lsass.exe란 무엇인가: Windows의 기능, 위험 및 솔루션

Windows를 사용하는 경우 이름 LSASS.EXE 이는 결코 쉬운 일이 아닙니다. 로컬 보안과 인증을 보장하는 시스템의 핵심 요소이기 때문입니다. 쉽게 말해, 로그인 시 자격 증명을 검증하고 컴퓨터와 도메인의 보안 정책을 시행하는 가디언과 같습니다.

그 중요성으로 인해, LSASS.EXE 또한 이는 일반적인 타겟이기도 합니다. 악성 코드 도메인 컨트롤러 성능 문제 시나리오. 이 가이드에서는 도메인 컨트롤러의 기능, 정상적인 파일 식별 방법, 장애를 나타내는 증상, NTLM 인증 병목 현상이나 Active Directory의 높은 CPU 사용량과 같은 시나리오에 대한 Microsoft 문서화된 해결책 등, 알아야 할 모든 것을 실용적이고 자세하게 정리했습니다.

Lsass.exe 란 무엇입니까?

공정 지역 보안 기관 하위 시스템 서비스(LSASS)lsass.exe로 표시되는 는 Windows에서 로컬 및 도메인 보안 정책을 적용하는 역할을 합니다. 사용자 인증을 관리하고, 암호를 검증하고, 권한을 제어하고, 로컬 보안 데이터베이스에 변경 사항을 기록합니다. 정책, 계정 및 비밀번호.

Active Directory 도메인 컨트롤러에서 lsass.exe는 중앙 서비스 역할도 합니다. 검색, 인증 및 복제 디렉토리에서. 이 프로세스를 비활성화하거나 제거하는 것은 불가능합니다. 기본 시스템 보안 및 로그인이 손상될 수 있습니다.

lsass.exe는 역할상 다른 시스템 구성 요소와 함께 작동하여 적용됩니다. 비밀번호 복잡성 정책특히 NTLM을 사용하는 도메인과 레거시 클라이언트 간에 신뢰 관계가 있는 경우 키 관리 및 네트워크 인증이 중요합니다.

합법적인 lsass.exe가 안전하고 필수적이기는 하지만, 공격자는 당신을 사칭하려고 합니다 비슷한 이름의 실행 파일을 사용하여 자격 증명을 훔치고 시스템에 계속 남아 있을 수 있습니다. 예를 들어 'lass.exe'와 같은 변형이나 공식 경로가 아닌 다른 위치를 사용합니다.

보안 및 인증 아키텍처(LSA)

LSASS는 다음의 일부입니다. 보안 하위 시스템 아키텍처 Windows: 보안 정책을 시행하고 인증을 조율하는 서비스 및 API 집합입니다. 권한 부여를 조정하고 민감한 시스템 비밀을 보호하는 핵심 요소입니다.

LSA 내에서 LSA 인증 인증 패키지(예: NTLM 또는 Kerberos)를 통합하고 클라이언트와 도메인 컨트롤러 간의 자격 증명 교환을 관리합니다. 이는 인증 검증 방식을 정의합니다. 사용자 및 서비스 로그인하는 동안.

기업 환경에서 LSASS는 다음과 교차합니다. MS ID 관리즉, Active Directory를 백본으로 사용하여 디렉터리, 크로스 도메인 신뢰, 단일 로그인 및 중앙 집중식 정책을 제어하는 ​​Microsoft의 ID 스택입니다.

주요 역할 및 책임

가장 주목할 만한 기능 중 하나는 LSASS가 직접 영향을 미치는 작업을 실행하는 것입니다. 시스템 및 도메인 보안. 아래는 체계적인 요약입니다.

요소	기술
성명	로컬 보안 기관 하위 시스템 서비스(lsass.exe)
주요 기능	보안 정책을 구현하고 관리합니다. 인증 Windows 및 Active Directory에서.
책임	신원 확인 로그인하는 동안. 의 관리 비밀번호 및 정책 보안 권한 제어 그리고 자원에 대한 접근성. 사용자 인증 네트워크 및 도메인.
의의	비판: 오작동이 영향을 미칩니다. 보안 및 액세스 시스템의.
위험	자주 타겟이 되는 악성 코드 자격 증명을 훔치는 기술.

생산 시 LSASS의 안정성과 성능은 직접적으로 영향을 받습니다. 사용자 경험 (로그인 지연, 리소스 액세스) 및 도메인의 인증 처리 능력.

파일 위치, 인스턴스 및 맬웨어 구별 방법

항상 합법적인 실행 파일이 다음 위치에 있는지 확인하십시오. C:\Windows\System32다른 폴더에서 복사본을 발견하거나 이름이 거의 동일한 경우(예: 'lass.exe'에서 첫 글자가 빠진 경우) 스푸핑을 의심하세요.

