- lsass.exe jõustab turvapoliitikaid ja haldab autentimist Windows ja Active Directory.
- Levinud probleemid: pärand-NTLM, mitu usaldusväärset domeeni ja suur protsessori kasutus domeenikontrollerites.
- Leevendused: NeverPing, hoolduspaketid/kiirparandused, AD andmekogujad ja MaxConcurrentApi häälestamine.
Kui kasutate Windowsi, siis nimi lsass.exe See pole väike saavutus: see on süsteemi oluline osa, mis tagab kohaliku turvalisuse ja autentimise. Lihtsamalt öeldes on see valvur, kes valideerib teie sisselogimisel teie volitused ja jõustab arvuti ja domeeni turvapoliitikad.
Oma olulisuse tõttu lsass.exe See on ka levinud sihtmärk malware ja domeenikontrolleri jõudlusprobleemide stsenaariumid. Oleme siia kokku kogunud kõik, mida peate teadma, praktilisel ja üksikasjalikul viisil: mida see teeb, kuidas tuvastada õigustatud faili, millised sümptomid viitavad tõrkele ja Microsofti dokumenteeritud lahendused selliste stsenaariumide jaoks nagu NTLM-autentimise kitsaskohad või suur protsessori kasutus Active Directorys.
Mis on lsass.exe?
Protsess Kohaliku turvaasutuse allsüsteemi teenus (LSASS), mis on nähtav kui lsass.exe, vastutab Windowsi kohaliku ja domeeni turvapoliitika jõustamise eest. See haldab kasutajate autentimist, valideerib paroole, kontrollib õigusi ja kirjutab muudatusi kohalikku turvaandmebaasi, sealhulgas poliitikad, kontod ja paroolid.
Active Directory domeenikontrollerites toimib lsass.exe ka keskse teenusena otsingud, autentimine ja replikatsioon kataloogist. Selle protsessi keelamine või eemaldamine ei ole võimalik: see rikuks süsteemi põhiturvalisuse ja sisselogimise.
Oma rolli tõttu töötab lsass.exe käsikäes teiste süsteemikomponentidega, et rakendada parooli keerukuse poliitikad, võtmehaldus ja võrgu autentimine, eriti kui domeenide ja NTLM-i kasutavate pärandklientide vahel on usaldussuhted.
Tasub meeles pidada, et kuigi legitiimne lsass.exe on ohutu ja oluline, ründajad üritavad teiena esineda sarnase nimega käivitatavate failidega volituste varastamiseks ja süsteemis püsimiseks, näiteks kasutades variante nagu 'lass.exe' või ametlikust teest erinevaid asukohti.
Turvalisuse ja autentimise arhitektuur (LSA)
LSASS on osa Turvalisuse alamsüsteemi arhitektuur Windows: Teenuste ja API-de kogum, mis jõustab turvapoliitikat ja korraldab autentimist. See on tuum, mis koordineerib autoriseerimist ja kaitseb tundlikke süsteemisaladusi.
LSA-sisene LSA autentimine Integreerib autentimispaketid (nt NTLM või Kerberos) ja haldab klientide ja domeenikontrollerite vahelist volituste vahetamist. See määratleb autentimise kontrollimise viisi. kasutajad ja teenused sisselogimise ajal.
Ettevõttekeskkondades kattub LSASS järgmiste teemadega: MS Identity Management, ehk Microsofti identiteedipakk, mis kontrollib katalooge, domeenidevahelist usaldust, ühekordset sisselogimist ja tsentraliseeritud poliitikaid, mille selgrooks on Active Directory.
Peamised rollid ja vastutusvaldkonnad
Kõige tähelepanuväärsemate funktsioonide hulgas täidab LSASS ülesandeid, mis otseselt mõjutavad süsteemi ja domeeni turvalisusAllpool on struktureeritud kokkuvõte:
| Element | kirjeldus |
|---|---|
| Täielik nimi | Kohaliku turbeasutuse alamsüsteemi teenus (lsass.exe) |
| Põhifunktsioon | Rakenda turvapoliitikat ja halda seda autentimine Windowsis ja Active Directorys. |
| Kohustused |
|
| Tähtsus | Kriitika: Selle talitlushäire mõjutab turvalisus ja juurdepääs süsteemi. |
| riske | Sagedane sihtmärk malware ja volituste varastamise tehnikad. |
Tootmises mõjutavad LSASS-i stabiilsus ja jõudlus otseselt kasutajakogemus (sisselogimise latentsus, ressurssidele juurdepääs) ja domeeni võime töödelda autentimispiike.
