lsass.exe چیست و چرا یک فرآیند امنیتی حیاتی ویندوز است؟

اگر برای بهینه‌سازی ویندوز، در حال پایان دادن به فرآیندها در Task Manager هستید، مراقب باشید! در حالی که متوقف کردن برخی از آنها مشکل بزرگی نیست، پایان دادن به برخی دیگر می‌تواند فاجعه‌بار باشد. این مورد lsass.exe، یک فرآیند امنیتی حیاتی ویندوزچیست و چرا ارزش دارد که از دور به آن سلام کنیم؟ در ادامه همه چیز را در مورد آن به شما خواهیم گفت.

lsass.exe چیست و چرا یک فرآیند امنیتی حیاتی ویندوز است؟

پایان دادن به فرآیندها در Task Manager یک روش مؤثر برای آزاد کردن منابع سیستم در ویندوز است. این امر به ویژه زمانی صادق است که سرویس‌ها یا برنامه‌های زیادی در پس‌زمینه در حال اجرا باشند. اما باید مراقب باشید، زیرا قطع کردن روند اشتباه می‌تواند مشکلاتی ایجاد کند غیرمنتظره و حتی بحرانی.

یکی از فرآیندهای ویندوز که بهتر است دست نخورده باقی بماند، lsass.exe است. این مخفف ... است. سرویس زیرسیستم مرجع امنیت محلی (زیرسیستم مرجع امنیت محلی). همانطور که از نامش پیداست، یک فرآیند اساسی برای امنیت یک کامپیوتر ویندوزیدقیقاً چه کاری انجام می‌دهد؟

وظیفه اصلی lsass.exe عبارت است از: مدیریت سیاست امنیتی محلی یک کامپیوتر ویندوزیدر میان سایر موارد، این بخش مسئول کنترل و نظارت بر احراز هویت کاربر، تأیید رمز عبور و ایجاد توکن دسترسی است. این بخش تضمین می‌کند که شما، به عنوان یک کاربر، می‌توانید به طور ایمن با سیستم تعامل داشته باشید و تأیید می‌کند که شما همان کسی هستید که ادعا می‌کنید.

توابع خاص lsass.exe

اساساً، lsass.exe مانند یک دربان سرسخت در ورودی یک کلوپ شبانه اختصاصی عمل می‌کند: قبل از اجازه ورود، هویت شما را تأیید می‌کندمانند یک دروازه‌بان است که تصمیم می‌گیرد چه کسی وارد سیستم شود و پس از ورود چه کاری می‌تواند انجام دهد. بیایید برخی از مهم‌ترین کارکردهای آن را با جزئیات بررسی کنیم:

• هر ورود را تأیید کنید وقتی رمز عبور، پین یا کد خود را وارد می‌کنید ویندوز سلامLSASS اعتبار خود را با پایگاه داده امنیتی سیستم (SAM) بررسی می‌کند. در صورت موفقیت، یک توکن دسترسی ایجاد می‌کند، مانند یک مجوز یکبار مصرف که مشخص می‌کند شما چه کسی هستید و چه کاری می‌توانید انجام دهید.
• ذخیره اعتبارنامه‌های شمااگر از دامنه‌های شرکتی استفاده می‌کنید، LSASS اعتبارنامه‌های جلسه شما را ذخیره می‌کند. به این ترتیب، اگر سرور دامنه از دسترس خارج شود، می‌توانید با مجوزهای محلی ذخیره شده خود به کار خود ادامه دهید.
• مدیریت سیاست‌های امنیتییک رمز عبور چقدر باید پیچیده باشد و چه زمانی منقضی می‌شود؟ کاربری که دارای حقوق مدیر سیستم است چه کاری می‌تواند انجام دهد؟ چه نوع رویدادهای امنیتی روی سیستم رخ داده است؟ همه اینها و موارد دیگر مستقیماً به lsass.exe مربوط می‌شود.
• ایجاد توکن‌ها و مدیریت جلساتپس از احراز هویت موفقیت‌آمیز، LSASS یک توکن دسترسی منحصر به فرد برای آن جلسه ایجاد می‌کند. این توکن توسط سایر فرآیندها تأیید می‌شود تا اطمینان حاصل شود که شما در حال انجام یک عمل (دسترسی به یک پوشه، اجرای یک برنامه و غیره) هستید.

چرا اینقدر حیاتی است؟ پیامدهای توقف آن

واضح است که lsass.exe یک عنصر ضروری در تضمین امنیت کاربر در ویندوز است. این فایل با سایر فرآیندها و سرویس‌ها تعامل دارد تا اطمینان حاصل شود که فقط کاربران مجاز می‌توانند به سیستم دسترسی داشته باشند و اقدامات خاصی را انجام دهند. بدیهی است که این فرآیند باید و باید تقریباً به طور دائم در پس‌زمینه اجرا شود.اما اگر آن را از Task Manager متوقف کنید چه اتفاقی می‌افتد؟

پاسخ ویندوز شدید و فوری خواهد بود: یک ... نمایش می‌دهد. پیام خطا نشان می‌دهد که سیستم به دلیل خرابی یک فرآیند حیاتی در حال خاموش شدن است. سپس کامپیوتر به طور خودکار مجدداً راه‌اندازی می‌شود تا فرآیند را بازیابی کرده و به حالت امن بازگردد. به شما فرصتی برای ذخیره کاری که انجام می‌دهید یا منتظر تأیید شما نمی‌ماند.

