Lsa windows что это

Обновлено: 07.07.2024

В данном материале мы рассмотрим вопрос о загрузке процессора службой lsass.exe. Для начала давайте узнаем, что это за процесс такой, чтобы знать с чем мы имеем дело.

При работе за компьютером возникают такие моменты, когда система резко начинает тормозить, а приложения, которыми вы пользовались – вылетать. Конечно, необходимо заранее предвидеть такое и оптимизировать систему как надо. К сожалению, если в системе произошел какой-то сбой, возникающий, как по вине самого пользователя, так и из-за вирусов, то тут никакая оптимизация не поможет. Зайдя в диспетчер задач, можно обнаружить загрузку процессора под 100% и процесс, который его загружает. Такое бывает не всегда, но в этом небольшом руководстве мы рассматриваем именно этот случай.

Самое интересное, что наиболее часто загрузка процессора, оперативки или жёсткого диска происходит благодаря системным процессам и это не очень радует.

Если вы обнаружили, что lsass exe грузит процессор, то давайте разберемся с этой проблемой.

Что такое lsass.exe

Системная служба компании Micrososft, отвечающая за защиту данных, вот что такое lsass.exe. Впервые появилась в версии Vista и внедрена во все современные системы. Процесс работает сразу после включения компьютера и отслеживает всё, что делает пользователь, на основе этого активирует какие-либо защитные параметры.

Данной службой загрузка процессора или других компонентов вполне допустима, но продолжаться должно пару минут, а сама нагрузка не больше 70%. Если у вас процесс постоянно нагружает компоненты до 100%, то есть вероятность заражения файлов процесса, либо произошел какой-то сбой.

Зараженные процессы по любому будут грузить всё до ста процентов, но решить проблему можно так:

Воспользуйтесь утилитами CCleaner, AdwCleaner или подобными, скачать их можно с официальных сайтов.

Зайдите и удалите всё содержимое из папки Temp. Находится она по следующему пути: C:\Users\Имя-Пользователя\AppData\Local\Temp.

Откройте какой-нибудь деинсталлятор и проверьте, какие программы были установлены в последнее время. Если есть что-то подозрительное, то удаляем. Можно воспользоваться Uninstall Tool и альтернативными программами.

Запускаем утилиту AdwCleaner и начинаем сканирование системы.

Скачайте программу UnHackMe, запустите её и снова проведите проверку системы.

Воспользуйтесь программой CCleaner, чтобы почистить реестр от мусора и, возможно, зараженных записей.

Во всех ваших браузерах сделайте сброс настроек.

Еще скачайте кто-нибудь хороший антивирус и просканируйте полностью систему, а если будут найдены вирусы, то естественно удаляем.

Отключить процесс lsass exe

Этот пункт подразумевает, что процесс lsass.exe не заражен. Чтобы он не грузил систему мы просто его остановим, хотя системные службы отключать не рекомендуется, но выбора у нас нет.

Нам нужно попасть в утилиту «Службы». Для этого мы запускаем окно «Выполнить» с помощью клавиш Win+R, а потом вводим туда команду: services.msc.

В открывшемся окне ищем службу «Диспетчер учетных данных» и щелкаем по не дважды левой кнопкой мыши. Выбираете пункт «Свойства».

Откроется окошко, где находим вкладку «Тип запуска» и там выбираем вариант «Отключена». Также не забудьте остановить службу советующей кнопкой. Применяем все действия нажатием по кнопке «Применить».

В этом разделе, предназначенном для ИТ-специалистов, описывается настройка дополнительной защиты для процесса локальной системы безопасности (LSA), чтобы предотвратить внедрение кода, которое может скомпрометировать учетные данные.