Faili asukoht, eksemplarid ja pahavara eristamine
Kontrollige alati, et õigustatud käivitatav fail asub kaustas C:\Windows\System32Kui leiate koopia teisest kaustast või peaaegu identse nimega (nt „lass.exe” ilma initsiaalita), kahtlustage võltsimist.
Mitu eksemplari on nähtaval? Mõnikord võib süsteem kuvada abiprotsessid või seotud teenuseid, mis tunduvad olevat duplikaadid, kuid mitmed esinemised võivad viidata ka nakatumisele või viiruse süstimisele. Hoidke oma viirusetõrje ajakohasena ja käivitage skannimine. täielik ja olemas saabas.
On teadaolevaid perekondi, kes kuritarvitavad nime või protsessi, näiteks Trooja.W32.Webus, Trooja.W32.Satiloler, Trooja.W32.KELVIR, Trooja.W32.Windang, Trooja.W32.Spybot, tagauks.W32.ratsou, Trooja.W32.Downloader o Trooja.W32.RontokbrNende tegutsemisviis on erinev, kuid ühine muster on peitu lsass.exe taha märkamatuks jääma.
Tegelikus elus teatavad mõned viirusetõrjeprogrammid, et nad on blokeerinud katsed lsass.exe (nt tuvastused nagu Win32:HarHarMiner-P). Kui märkate ka jõudluse halvenemine või ebanormaalsete võrgutippude korral on soovitatav diagnoosi võimalikult kiiresti kiirendada.
Probleemide tunnused ja sümptomid
Tööjaamades ja serverites ilmnevad süsteemiprotsesside probleemid, näiteks lsass.exe, sageli järgmistel põhjustel: rakenduste konfliktid või ressursside pärast konkureerivad komponendid. Kasutamata tarkvara desinstallimine ja taaskäivitamine võib mõningaid probleeme leevendada.
Domeenikontrollerites võivad sümptomid hõlmata järgmist: aeglased autentimised, aeglane reageerimisaeg kataloogiotsingutel või klientide migreerumine teise domeenikontrollerisse küllastuse tuvastamisel. Task Manager või Perfmon võib näidata protsessori kasutust püsivalt kõrge lsass.exe abil.
Windows Server 2003-s võib teatud tingimustel LSASS-protsess jääda püsima ilma ressurssideta ja lakkavad reageerimast. See võib avalduda hangumistena, märgatavate viivitustena pärand-NTLM-autentimisel ja pikkadele ooteaegadele viitavate Netlogon-loenduritena.
Netlogoni silumislogides, kui kliendid ei lisa seda domeen NTLM-i kasutamisel võivad kasutaja kõrval kuvada SamLogoni kirjed mustriga nagu "SamLogon". <null>\username, mis näitavad järjestikuseid otsinguid läbi usaldusväärsed domeenid.
Teadaolevad põhjused Windows Server 2003 ja NeverPingi häälestamisel
Microsoft dokumenteeris stsenaariumi, kus LSASS aegub, kui arv samaaegsed sisselogimised korrutatuna usaldussuhete arvuga ületab ligikaudu 1.000. See käivitab kulukad domeeniotsingud, eriti klientide puhul, kes kasutavad Pärand NTLM domeeni täpsustamata.
Selle käitumise leevendamiseks saate lubada logimise sätte NeverPing, mis muudab seda, kuidas domeenikontroller leiab mittetäielike mandaatide lahendamisel kaugdomeene. Märkus. Sellel valikul võib olla kõrvaltoimed Kui teil on vanemaid kliente (näiteks Windows 98 või Outlook Web Access), mis ei näita domeeni, võivad need kliendid töötada ainult siis, kui konto asub samas domeenis. kohalikus domeenis või globaalses kataloogis.
Oluline hoiatus: Windowsi registri muutmine on riskantne. Varundage oma register. rekord ja veenduge, et teate, kuidas seda taastada, kui midagi valesti läheb. Lisateabe saamiseks vaadake Windowsi registri ametlikku dokumentatsiooni (nt Microsofti teabebaasi artikkel 256986, mis määratleb Windowsi register).
Enne plaadi esitamist rakendage Service Pack Windows Server 2003 uusim versioon või Microsofti selle probleemi jaoks välja antud konkreetne kiirparandus. Kui kiirparandus on allalaadimiseks saadaval, kuvatakse see vastavas artiklis kui „Kiirparanduse allalaadimine saadaval”; kui mitte, peaksite võtma ühendust Microsofti tugi.
Kuidas NeverPingi lubada
Kui otsustate jätkata (ja pärast registri varukoopia loomist), on need sammud, mida teha luba NeverPing domeenikontrolleril:
- Ava Start > Käivita, tippige regedit ja vajutage registriredaktori avamiseks nuppu OK.
