Что такое lsass.exe и зачем он нужен?

Lsass.exe (полное название — Local Security Authority Subsystem Service) — это один из ключевых системных процессов операционной системы Microsoft Windows. Он является частью ядра Windows и запускается автоматически при старте системы. Его основная задача — обеспечение безопасности на уровне операционной системы.

Процесс lsass.exe работает в фоновом режиме и не имеет пользовательского интерфейса. Он отвечает за реализацию политик безопасности, установленных в системе. Без этого процесса работа Windows в её современном виде была бы невозможна, так как нарушились бы фундаментальные механизмы защиты.

Важно: Легитимный файл lsass.exe всегда находится в папке C:\Windows\System32\. Если вы видите этот процесс, запущенный из любой другой директории (например, из папки с документами или временных файлов), это почти наверняка вредоносная программа, маскирующаяся под системный процесс.

Основные функции процесса lsass.exe

  • Аутентификация пользователей: Процесс проверяет логины и пароли при входе в систему, в домен Active Directory или при доступе к сетевым ресурсам. Именно он сравнивает введённые данные с хэшами, хранящимися в базе SAM (Security Accounts Manager) или на контроллере домена.
  • Управление политиками паролей: Lsass.exe обеспечивает соблюдение политик сложности паролей, их срока действия и истории.
  • Создание токенов доступа: После успешной аутентификации процесс генерирует уникальный токен доступа для пользователя, который определяет его права и привилегии в системе (например, доступ к файлам, папкам, настройкам реестра).
  • Запись событий безопасности: Процесс отвечает за запись событий, связанных с безопасностью, в журнал Windows (просмотреть их можно через «Просмотр событий» → «Журналы Windows» → «Безопасность»). Туда попадают попытки входа, успешные и неуспешные аутентификации, изменения привилегий.
  • Работа с сертификатами и ключами: Участвует в процессах, связанных с шифрованием, цифровыми подписями и инфраструктурой открытых ключей (PKI).

Почему lsass.exe может грузить процессор или потреблять много памяти?

В нормальном состоянии процесс lsass.exe потребляет умеренное количество оперативной памяти (обычно от 5 до 50 МБ в зависимости от версии Windows и нагрузки) и практически не нагружает центральный процессор. Однако в некоторых ситуациях его активность может резко возрасти.

Возможные причины высокой нагрузки:

  1. Активные сетевые атаки: Если на компьютер постоянно поступают запросы на аутентификацию (например, брутфорс-атака на пароль), lsass.exe будет обрабатывать каждый из них, что может привести к повышенной нагрузке.
  2. Проблемы с групповыми политиками в домене Active Directory: В корпоративных сетях при входе в систему компьютер применяет сотни политик. Сбои или сложные логические условия в них могут заставить lsass.exe работать интенсивнее.
  3. Ошибки в программном обеспечении: Некоторые легальные программы (особенно корпоративные: системы мониторинга, антивирусы, DLP-системы) могут некорректно взаимодействовать с подсистемой безопасности, вызывая её повышенную активность.
  4. Повреждение системных файлов: Нарушение целостности файлов Windows может привести к неправильной работе lsass.exe.
  5. Вредоносное ПО: Это самая опасная причина. Вирусы и трояны могут либо внедряться в легитимный процесс, либо создавать свою копию с таким же именем, чтобы скрыть свою деятельность. Их цель — кража хэшей паролей, токенов и других учётных данных.

Lsass.exe — это вирус? Как отличить подделку

Сам по себе lsass.exe — не вирус, а жизненно важный компонент Windows. Однако злоумышленники часто маскируют вредоносное ПО под его имя, рассчитывая, что пользователи или системные администраторы не станут завершать «системный» процесс.

Как проверить подлинность процесса:

  • Расположение файла: Откройте Диспетчер задач (Ctrl+Shift+Esc), найдите «Узел служб: Local Security Authority Process», кликните правой кнопкой и выберите «Открыть расположение файла». Легитимный файл должен находиться строго в C:\Windows\System32\. Если открылась любая другая папка — это вирус.
  • Цифровая подпись: В свойствах файла (вкладка «Цифровые подписи») должна присутствовать подпись «Microsoft Windows Publisher». Её отсутствие — тревожный знак.
  • Имя процесса в Диспетчере задач: В современных версиях Windows (10, 11) в Диспетчере задач он часто отображается не как lsass.exe, а как «Узел служб: Local Security Authority Process».
  • Поведение системы: Если при попытке завершить процесс через Диспетчер задач система сразу предлагает перезагрузиться (стандартная реакция на завершение критической службы), это косвенно указывает на его легитимность. Вирусный процесс может завершиться без предупреждений.

Что делать, если процесс ведёт себя подозрительно?

Если вы suspectуете, что lsass.exe заражён или является маскировкой для вредоносной программы, ни в коем случае не пытайтесь удалить файл из папки System32 вручную. Это приведёт к краху системы при следующей перезагрузке.

Правильный порядок действий:

  1. Запустите полную проверку антивирусом: Используйте установленный антивирус или специальную утилиту для поиска вредоносных программ, например, Malwarebytes, Kaspersky Virus Removal Tool или Dr.Web CureIt.
  2. Проверьте целостность системных файлов: Откройте командную строку от имени администратора и выполните команду sfc /scannow. Она проверит и восстановит повреждённые системные файлы.
  3. Проанализируйте журналы событий: В «Просмотре событий» проверьте журнал «Безопасность» и «Система» на предмет подозрительных ошибок или предупреждений, связанных с процессом.
  4. Восстановите систему: Если проблемы начались недавно, используйте точку восстановления системы, чтобы откатить её к стабильному состоянию.
  5. В крайнем случае — переустановка: При серьёзном заражении, когда вредоносная программа глубоко внедрилась в систему, самым надёжным решением будет чистая переустановка Windows с форматированием системного раздела.

Помните: легитимный lsass.exe — это «страж» безопасности вашей Windows. Его корректная работа необходима для защиты ваших данных. Главное — уметь отличать настоящий системный процесс от вредоносной подделки.

Источники