Система LSA, в которую входит процесс службы LSASS, проверяет пользователей во время локального и удаленного входа и применяет локальные политики безопасности. Windows 8.1 операционная система обеспечивает дополнительную защиту для LSA, чтобы предотвратить чтение памяти и внедрение кода незащищенными процессами. Это усиливает безопасность учетных данных, которые хранит LSA и которыми управляет LSA. параметр защищенного процесса для LSA можно настроить в Windows 8.1, но его нельзя настроить в Windows RT 8,1. Если этот параметр используется в сочетании с безопасной загрузкой, то обеспечивается дополнительная защита, поскольку не действует отключение раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

Требования к защищенным процессам для подключаемых модулей и драйверов

Для успешной загрузки подключаемого модуля или драйвера LSA в качестве защищенного процесса он должен соответствовать следующим условиям.

В защищенном режиме любой подключаемый модуль, загружаемый в LSA, должен иметь цифровую подпись Майкрософт. Поэтому подключаемые модули без подписи, а также модули, не имеющие подписи Майкрософт, не будут загружаться в LSA. Примерами таких подключаемых модулей являются драйверы смарт-карт, подключаемые модули для шифрования и фильтры паролей.

Подключаемые модули LSA, которые являются драйверами, например драйверы смарт-карт, должны заверяться с помощью сертификации WHQL. Дополнительные сведения см. в разделе подпись выпуска WHQL.

Подключаемые модули LSA, не участвующие в процессе сертификации WHQL, должны заверяться с помощью службы подписей файлов для LSA.

Соответствие руководству Майкрософт по процессам жизненного цикла разработки безопасного ПО (SDL)

Все подключаемые модули должны отвечать руководству по процессам SDL. Дополнительные сведения см. в жизненный цикл разработки защищенных приложений (Майкрософт) (SDL) приложении.

Несоответствие процессу SDL может сделать невозможной загрузку подключаемого модуля, даже имеющего правильную подпись Майкрософт.

Ограничения, появившиеся с включенной защитой LSA

Если включена защита LSA, вы не можете отлаживать пользовательский подключаемый модуль LSA. Вы не можете подключить отладчик к LSASS, если это защищенный процесс. Как правило, не существует поддерживаемого способа отладки работающего защищенного процесса.

Определение подключаемых модулей и драйверов LSA, которые не удалось загрузить в качестве защищенного процесса

События, описанные в этом разделе, находятся в операционном журнале в папке "Журналы приложений и служб\Microsoft\Windows\CodeIntegrity". Они помогут определить подключаемые модули и драйверы LSA, которые не удалось загрузить из-за проблем с подписями. Для управления этими событиями можно использовать программу командной строки wevtutil. Информацию об этой программе см. в разделе Wevtutil.

Перед включением защиты: определение подключаемых модулей и драйверов, загружаемых процессом lsass.exe

Включение режима аудита для процесса Lsass.exe на одиночном компьютере путем внесения изменений в реестр

Откройте редактор реестра (RegEdit.exe) и перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

Задайте для раздела значение AuditLevel=dword:00000008.

Проанализируйте результаты события 3065 и события 3066.

после этого эти события могут отображаться в Просмотр событий в журналах приложений и служб/Microsoft/Windows/кодеинтегрити:

Событие 3065. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям безопасности для общих сеансов. Однако заданная системная политика разрешает загрузку изображения.

Событие 3066. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям к уровню подписи Майкрософт. Однако заданная системная политика разрешает загрузку изображения.

Такие операционные события не создаются, если подключен отладчик ядра, который включен в системе.

Если подключаемый модуль или драйвер содержит общие сеансы, то вместе с событием 3065 записывается событие 3066. После удаления общих сеансов ни одно из этих событий не должно появляться, если подключаемый модуль отвечает требованиям к уровню подписи Майкрософт.

Чтобы включить режим аудита для нескольких компьютеров в домене, можно использовать клиентское расширение групповой политики для реестра и развернуть значение реестра для уровня аудита Lsass.exe. Понадобится изменить раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

Создание параметра AuditLevel в объекте групповой политики

Откройте консоль управления групповыми политиками.