و قابل درک است که چرا ویندوز اینگونه واکنش نشان می‌دهد. با خاتمه دادن به وظیفه lsass.exe، شما سیستم امنیتی و احراز هویت آن را کاملاً غیرفعال کرده‌اید. به عبارت دیگر، سیستم دیگر نمی‌تواند هویت افراد را تأیید کند و همچنین نمی‌تواند مجوزها را مدیریت کند.به همین دلیل، و برای جلوگیری از سوءاستفاده هرگونه تهدیدی از چنین وضعیت آسیب‌پذیری، ویندوز برای بازگرداندن همه چیز به حالت اولیه، سیستم را مجبور به راه‌اندازی مجدد می‌کند.

نکات امنیتی مربوط به lsass.exe

ارزش دارد که از این بخش برای بررسی برخی اقدامات امنیتی که باید در مورد lsass.exe در نظر داشته باشید، استفاده کنید. با توجه به نقش آن به عنوان نگهبان اعتبارنامه، منطقی است که هدف مهاجمان سایبری قرار گیرندآنها در تلاش برای خراب کردن آن، از بدافزارهای پیشرفته‌ای مانند ابزار Mimikatz استفاده می‌کنند که سعی می‌کند حافظه آن را خالی کند و سپس اعتبارنامه‌ها را استخراج کند.

به همین دلیل خیلی مهمه کل سیستم عامل را به آخرین نسخه آن به‌روز نگه داریدمایکروسافت مرتباً وصله‌های امنیتی منتشر می‌کند که آسیب‌پذیری‌های موجود در lsass.exe و سایر فرآیندها را برطرف می‌کند. نصب این به‌روزرسانی‌ها اولین خط دفاعی در برابر این حمله و سایر حملات است.

برخی از برنامه‌های آنتی‌ویروس همچنین محافظت در برابر دسترسی غیرمجاز به حافظه lsass.exe را ارائه می‌دهند. نسخه‌های حرفه‌ای ویندوز ۱۰ و ویندوز ۱۱ اکنون دارای فناوری محافظت از اعتبارنامه از پیش فعال‌شده هستند. (نگهبان اعتبارنامه) از سوی دیگر، بسیار مهم است که نسبت به خطری که در بین عابران پیاده رایج‌تر است، هوشیار باشید.

چگونه lsass.exe قانونی را از جعلی تشخیص دهیم؟

از آنجایی که این یک جزء حیاتی برای عملکرد ویندوز است، هیچ فرد عاقلی سعی در حذف فایل اجرایی lsass.exe نمی‌کند. با دانستن این موضوع، برخی از مهاجمان آنها ویروس‌هایی با نام‌های مشابه ایجاد می‌کنند (isass.exe، lsasa.exe و غیره). این کار پنهان کردن تهدید را آسان‌تر می‌کند و احتمال حذف آن توسط یک کاربر ناآگاه از سیستم را کاهش می‌دهد. با توجه به این واقعیت، چگونه می‌توان یک کلاهبردار را تشخیص داد؟ آسان:

• به دلیل موقعیت مکانی آنتنها مکان صحیح برای فایل lsass.exe پوشه System32 در مسیر C:\Windows\System32 است. برای تأیید مکان، Task Manager را باز کنید، روی فرآیند کلیک راست کرده و گزینه Open file location را انتخاب کنید. اگر این کار شما را به مکانی غیر از پوشه System32 هدایت کرد، فایل را حذف کنید.
• با نام: املای نام فایل را برای تشخیص خطاها بررسی می‌کند.
• با امضای دیجیتال شماروی فایل در System32 کلیک راست کنید، به Properties – Digital Signature بروید و تأیید کنید که توسط مایکروسافت ویندوز امضا شده است.
• Pیا اندازه و رفتار آناندازه متوسط ​​این فایل بین ۱۳۰۰۰ تا ۲۲۰۰۰ بایت است. نباید منابع زیادی مصرف کند یا اتصالات غیرمعمول ایجاد کند.

شما از قبل می‌دانید که lsass.exe چیست و چرا یک فرآیند حیاتی برای امنیت ویندوز است. به طور خلاصه، آن را حذف نکنید یا عملکرد آن را مختل نکنیداما مراقب کلاهبرداران بالقوه باشید. با انجام این کار، رایانه ویندوز شما محافظت شده باقی می‌ماند و می‌توانید با خیال راحت و به طور عادی از آن استفاده کنید.