여러 인스턴스가 표시되나요? 가끔 시스템에 다음이 표시될 수 있습니다. 보조 프로세스 중복으로 보이는 관련 서비스도 있지만, 여러 번 나타나는 경우 감염이나 삽입을 나타낼 수도 있습니다. 바이러스 백신 프로그램을 최신 상태로 유지하고 검사를 실행하세요. 완료하고 부팅.

이름이나 프로세스를 남용하는 것으로 알려진 가족이 있습니다. 트로이 목마.W32.Webus, 트로이 목마.W32.사틸로러, 트로이 목마.W32.켈비르, 트로이 목마.W32.윈당, 트로이 목마.W32.스파이봇, 백도어.W32.ratsou, 트로이 목마.W32.다운로더 o 트로이 목마.W32.론토크브르그들의 행동 방식은 다양하지만 공통적인 패턴은 다음과 같습니다. lsass.exe 뒤에 숨어라 눈에 띄지 않게 지나가다.

실제 상황에서 일부 바이러스 백신 프로그램은 시도를 차단했다고 보고합니다. LSASS.EXE (예: Win32:HarHarMiner-P와 같은 탐지). 또한 다음을 알아차리면 성능 저하 또는 비정상적인 네트워크 피크가 발생하는 경우 가능한 한 빨리 진단을 확대하는 것이 좋습니다.

문제의 징후와 증상

워크스테이션 및 서버에서는 lsass.exe와 같은 시스템 프로세스 문제가 종종 발생합니다. 응용 프로그램 충돌 또는 구성 요소가 리소스를 놓고 경쟁하는 경우. 사용하지 않는 소프트웨어를 제거하고 다시 시작하면 일부 문제가 해결될 수 있습니다.

도메인 컨트롤러에서는 다음과 같은 증상이 나타날 수 있습니다. 느린 인증디렉토리 검색 시 응답 시간이 느리거나, 포화 상태를 감지하여 다른 DC로 마이그레이션하는 클라이언트가 있습니다. 작업 관리자 또는 Perfmon이 CPU 사용량을 표시할 수 있습니다. 지속적으로 높은 lsass.exe로.

Windows Server 2003에서는 특정 조건 하에서 LSASS 프로세스가 유지될 수 있습니다. 자원 없이 응답하지 않게 됩니다. 이는 중단, 레거시 NTLM 인증의 눈에 띄는 지연, 그리고 긴 대기 시간을 나타내는 Netlogon 카운터로 나타날 수 있습니다.

Netlogon 디버그 로그에서 클라이언트가 다음을 포함하지 않는 경우 도메인 NTLM을 사용할 때 "SamLogon"과 같은 패턴을 가진 SamLogon 항목이 사용자 옆에 나타날 수 있습니다. <null>\username, 순차적 검색을 나타냅니다. 신뢰할 수 있는 도메인.

Windows Server 2003 및 NeverPing 튜닝의 알려진 원인

Microsoft에서는 LSASS가 시간 초과되는 시나리오를 문서화했습니다. 동시 로그인 신뢰 관계 수를 곱하면 약 1.000개가 넘습니다. 이로 인해 도메인 검색 비용이 많이 발생하며, 특히 다음을 사용하는 클라이언트의 경우 레거시 NTLM 도메인을 지정하지 않고.

이러한 동작을 완화하려면 로깅 설정을 활성화할 수 있습니다. 네버핑불완전한 자격 증명을 확인할 때 DC가 원격 도메인을 찾는 방식을 수정합니다. 참고: 이 옵션에는 다음이 포함될 수 있습니다. 부작용 도메인을 표시하지 않는 이전 클라이언트(예: Windows 98 또는 Outlook Web Access)가 있는 경우 해당 클라이언트는 계정이 동일한 도메인에 있는 경우에만 작동할 수 있습니다. 로컬 도메인 또는 글로벌 카탈로그.

중요 경고: Windows 레지스트리를 수정하는 것은 위험합니다. 레지스트리를 백업하세요. 등록 문제가 발생할 경우 복구 방법을 알고 있어야 합니다. 참고로 Windows 레지스트리의 공식 문서(예: Microsoft 기술 자료 문서 256986)를 참조하십시오. Windows '레지스터).

레코드를 재생하기 전에 다음을 적용하세요. 서비스 팩 Windows Server 2003의 최신 버전이나 Microsoft에서 이 문제에 대해 출시한 특정 핫픽스를 설치해야 합니다. 핫픽스 다운로드가 가능한 경우 해당 문서에 '핫픽스 다운로드 가능'으로 표시됩니다. 그렇지 않은 경우 문의하세요. Microsoft 지원.