Создайте новый объект групповой политики, который связан на уровне домена или связан с подразделением, которому принадлежат учетные записи компьютеров. Также можно выбрать уже развернутый объект групповой политики.

Щелкните правой кнопкой мыши объект групповой политики и выберите команду Изменить, чтобы открыть редактор управления групповыми политиками.

Разверните узлы Конфигурация компьютера, Настройки и Параметры Windows.

Щелкните правой кнопкой мыши элемент Реестр, укажите пункт Создать и выберите пункт Элемент реестра. Откроется диалоговое окно Новые свойства реестра.

В списке Hive щелкните HKEY_LOCAL_MACHINE.

В списке Путь к разделу перейдите к разделу SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe.

В поле Имя параметра введите AuditLevel.

В поле Тип параметра выберите REG_DWORD.

В поле Значение введите 00000008.

Чтобы объект групповой политики вступил в силу, его изменение нужно реплицировать на все контроллеры домена в домене.

Чтобы включить дополнительную защиту LSA на нескольких компьютерах, можно использовать клиентское расширение групповой политики для реестра, изменив параметр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa. Эта процедура описана далее в разделе Настройка дополнительной защиты LSA для учетных данных.

После включения защиты: определение подключаемых модулей и драйверов, загружаемых процессом lsass.exe

По журналу событий можно определить подключаемые модули и драйверы LSA, которые не удалось загрузить в режиме защиты LSA. Когда включен защищенный процесс LSA, система создает журналы событий, по которым определяются все подключаемые модули и драйверы, которые не удалось загрузить в LSA.

Проанализируйте результаты события 3033 и события 3063.

после этого эти события могут отображаться в Просмотр событий: Microsoft-Windows-Codeintegrity/эксплуатация:

Событие 3033. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям к уровню подписи Майкрософт.

Событие 3063. Это событие записывается, если при проверке целостности кода установлено, что процесс (обычно lsass.exe) пытался загрузить драйвер, который не отвечает требованиям к безопасности для общих сеансов.

Общие сеансы обычно образуются, когда применяются приемы программирования, позволяющие данным экземпляра взаимодействовать с другими процессами, использующими тот же контекст безопасности. Это может представлять уязвимость.

Настройка дополнительной защиты LSA для учетных данных

на устройствах, на которых выполняется Windows 8.1 (с безопасной загрузкой или без нее), можно настроить, выполнив процедуры, описанные в этом разделе. для устройств, работающих под Windows RT 8,1, защита lsass.exe всегда включена и не может быть выключена.

Устройства с архитектурой x86 или x64, использующие или не использующие безопасную загрузку и UEFI

На устройствах на базе процессоров x86 или x64, использующих безопасную загрузку или UEFI, переменная UEFI задается в встроенном по UEFI при включении защиты LSA с помощью раздела реестра. Если параметр хранится во встроенном ПО, то переменную UEFI нельзя удалить или изменить в разделе реестра. Необходимо сбросить переменную UEFI.

На 32-разрядных (x86) или 64-разрядных (x64) устройствах, где не поддерживается UEFI или безопасная загрузка, конфигурация защиты LSA не может храниться во встроенном ПО, и для них имеет значение только наличие раздела реестра. В таком сценарии есть возможность отключить защиту LSA, получив удаленный доступ к устройству.

Для включения и отключения защиты LSA используются следующие процедуры.

Включение защиты LSA на отдельном компьютере

Откройте редактор реестра (RegEdit.exe) и перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

Задайте для раздела значение "RunAsPPL"=dword:00000001.

Включение защиты LSA с помощью групповой политики

Откройте консоль управления групповыми политиками.

Разверните узлы Конфигурация компьютера, Настройки и Параметры Windows.

В списке Куст выберите HKEY_LOCAL_MACHINE.

В списке путь к ключу перейдите по адресусистем\куррентконтролсет\контрол\лса.

