پردازشی به اسم lsass.exe یا نام کامل آن که Local Security Authority Subsystem Service است، یکی از سرویسهای ویندوز است که برای حفظ سیاستهای امنیتی این سیستم عامل در پسزمینه اجرا میشود. زمانی که کاربر در Windows Server لاگین انجام میدهد، اموری مثل تغییر پسورد و ایجاد توکن دسترسی حین بروزرسانی گزارش امنیت، توسط lsass.exe انجام میشود.
گاهی اوقات این پردازش در حقیقت مربوط به ویندوز نیست بلکه یک بدافزار و ویروس است که نامی مشابه دارد و لذا ممکن است درصد بالایی از قدرت پردازشی پردازنده و مقدار زیادی از حافظهی RAM را اشغال کند.
در ادامه با این پردازش و روشهای حل مشکل استفادهی زیاد از پردازنده و رم سیستم توسط آن، آشنا میشویم. با ما باشید تا یکی دیگر از سرویسهای ویندوز را بشناسیم.
آشنایی با lsass.exe
سرویسی به اسم Local Security Authority Subsystem Service در ویندوز که به صورت مشابه در نسخههای قدیمیتر ویندوز وجود دارد و به فایل اجرایی lsass.exe مربوط میشود، یکی از پردازشهای امنیتی ویندوز است. این پردازش خاص اموری مثل تغییرات رمز عبور را مدیریت میکند و معمولاً بسیار سبک اجرا میشود. به بیان دیگر اگر Task Manager ویندوز را اجرا کنید و درصد استفاده از CPU و Memory را چک کنید، با اعداد کوچکی مواجه میشوید. لذا در حالت عادی lsass.exe پردازشی نیست که سیستم عامل ویندوز را با کاهش سرعت شدید روبرو کند.
اگر استفاده از منابع سختافزاری توسط سرویس Local Security Authority Subsystem Service زیاد و غیرطبیعی است، این احتمال وجود دارد که پردازشی مشابه اما غیراصلی اجرا شده باشد. در واقع برخی ویروسها نام مشابهی دارند تا از این طریق طبیعی جلوه کنند اما در حقیقت مسیر فایل اجرایی، فولدری در درایو نصب ویندوز نیست. احتمال دوم این است که این فایل معیوب شده و نیاز به جایگزینی آن وجود دارد. نرمافزارهای جانبی و تنظیماتشان نیز ممکن است مشکلات خاص و عجیبی ایجاد کنند که نیاز به بررسی دقیقتر دارد.
آیا lsass.exe ویروس است؟
مسیر فایل lsass.exe به این صورت است:
C:\Windows\System32
لذا اگر با کلید میانبر Ctrl + Shift + Esc ، تاسک منیجر را اجرا کردید و در تب Processes روی پردازش موردبحث راستکلیک کرده و Open file location را انتخاب کردید و فولدری متفاوت از مسیر فوق باز شده، روشن است که سیستم شما ویروسی است و نیاز به اسکن و ویروسکشی دقیق دارد.
دقت کنید که تنها مشکل این پردازش، ویروسی شدن سیستم نیست بلکه ممکن است به دلیل فرسودگی هارددیسک یا SSD و وجود بدسکتورهای نرمافزاری یا سختافزاری، فایل lsass.exe معیوب شده باشد و نیاز به تعمیر داشته باشد.
تعمیر و عیبیابی Local Security Authority Subsystem Service
یک روش ساده برای تعمیر کردن فایلهای سیستمی معیوب، استفاده از دستور SFC یا System File Checker است که قبل از بوت شدن ویندوز، فایلهای سیستمی را اسکن کرده و در صورت خرابی، تعمیرات خودکار را انجام میدهد. برای اطلاعات بیشتر در مورد نحوهی کار با این دستور مفید و کاربردی به مقالهی زیر مراجعه فرمایید:
راهکار بعدی برای حل کردن مشکل و بررسی بیشتر، استفاده از Active Directory Data Collector است. این روش در نسخههای اخیر Windows Server قابل پیادهسازی است و میبایست ابتدا Active Directory Data Collector را اجرا کنید. برای این کار ابتدا کلید میانبر Win + R را فشار دهید و سپس دستور perfmon.msc را در پنجرهی Run تایپ کنید و روی OK کلیک کنید.
در پنجرهی ابزار پرفورمنس مانیتور و در ستون سمت چپ، مسیر زیر را طی کنید:
Diagnostics > Reliability, and Performance > Data Collector Sets > System
حال روی گزینهی Active Directory Diagnostics راستکلیک کنید و گزینهی Start را انتخاب کنید تا فعالیت این ابزار عیبیابی آغاز شود. پس از ۳ تا ۵ دقیقه مانیتورینگ که به سرعت سختافزار سیستم شما بستگی دارد، اطلاعات لازم جمعآوری میشود و پس از مدتی پردازش، گزارش آماده میشود. پس از آماده شدن گزارش، میتوانید آن را رویت کرده و بررسی کنید. به این مسیر مراجعه کنید:
Diagnostics > Reliability and Performance > Reports > System > Active Directory Diagnostics
در گزارش تمام اطلاعات و نتیجهگیریها ذکر شده اما دلیل دقیق و اصلی استفادهی زیاد از پردازنده و رم توسط lsass.exe ذکر نمیشود. به عبارت دیگر این گزارش یک گزارش کمکی برای عیبیابی است.
نمونهای ساده از این گزارش به صورت زیر است و همانطور که مشاهده میکنید فرآیند خاموش کردن سیستم و کد خطای مربوط به این پردازش در آن ذکر شده است:
The system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM. Shutdown will begin in 60 seconds. Shutdown message: The system process “C:\WINDOWS\system32\lsass.exe” terminated unexpectedly with status code – 999. The system will now shut down and restart.
در واقع اگر توقف پیشبینینشده یا terminated unexpectedly در گزارش ذکر شود، احتمالاً سیستم شما آلوده به ویروس و بدافزار است و نیاز به ویروسکشی دقیق و کامل دارد.
در صورت مشکوک بودن عملکرد برخی نرمافزارهای جانبی که روی ویندوز سرور نصب کردهاید، میتوانید از Clean Boot استفاده کنید و بررسی کنید که آیا ویندوز بدون پردازشهای اضافی، به درستی عمل میکند و فایل lsass.exe با مشکل خاصی روبرو میشود یا خیر. در صورت حل شدن مشکل، یکی از نرمافزارها یا تنظیماتشان مشکلساز شده و حل کردن مشکل نیاز به بررسی دقیقتر دارد.
thewindowsclubسیارهی آیتی
اول مرسی از توضیح، خیلی خوب و کاربردی بود
دوم اگه میتونی متن رو ادیت کن(تسک منیجر نه تاسک منیجر)
🙏🙏🙏👍👍👍
سلام
هر دوش به نظرم درسته چون تلفظ انگلیسی و آمریکایی متفاوتی داره. مثل دیرکشن و دایرکشن و خیلی کلمات دیگه.
سلام کیس من ویندوز xp سیپیو پنتیوم 4 رم 512 وقتی ویندوز میخواد لود بشه بعد اینکه لود میشه اخطار lsass.exe میده و ریستارت میشه؟ راه حلی داره؟؟