? Hackers disfrutan encontrando formas creativas de aprovechar los archivos críticos del sistema operativo Windows , y un blanco fácil para la corrupción ha sido el servicio de subsistema de autoridad de seguridad local o LSASS . Lsass gestiona las políticas de seguridad informática y autenticaciones de usuario. Su ejecutable lsass.exe ha inspirado a los virus que secuestran procesos de la CPU y hacer que el equipo se reinicie. Mediante la comprensión de los conceptos básicos de LSASS , puede convertirse en experto en la identificación de casos inadecuados del ejecutable y así prevenir las infecciones virales. Propósito
Lsass autentica a los usuarios y hace cumplir la política de seguridad de un ordenador. Cuando un usuario inicia sesión en el equipo , cheques lsass si las credenciales del usuario son válidas en el equipo y , en su caso , en el dominio. Después de validar el usuario, LSASS genera un token de acceso y lanza el shell inicial. LSASS también gestiona la política de comprobación asociada con el ordenador que controla .
Componentes
El servicio de subsistema de autoridad de seguridad local incluye seis componentes. La autoridad de seguridad local o LSA , gestiona la autenticación de usuario y privilegios de usuario . El Servicio de LSA servidor dirige la seguridad informática. Los monitores de Net Logon servicio y usuario asegura y acceso informático al controlador de dominio . Secure Sockets Layer ( SSL) encripta las llamadas de autenticación a un servidor. Kerberos v5 y protocolos de autenticación NTLM supervisan los protocolos de acceso individuales. Por último, la cuentas de seguridad Service Manager actúa como supervisor del proceso LSASS , con lo que los componentes individuales de funcionar juntos .
Instancias
Aunque el LSASS primaria . exe se encuentra en la carpeta C : \\ Windows \\ System32 , varias instancias del archivo pueden existir a través de la infección viral. Cuando se produce una infección , podría perder valiosos recursos de la computadora y hacer que el equipo se reinicie o bloquee. Algunos ejemplos de virus que han explotado lsass.exe incluyen W32.Nimos.Worm , W32.Sasser.E.Worm , W32.HLLW.Lovegate.C @ mm , Trojan.W32.KELVIR , Trojan.W32.Webus , Trojan.W32 . Satiloler , Trojan E32.Downloader y Trojan.W32.Rontokbr .
Problemas conocidos
Si un usuario sospecha que lsass.exe ha sido corrompido por un virus, Microsoft Corporation ha lanzado una herramienta llamada Windows Malicious Software Removal Tool Microsoft que limpia variantes del gusano Sasser. (Referencia 4 ) Boletín de seguridad de Microsoft ( MS04 - 11 ) ( Recurso 1 ) también proporciona una lista de soluciones para ayudar a resolver los errores asociados con LSASS que reinicie el equipo. (Referencia 5 )