Local Security Authority Process (LSASS.exe) – что это за процесс

Некоторые пользователи задаются вопросом, что за процесс Local Security Authority Process с именем процесса lsass.exe в диспетчере задач Windows 11 и 10? Является ли он вирусом? Можно ли удалить или отключить LSASS.exe?

Что такое lsass.exe в Windows 11/10

LSASS.exe (Local Security Authority Process) – это системный процесс в Windows 11/10, отвечающий за аутентификацию пользователей, хранение и проверку учётных данных, а также за формирование токенов безопасности, определяющих права доступа. Сам исполняемый файл lsass.exe находится по пути C:\Windows\System32.

Не нужно путать процесс и работу Local Security Authority Process (LSASS.exe) с защитой локальной системы безопасности (LSA) в Microsoft Defender, так как второе, позволяет запускать lsass.exe в защищенной изолированной среде от несанкционированного доступа, чтобы не украли пароли и токены.

Как работает lsass.exe?

Процесс отвечает за такие задачи, как проверка учётных данных пользователя на сервере, смена пароля и аутентификация при входе или выходе из системы. Local Security Authority запускается вместе с winlogon.exe и, если введённый пароль корректен, предоставляет пользователю доступ, а при ошибке выводит сообщение о несоответствии. Иными словами, lsass.exe сверяет введённые данные с локальной базой SAM и, в случае успешной проверки, формирует токен безопасности, определяющий уровень прав пользователя.

Процесс выполняет функции хранения хэшей паролей для работы сетевых протоколов, определяет на доступность пользователи ресурсы (файлы, сетевые папки, службы) и участвует в проверке доменных учётных записей.

Основные критерии работы Local Security Authority Process: аутентификация пользователей, управление учётными данными, контроль доступа, интеграция с Active Directory.

Local Security Authority Process в Windows 11/10 является основным системным файлом, который участвует в работе root и работает различными способами в системе:

1. Шифрование файловой системы (EFS) - Этот файл помогает в обработке и хранении зашифрованного файла на вашем рабочем столе. Шифрование - это средство кодирования информации таким образом, чтобы в нее мог войти только авторизованный пользователь. Можете почитать подробнее о шифровании EFS.
2. Изоляция CNG ключей (keyiso) - Работает как процесс защиты данных для закрытых ключей и криптографического файла. В случае, если изоляция CNG-ключа не работает, протокол Extensible Authentication Protocol не может инициализироваться.
3. Диспетчер учетных записей безопасности (SamSs) - Это помогает сократить потерю данных при передаче сигнала с одного сервера на другой.
4. Диспетчер учетных данных - Программное обеспечение также работает для управления интернет-протоколом, когда оно подключено к сети.

Является ли lsass.exe вирусом?

Нет, lsass.exe не является вирусом, это официальный файл Microsoft Corporation. Вам не нужно беспокоиться о каком-либо ущербе от этого процесса, если он не поврежден. сранвите оригинальные свойства файла файла lsass.exe:

• Описание файла - Local Security Authority Process (Локальный центр безопасности).
• Название продукта приложения - Операционная система Microsoft Windows.
• Авторское право - Microsoft Corporation. Все права защищены.
• Размер - 56.6 KB.
• Язык - Английский.
• Исходное имя файла - lsass.exe.

Как распознать является ли lsass.exe вирусом?

Иногда разработчики вредоносных программ создают файл с таким же именем для цели обмана, но вы можете легко различить исходный файл lsass.exe от сомнительного. Если файл с именем lsass.exe находится не по пути C:\Windows\System32, то это уже большие сомнения в его оригинальности, и Вы должны удалить его. Чтобы проверить это, просто откройте диспетчер задач и перейдите на вкладку "Процессы". Найдите Local Security Authority Process, сделайте на нем правый щелчок мышкой, а затем нажмите "Открыть расположение файла". Вас перебросит в каталог C:\Windows\System32, и вы увидите там  lsass.exe. Если вас перебросило в другое место, то это вредоносное ПО, которое может даже создавать нагрузку на процессор и другие компоненты поддельным процессом lsass.exe.

• Советую проверить Windows 11/10 антивирусным сканером AdwCleaner и HitmanPro.

Можно ли удалить lsass.exe в Windows 11/10?

Нет. lsass.exe - это программа управления безопасностью ОС Windows, нет необходимости удалять или отключать этот исполняемый файл. Во первых, система не даст удалить его, так как имеет наивысшие права trustedinstaller. Во вторых, принудительное удаления файла приведет к невозможности запуcтить полноценно Windows 11/10 и будут проблемы с аутентификацией.