שלום לכולם,
כאן דן ויזנפלד מצוות התמיכה של Microsoft.
אחד מלקוחותינו פנה אלינו עם שאלה מעניינת:
"מהו תהליך lsass.exe? במנהל המשימות?"
את התשובה לשאלה זו אחלק ל-2 חלקים.
תהליך lsass.exe הינו תהליך בסיסי וחיוני ביותר של מערכות ההפעלה מבית Microsoft. שם התהליך הינו בעצם ראשי תיבות למונח: “Local Security Authority Subsystem Service”.
התהליך lsass.exe ממוקם בתיקייה: %SystemRoot% \System32, והוא אחראי על מספר תחומי אחריות במערך האבטחה של המחשב:
1. אכיפת הגדרות מדיניות האבטחה שבמחשב (או השרת בארגונים גדולים), הידועות בכינוי Local Security Policies. הגדרות אלו מתכללות את הגדרות אבטחה במחשב שלכם, כפי שהוגדרו כברירת מחדל או על ידי מנהל המחשב.
2. אימות נתוני המשתמשים (Users) במחשב/ברשת – התהליך אחראי על בדיקת נתוני הזהות של המשתמשים המבקשים לבצע שימוש במחשב/להתחבר לשרת. רק לאחר ביצוע פעולה זו, מאפשרת מערכת ההפעלה גישה לקבצים ולתיקיות אליהן הוגדרו למשתמשים הרשאות גישה.
3. יצירת Access Tokens – יצירת פריטי מידע, מעין תעודות זהות, המצורפות לכל פעולה או תכנית, שהפעלתה דורשת הרשאות מנהל. כך יכולה מערכת ההפעלה לאכוף את הרשאות הנגישות לאותן תכניות.
4. אחריות על הפעלה ותקינות של שירותי אבטחה שונים ופרוטוקולים – כגון SSL ו-Kerberos.
את עבודת התהליך, ותיעוד הפעולות שהוא מבצע, תוכלו למצוא במציג האירועים (Event Viewer).
"אז האם כדאי לסגור את התהליך?"
מאוד,מאוד לא מומלץ.
עם זאת, ייתכן ותבחינו במנהל המשימות בתהליך הקרוי בשם Isass.exe.
"אממ.. כן דן, זה שאתה מדבר עליו כבר 5-10 דקות?"
אז זהו.. שלא.
וירוסים, תולעים וסוסים טרויאנים נוהגים להתחפש לתהליך ה-Lsass.exe. זאת הם עושים על ידי שימוש באות I (i גדולה), במקום l (L קטנה).
ולדוגמא, ניתן לעיין במאגרי המידע האבטחתי של Microsoft ולקרוא על משפחת תולעי w32.sasser.
"אז האם יש מקום לדאגה?"
עדיין לא.
פעילות המזיקים שמצאו את דרכם למחשב שלכם, לא תסתיים בהוספת תהליך למנהל המשימות.
נתחיל לחשוד כאשר תופענה הודעות שגיאה הנוגעות לתהליך lsass.exe:
דוגמא נוספת:
או כאשר המחשב יבצע כיבוי עם ספירה לאחור.
גם במקרה זה לא מדובר בהכרח במזיק כלשהו. אם הנכם עובדים בסביבה ארגונית בעלת שרת, ייתכן והדבר נובע ממחסור בהרשאות התחברות לשרת. את התקלה יוכל בקלות לפתור מנהל הרשת שלכם.
אם אינם עובדים בסביבה ארגונית – כנראה ונפלתם קורבן למזיק כלשהו העושה ככל העולה על רוחו במחשב שלכם.
במקרים אלו, יש לפעול על פי ההנחיות הבאות:
1. הפעלת המחשב במצב בטוח (לחיצה על מקש F8 בעת הפעלת המחשב). ניתן לראות הדגמה בפוסט שכתבה ליעד שימרון בנושא הסרת Ms Remval Tool.
2. הורדה בחינם של הכלי Microsoft Support Emergency Removal Tool (ניתן להוריד גם במחשב אחר ולהעביר למחשב הנגוע) והרצת סריקה מלאה.
3. הסרה של כלל המזיקים שנתגלו, והתקנה של Microsoft Security Essentials.
במידה ולאחר הפעלתו מבצע המחשב ספירה לאחור למטרת כיבוי, בצעו את הפעולות הבאות:
1. לחצו על המקשים Start (מקש התחל, הידוע גם בכינויים Winkey או מקש Windows) ו-R.
2. בחלון שנפתח הזינו את הפקודה cmd ולחצו על OK (אישור).
3. בחלון ה-cmd שנפתח, הקלידו את הפקודה: shutdown –a (ביטול – Abort- של פעולת הכיבוי).
זהו חברים, עד כאן בנושא זה.
לקבלת מידע נוסף על תהליך ה-lsass.exe, ניתן לפנות למאמר הרשמי בקישור.
תשמרו על המחשב שלכם.
דן