- Navigeerige
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. - Selles alamvõtmes looge väärtus DWORD kutsutud NeverPing.
- Topeltklõpsake väärtusel ja määrake 1 Vajuta OK jaotises „Väärtuse andmed”.
- Sulgege registriredaktor ja taaskäivitage meeskond muudatuse elluviimiseks.
Microsofti märkused selle kiirparanduse kohta: puuduvad varasemad nõuded, see on vajalik taaskäivitama pärast selle rakendamist ja parandust ei asenda teistele versioonidele. Microsoft kinnitas seda probleemi ja parandas selle esmakordselt Windows Server 2003 hoolduspakett 2.
Redaktsioonifaili teave (Netlogon.dll)
Microsofti poolt kiirparanduse jaoks dokumenteeritud failiatribuudid hõlmavad järgmisi versioone: Netlogon.dll:
| Faili nimi | Versión | tamaño | kuupäev | mägi | platvorm | Tüüp |
|---|---|---|---|---|---|---|
| Netlogon.dll | 5.2.3790.573 | 419.328 | 08 aug 2006 | 13:01 | x86 | - |
| Netlogon.dll | 5.2.3790.573 | 959.488 | 07 aug 2006 | 21:58 | IA-64 | RTMQFE |
| Wnetlogon.dll | 5.2.3790.573 | 419.328 | 07 aug 2006 | 22:01 | x86 | WOW |
Lisateavet hoolduspakettide kohta leiate Microsofti juhendist nende hankimise kohta. Uusim hoolduspakett Windows Server 2003. Kui te ei näe kiirparanduse allalaadimisvormil oma keelt, ei pruugi see olemas olla. läbivaatamine selle konkreetse keele jaoks.
Suur protsessori kasutus domeenikontrollerites (Windows Server 2008 ja uuemad versioonid)
Windows Server 2008 ja uuemate versioonide puhul soovitab Microsoft käivitada Active Directory andmekogujate komplekt Jõudluse jälgimine, kui LSASS tarbib liiga palju protsessorit. See tööriist ühendab loendurid ja jäljed ning genereerib aruande võimalike põhjustega.
Põhilised sammud: avage serveri administraator või teostada perfmon.msc; laienda Süsteem > Andmekogujate komplektid > Usaldusväärsus ja jõudlus > Diagnostika; paremklõpsake Active Directory diagnostika ja valige jäädvustamise alustamiseks Alusta.
Vaikimisi kogub andmeid ajal, mil 300 sekundit (5 minutit). Seejärel koostab süsteem aruande; aeg kompileerimine sõltub jäädvustamise ajal salvestatud andmete hulgast.
Kui olete lõpetanud, minge jaotisse Töökindlus ja jõudlus > Süsteemiaruanded > Active Directory diagnostika selle avamiseks. Selles osas Diagnostilised tulemused Näete toimivuse vihjeid: üldised kategooriad, reklaamide üksikasjad ja sageli ka kõige rohkem liiklust genereerivad kaugkliendid.
Mõnikord on probleemi põhjuseks kallid LDAP-päringud kaugarvutitest või suure hulga päringute puhul. Aruande võrguosa aitab leida mürarikkaid allikaid, et neid filtreerida, optimeerida või koormust ümber jaotama kontrollerite vahel.
Praktiline turvalisus: viirusetõrje hoiatusümbris
Illustreeriv stsenaarium: kasutaja teatab, et tema viirusetõrje (nt Avast Tasuta) pärast lsass.exe kaitsmist selle eest näitas see olevat „Oht lahendatud” Win32:HarHarMiner-P System32 teel, millega kaasnevad jõudluse langused ja kõrge ping mängudes. Kuigi see ei hõlma alati legitiimse binaarfaili ohtu seadmist, nõuab see siiski põhjalikult uurida.
Sellistel juhtudel on lisaks täielikule analüüsile soovitatav kontrollida, et lsass.exe autentne on sees C:\Windows\System32, kontrollige oma digitaalallkirja ja veenduge, et seal poleks ajastatud ülesanded või kahtlased teenused, mis tegutsevad teie identiteedi all. Kui automaatsest leevendamisest ei piisa, kaaluge skannimist pole ühendust ja konsulteerige tugiteenuste või tööriistadega, näiteks Reimage remont.
Kirglik kirjanik baitide maailmast ja üldse tehnoloogiast. Mulle meeldib jagada oma teadmisi kirjutamise kaudu ja just seda ma selles ajaveebis teengi, näitan teile kõike kõige huvitavamat vidinate, tarkvara, riistvara, tehnoloogiliste suundumuste ja muu kohta. Minu eesmärk on aidata teil digimaailmas lihtsal ja meelelahutuslikul viisil navigeerida.