В поле имя значения введите рунасппл.

В поле Тип параметра выберите REG_DWORD.

В поле данные значения введите 00000001.

Отключение защиты LSA

Откройте редактор реестра (RegEdit.exe) и перейдите к разделу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

Удалите из раздела реестра параметр "RunAsPPL"=dword:00000001.

Если на устройстве используется безопасная загрузка, используйте средство отключения защищенного процесса локальной системы безопасности (LSA), чтобы удалить переменную UEFI.

Дополнительные сведения о средстве отказаться от отказа см. в разделе скачивание отправок для защищенного процесса локального центра безопасности (LSA) из официального центра загрузки Майкрософт.

Дополнительную информацию об управлении безопасной загрузкой см. в разделе Встроенное ПО UEFI.

Когда выключается безопасная загрузка, сбрасываются все параметры конфигурации, относящиеся к UEFI и безопасной загрузке. Выключать безопасную загрузку следует только в том случае, если не удалось отключить защиту LSA ни одним из других способов.

Проверка защиты LSA

Чтобы определить, запущена ли система LSA в защищенном режиме при загрузке Windows, найдите следующее событие WinInit в журнале Система в папке Журналы Windows:

История паролей

В предыдущих двух статьях (1, 2) из серии, я рассказывал, как получить хеши паролей локальных пользователей (из SAM) и доменных пользователей (из файла NTDS.DIT на контроллере домена).

Если в настройках парольной политики включен параметр “Требовать неповторяемость паролей” (“Enforce password history”), то Windows сохраняет определенное количество старых паролей, прежде чем разрешить пользователю использовать старые пароли вновь. На следующем скриншоте показано, как именно включить ведение истории паролей:

Local Security Policy (secpol.msc) / Account Policies / Password Policy / Enforce password history

По умолчанию на обычных рабочих станциях параметр “Требовать неповторяемость паролей” установлен в 0, а на контроллерах домена – в 24. Благодаря таким установкам, существует вероятность, что при извлечении хешей из ntds.dit, вы также получите хеши старых паролей. В дальнейшем знание старых хешированных паролей может помочь вам найти закономерности в выборе паролей целевыми пользователями.

Кроме того, знание истории паролей может облегчить вам жизнь на дальнейших этапах проведения атаки. Поэтому никогда не пренебрегайте информацией, полученной из парольной истории.

Наряду с уже известными утилитами (Cain & Abel, PWDumpX) парольную историю можно слить с помощью утилиты pwhist от Toolcrypt.

LSA секреты

LSA секреты – это специальная область реестра, в которой Windows хранит важную информацию. В секреты входят:

пароли учетных записей служб, требующих запуска в контексте пользователей операционной системы (например, учетные записи Local System, Network Service и Local Service).
пароли входа в систему при включенном автоматическом входе (auto-logon); в общем случае: пароль пользователя, вошедшего на консоль (запись DefaultPassword).

LSA секреты хранятся в ветке реестра HKEY_LOCAL_MACHINE/Security/Policy/Secrets. Каждый секрет имеет свой собственный ключ. Родительский ключ HKEY_LOCAL_MACHINE/Security/Policy содержит информацию, необходимую для доступа и расшифровки секретов.

Cекреты LSA, как и хеши SAM, можно получить либо из файлов реестра, либо из памяти процесса lsass.exe.

Если вы владеете правами Администратора, а целевая система задействована на производстве, то я советую выбрать безопасный путь: скопировать системные файлы SYSTEM и SECURITY из реестра с помощью reg.exe/regedit.exe или посредством службы теневого копирования томов, как описано в первой статье. Извлечь секреты LSA из полученных файлов SYSTEM и SECURITY можно утилитой Cain & Abel.

