для того чтобы проверить, какая буква используется нужно скопировать имя файла и перевести его в нижний регистр (lowercase). Это можно сделать при помощи онлайн сервисов или программы Word.
Кроме этого, для маскировки вредоносного файла могут использоваться и другие ошибки в названии файла, например:
isass.exe lsass .exe lsassa.exe lsasss.exe Isassa.exe
Также файл «lsass.exe» можно удалять если он находится не в папке «c:windowssystem32». В этом случае это также вирус.
Как проверить lsass.exe
Для того чтобы узнать точное название файла и его расположение, нужно открыть «Диспетчер задач», перейти на вкладку «Подробности» и открыть свойства файла.
В результате откроется окно со свойствами, в котором будет указано имя файла и его расположение.
В свойствах файла также можно проверить цифровую подпись. Оригинальный файл «lsass.exe» должен быть подписан компанией Майкрософт.
Проверка целостности системных файлов
После очистки файла «lsass.exe» с помощью антивирусов желательно выполнить проверку целостности системных файлов. Для этого можно использовать такие встроенные в Windows инструменты как SFC и DISM.
Чтобы проверить всю операционную систему на целостность файлов нужно запустить командную строку с правами администратора и выполнить команду:
Также с помощью SFC можно проверить только файл «lsass.exe». Для этого нужно использовать команду «sfc /scanfile» с указанием полного пути к файлу, например:
Для использования DISM вам также понадобится командная строка с правами администратора. В этом случае для проверки системы нужно выполнить:
dism /Online /Cleanup-Image /RestoreHealth
Если операционная система не загружается, то эти команды можно выполнить с загрузочного диска. Более подробно об использовании SFC и DISM можно прочитать в отдельной статье о проверке целостности системных файлов.
Lsass.exe грузит процессор, память или диск
Пользователи иногда сталкиваются с тем, что процесс «lsass.exe» создает высокую нагрузку на процессор, оперативную память или жесткий диск. Ниже мы рассмотрим некоторые причины и возможные решения данной проблемы.
- Вирусы. Проверьте имя, расположение и цифровую подпись файла, так как это описано выше. Выполните проверку компьютера на вирусы. Помните, что в Диспетчере задач не должно быть более одной копии процесса «lsass.exe». Наличие нескольких копий «lsass.exe» говорит о наличии вируса.
- Повреждение файлов. Выполните проверку системных файлов с помощью SFC и DISM. При необходимости проверку можно выполнить с загрузочного диска Windows.
- Проблемы с браузером. В некоторых пользователей процесс «lsass.exe» грузит процессор при запуске браузера (чаще всего Chrome). В этом случае попробуйте выполнить переустановку браузер или удалить следующую папку: C:Users\appdataroamingmicrosoftprotectОбратите внимание, это приведет к удалению паролей, локально сохраненных в браузере.
Fix lsass.exe High CPU Usage on Windows
Источник: komza.ru
Lsass.exe – что это и почему он грузит процессор и диск?
Всем привет! Сегодня мы поговорим про процесс LSASS.exe, который можно заметить в «Диспетчере задач». В первую очередь давайте ответить на вопрос – а что же это за процесс такой?
LSASS (сокращение от Local Security Authority Subsystem Service) – это специальная утилита, которая позволяет проверить подлинность при авторизации в учетной записи Windows. Она используется тогда, когда вы вводите пароль или PIN при входе в систему. Сервис LSASS работает в виде некой двери в систему.
Процесс в обычном режиме не должен грузить процессор, диск и оперативную память. Если вы наблюдаете подобное, то есть вероятность, что это может быть вирус. Про то, как это можно решить, читаем варианты в статье ниже.
Способ 1: Лечение
У нас есть два варианта. Первый – данный файл заражен вирусом. Это значит, что его код изменен таким образом, чтобы он дополнительно выполнял еще какие-то функции, которые и нагружают ПК. Второй вариант – если вместо lsass.exe на самом деле работает совершенно другой файл.
Из-за такого названия разработчики вируса могут подменить название и использовать вместо буквы l – i (в верхнем регистре – I). Также обратите внимание на количество букв «s» в вашем случае. Правильное написание:
Как нам проверить файл? В «Диспетчере задач» перейдите на вкладку «Подробности». По умолчанию все процессы тут находятся в алфавитном порядке. По начальной букве «L» находим наш процесс, кликаем по нему правой кнопкой мыши и заходим в «Свойства».
На вкладке «Общие» посмотрите, чтобы файл точно был расположен по пути:
На вкладке «Цифровые подписи», должен быть указан:
Microsoft Windows Publisher
Значит этот файл точно оригинальный, но не спешим радоваться. В «Диспетчере задач» на вкладке «Подробности» в ряде буквы «i» попробуйте найти похожий процесс. Также обратите внимание на количество букв S. Если этот файл будет найден – посмотрите, где именно он расположен через свойства. Если его путь отличается от «C:WindowsSystem32» – то его можно удалить. Но после этого обязательно проходим и проверяем весь компьютер антивирусной программой. Можете использовать встроенный защитник Windows – он с этим также хорошо справляется:
ПРИМЕЧАНИЕ! Если у вас уже установлен сторонний антивирус делайте проверку через него.
- «Пуск» – «Параметры».
- Выбираем раздел «Обновление и безопасность».
- «Безопасность Windows» – «Защита от вирусов и угроз».
- Кликаем по ссылке «Параметры сканирования».
- Выбираем параметр «Полное сканирование» и жмем «Выполнить сканирование сейчас».
Способ 2: Целостность системных файлов
Даже после сканирования некоторые системные файлы могут быть повреждены. Мы их можем восстановить с помощью отдельной функции – она загружает поврежденные файлы из резервной копии. Чтобы её запустить мы будем использовать командную строку с правами администратора.
Можно напрямую сделать проверку:
sfc /scanfile=C:WindowsSystem32lsass.exe
После этого используем другую команду:
dism /Online /Cleanup-Image /RestoreHealth
Способ 3: Обновление Windows
В более редких случаях проблема происходит из-за неправильной работы некоторых системных функций. Они по каким-то причинам циклически обращаются к файлу LSASS, и он постоянно висит в диспетчере задач, при этом грузит и процессор, и диск. Чтобы решить эту проблему, попробуйте обновить ОС. При обновлении установите все доступные пакеты.
Способ 4: Переустановка браузера
Еще одни причина нагрузки на компьютер – это использование поломанного браузера. Такое видел при использовании Google Chrome и Яндекс браузера. Непонятно по какой причине, но при работе браузера иногда данный процесс сильно грузит систему. Делаем следующее:
- Полностью удаляем браузер из системы.
- Скачиваем новый браузер с официального сайта. Не качайте программу с сомнительных ресурсов.
- Устанавливаем браузер.
Способ 5: Комплексные меры
Если ничего из вышеперечисленного не помогло, попробуйте ряд советов из других статей:
- Комплексная чистка компьютера от всего лишнего.
- Ускоряем систему и ПК.
- Если вы используете сомнительную сборку Windows, то я советую установить чистую официальную ОС.
На этом все, наши преданные читатели портала WiFiGiD.RU. Пишите свои вопросы и дополнения в комментариях. Давайте помогать друг другу вместе. Всем добра и берегите себя!
Источник: wifigid.ru