NeverPing을 활성화하는 방법

계속 진행하기로 결정한 경우(레지스트리 백업을 만든 후) 다음 단계를 따르세요. NeverPing 활성화 도메인 컨트롤러에서:

1. 시작 > 실행을 열고 다음을 입력하세요. regedit를 확인을 눌러 레지스트리 편집기를 엽니다.
2. 로 이동 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters.
3. 해당 하위 키에서 값을 만듭니다. DWORD 라고 네버핑.
4. 값을 두 번 클릭하고 설정하세요 1 '값 데이터'에서 확인을 누르세요.
5. 레지스트리 편집기를 닫고 다시 시작 변화를 구현할 팀.

이 핫픽스에 대한 Microsoft 참고 사항: 없음 이전 요구 사항필요하다 재부팅 적용 후 수정 대체하지 않습니다 다른 개정판으로. Microsoft는 이 문제를 확인하고 처음으로 수정했습니다. Windows Server 2003 서비스 팩 2.

개정 파일 정보(Netlogon.dll)

Microsoft에서 핫픽스에 대해 문서화한 파일 특성에는 다음 버전이 포함됩니다. Netlogon.dll:

파일명	번역	타마	날짜	시간	플랫폼	억센
Netlogon.dll	5.2.3790.573	419.328	08 8 월-2006	13:01	x86	-
Netlogon.dll	5.2.3790.573	959.488	07 8 월-2006	21:58	IA-64	RTMQFE
Wnetlogon.dll	5.2.3790.573	419.328	07 8 월-2006	22:01	x86	와우

서비스 팩에 대한 자세한 내용은 Microsoft의 서비스 팩 얻기 가이드를 참조하세요. 최신 서비스 팩 Windows Server 2003. 핫픽스 다운로드 양식에 해당 언어가 없으면 해당 언어가 존재하지 않을 수 있습니다. 복습 해당 언어에 대해서요.

DC에서 CPU 사용량이 높음(Windows Server 2008 이상)

Windows Server 2008 이상 버전에서는 Microsoft에서 다음을 실행하는 것이 좋습니다. Active Directory 데이터 수집기 ​​세트 LSASS가 CPU를 너무 많이 소모할 때 성능 모니터링을 수행합니다. 이 도구는 카운터와 추적 정보를 결합하여 가능한 원인을 담은 보고서를 생성합니다.

기본 단계: 열기 서버 관리자 또는 실행한다 perfmon.msc; 시스템 > 데이터 수집기 ​​세트 > 안정성 및 성능 > 진단을 확장합니다. 마우스 오른쪽 버튼을 클릭합니다. Active Directory 진단 시작을 선택하여 캡처를 시작하세요.

기본 설정은 데이터를 수집합니다. 300 초 (5분) 그러면 시스템이 보고서를 작성합니다. 시간 편집은 캡처 중에 기록된 데이터의 양에 따라 달라집니다.

완료되면 안정성 및 성능 > 시스템 보고서로 이동하세요. Active Directory 진단 그것을 열려면. 섹션에서 진단 결과 성과에 대한 단서가 표시됩니다. 일반 카테고리, 광고 세부 정보, 그리고 가장 많은 트래픽을 생성하는 원격 클라이언트가 표시됩니다.

때때로 문제는 다음으로 인해 발생합니다. 비싼 LDAP 쿼리 원격 컴퓨터 또는 대량의 요청으로 인해 발생하는 문제입니다. 보고서의 네트워크 섹션은 노이즈 소스를 찾아 필터링, 최적화 또는 부하 재분배 컨트롤러 간.

실용 보안: 바이러스 백신 경고 사례

설명적인 시나리오: 사용자가 자신의 바이러스 백신(예: 아바스트 무료) lsass.exe를 보호한 후 '위협 해결됨'을 표시했습니다. Win32:HarHarMiner-P System32 경로에서 게임 성능 저하 및 높은 ping 문제가 발생합니다. 항상 합법적인 바이너리가 손상되는 것은 아니지만, 철저하게 조사해.

이러한 경우 완전한 분석 외에도 다음을 확인하는 것이 좋습니다. LSASS.EXE 진짜는 안에 있다 C:\Windows\System32, 디지털 서명을 확인하고 다음 사항이 없는지 확인하십시오. 예약 된 일들 또는 귀하의 신원을 도용하여 운영되는 의심스러운 서비스. 자동 완화 조치만으로는 충분하지 않다면 스캐닝을 고려해 보세요. 연결되지 않음 그리고 다음과 같은 지원이나 도구를 참조하세요. 이미지 복구.