Также существует множество утилит, которые сольют секреты LSA, внедрившись в процесс lsass.exe. Из всех таких утилит gsecdump считается самым надежным, поскольку работает на всех версиях и архитектурах Windows. Для 32-битных систем рекомендую также lsadump2. Несмотря на мои ожидания, двум утилитам от NirSoft (LSASecretsDump и LSASecretsView) ни на одной архитектуре не удалось получить пароли учетных записей служб. В независимости от того, какой именно метод вы использовали, все извлеченные пароли будут в кодировке UTF-16. То есть пароли, в отличие от хешей SAM, будут незашифрованы. Подробное описание формата секретов LSA, сделанное Бренданом Доланом-Гавитом (Brandon Dolan-Gavitt) вы можете найти здесь.

На следующем скриншоте показаны результаты работы gsecdump на Windows Server 2003 с запущенными в контексте пользователя СУБД IBM DB2 и PostgreSQL:

Результаты работы gsecdump.exe –l

К каким угрозам ведет раскрытие секретов LSA

Теперь представьте, что вы скомпрометировали сервер в домене Windows и получили доступ к командной строке с правами Local System. Если вы хотите расширить свой контроль на весь периметр сети, то проверьте, выполняется ли какой-либо сервис в контексте пользователя операционной системы, и если да, то извлеките пароль соответствующей учетной записи из секретов LSA.

Сервисы, выполняемые в контексте локальных пользователей Windows

Получить информацию о сервисах можно также с помощью sc.exe и других, менее известных утилит. Обычно в контексте пользователей системы работает такое корпоративное программное обеспечение, как Veritas Netbackup, Microsoft SQL Server, Microsoft Exchange. Угрозу представляют случаи, когда системные администраторы запускают сервисы в контексте доменных пользователей или даже доменных администраторов. Подобные действия, конечно же, неправильны, и более того, ставят под угрозу безопасность всего домена, потому что нарушитель может слить секреты LSA, получить пароль администратора в незашифрованном виде, зайти на корневой контроллер домена, и, как следствие, получить контроль над всем доменом.

Описанные в этой статье утилиты я тоже добавил в таблицу. Буду рад вашим отзывам и предложениям!

Последние графики и тесты скорости расшифровки беспроводных паролей для видео карт и процессоров.

Форум

Программы для восстановления паролей

Восстановление паролей это важная и неотъемлемая часть современных компьютерных технологий, требующая в большинстве случаев неординарного мышления и нестандартного подхода. Цель данного сайта состоит в предоставлении нашим посетителям качественного сервиса по восстановлению утерянных и забытых паролей. Этот сайт - о существующих и новых технологиях парольной защиты. Здесь вы узнаете о наших программных продуктах, которые помогут решить проблемы восстановления забытых данных, а также покажут несовершенство парольной защиты, научат вас осторожности и безопасности хранения персональных данных.

Все программы условно делятся на несколько категорий:

Программы для сброса, восстановления и анализа паролей Windows
Программы для расшифровки персональной информации, хранящейся в популярных обозревателях Интернет: Internet Explorer, Mozilla, Firefox, Opera и т.д.
Восстановление паролей популярных почтовых клиентов: Microsoft Office Outlook, Thunderbird, TheBat!, Eudora, IncrediMail, Windows Mail и др.
Восстановление паролей к документам Microsoft Office, OpenOffice, LibreOffice.
Восстановление сетевых паролей Windows: пароли беспроводных сетей, кэшированные пароли домена, паролей локальной сети и т.д.
Другие утилиты

Reset Windows Password

Мощная утилита для сброса забытых паролей Windows. Если вы однажды забыли пароли Администратора и вам срочно необходим доступ к заблокированной учетной записи, просто запустите программу с загрузочного диска, измените или удалите старый пароль и разблокируйте учетную запись. Просто, как 1-2-3.

Программа поддерживает все версии Windows, работает с Active Directory, использует искусственный интеллект для восстановления некоторых паролей, сохраняет хэши паролей Windows и кэшированных паролей домена, имеет ряд дополнительных возможностей.

Читайте также: