پردازشی به اسم lsass.exe یا نام کامل آن که Local Security Authority Subsystem Service است، یکی از سرویس‌های ویندوز است که برای حفظ سیاست‌های امنیتی این سیستم عامل در پس‌زمینه اجرا می‌شود. زمانی که کاربر در Windows Server لاگین انجام می‌دهد، اموری مثل تغییر پسورد و ایجاد توکن دسترسی حین بروزرسانی گزارش امنیت، توسط lsass.exe انجام می‌شود.

گاهی اوقات این پردازش در حقیقت مربوط به ویندوز نیست بلکه یک بدافزار و ویروس است که نامی مشابه دارد و لذا ممکن است درصد بالایی از قدرت پردازشی پردازنده و مقدار زیادی از حافظه‌ی RAM را اشغال کند.

در ادامه با این پردازش و روش‌های حل مشکل استفاده‌ی زیاد از پردازنده و رم سیستم توسط آن، آشنا می‌شویم. با ما باشید تا یکی دیگر از سرویس‌های ویندوز را بشناسیم.

آشنایی با lsass.exe

سرویسی به اسم Local Security Authority Subsystem Service در ویندوز که به صورت مشابه در نسخه‌های قدیمی‌تر ویندوز وجود دارد و به فایل اجرایی lsass.exe مربوط می‌شود، یکی از پردازش‌های امنیتی ویندوز است. این پردازش خاص اموری مثل تغییرات رمز عبور را مدیریت می‌کند و معمولاً بسیار سبک اجرا می‌شود. به بیان دیگر اگر Task Manager ویندوز را اجرا کنید و درصد استفاده از CPU‌ و Memory را چک کنید، با اعداد کوچکی مواجه می‌شوید. لذا در حالت عادی lsass.exe پردازشی نیست که سیستم عامل ویندوز را با کاهش سرعت شدید روبرو کند.

اگر استفاده از منابع سخت‌افزاری توسط سرویس Local Security Authority Subsystem Service زیاد و غیرطبیعی است، این احتمال وجود دارد که پردازشی مشابه اما غیراصلی اجرا شده باشد. در واقع برخی ویروس‌ها نام مشابهی دارند تا از این طریق طبیعی جلوه کنند اما در حقیقت مسیر فایل اجرایی، فولدری در درایو نصب ویندوز نیست. احتمال دوم این است که این فایل معیوب شده و نیاز به جایگزینی آن وجود دارد. نرم‌افزارهای جانبی و تنظیماتشان نیز ممکن است مشکلات خاص و عجیبی ایجاد کنند که نیاز به بررسی دقیق‌تر دارد.

آیا lsass.exe ویروس است؟

مسیر فایل lsass.exe به این صورت است:

C:\Windows\System32

لذا اگر با کلید میانبر Ctrl + Shift + Esc ، تاسک منیجر را اجرا کردید و در تب Processes روی پردازش موردبحث راست‌کلیک کرده و Open file location را انتخاب کردید و فولدری متفاوت از مسیر فوق باز شده، روشن است که سیستم شما ویروسی است و نیاز به اسکن و ویروس‌کشی دقیق دارد.

دقت کنید که تنها مشکل این پردازش، ویروسی شدن سیستم نیست بلکه ممکن است به دلیل فرسودگی هارددیسک یا SSD و وجود بدسکتورهای نرم‌افزاری یا سخت‌افزاری، فایل lsass.exe معیوب شده باشد و نیاز به تعمیر داشته باشد.

تعمیر و عیب‌یابی Local Security Authority Subsystem Service

یک روش ساده برای تعمیر کردن فایل‌های سیستمی معیوب، استفاده از دستور SFC یا System File Checker است که قبل از بوت شدن ویندوز، فایل‌های سیستمی را اسکن کرده و در صورت خرابی، تعمیرات خودکار را انجام می‌دهد. برای اطلاعات بیشتر در مورد نحوه‌ی کار با این دستور مفید و کاربردی به مقاله‌ی زیر مراجعه فرمایید:

راهکار بعدی برای حل کردن مشکل و بررسی بیشتر، استفاده از Active Directory Data Collector است. این روش در نسخه‌های اخیر Windows Server قابل پیاده‌سازی است و می‌بایست ابتدا Active Directory Data Collector را اجرا کنید. برای این کار ابتدا کلید میانبر Win + R را فشار دهید و سپس دستور perfmon.msc را در پنجره‌ی Run تایپ کنید و روی OK کلیک کنید.

در پنجره‌ی ابزار پرفورمنس مانیتور و در ستون سمت چپ، مسیر زیر را طی کنید:

Diagnostics > Reliability, and Performance > Data Collector Sets > System

حال روی گزینه‌ی Active Directory Diagnostics راست‌کلیک کنید و گزینه‌ی Start را انتخاب کنید تا فعالیت این ابزار عیب‌یابی آغاز شود. پس از ۳ تا ۵ دقیقه مانیتورینگ که به سرعت سخت‌افزار سیستم شما بستگی دارد، اطلاعات لازم جمع‌آوری می‌شود و پس از مدتی پردازش، گزارش آماده می‌شود. پس از آماده شدن گزارش، می‌توانید آن را رویت کرده و بررسی کنید. به این مسیر مراجعه کنید:

Diagnostics > Reliability and Performance > Reports > System > Active Directory Diagnostics

در گزارش تمام اطلاعات و نتیجه‌گیری‌ها ذکر شده اما دلیل دقیق و اصلی استفاده‌ی زیاد از پردازنده و رم توسط lsass.exe ذکر نمی‌شود. به عبارت دیگر این گزارش یک گزارش کمکی برای عیب‌یابی است.

نمونه‌ای ساده از این گزارش به صورت زیر است و همان‌طور که مشاهده می‌کنید فرآیند خاموش کردن سیستم و کد خطای مربوط به این پردازش در آن ذکر شده است:

The system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM. Shutdown will begin in 60 seconds. Shutdown message: The system process “C:\WINDOWS\system32\lsass.exe” terminated unexpectedly with status code – 999. The system will now shut down and restart.

در واقع اگر توقف پیش‌بینی‌نشده یا terminated unexpectedly در گزارش ذکر شود، احتمالاً سیستم شما آلوده به ویروس و بدافزار است و نیاز به ویروس‌کشی دقیق و کامل دارد.

در صورت مشکوک بودن عملکرد برخی نرم‌افزارهای جانبی که روی ویندوز سرور نصب کرده‌اید، می‌توانید از Clean Boot استفاده کنید و بررسی کنید که آیا ویندوز بدون پردازش‌های اضافی، به درستی عمل می‌کند و فایل lsass.exe با مشکل خاصی روبرو می‌شود یا خیر. در صورت حل شدن مشکل، یکی از نرم‌افزارها یا تنظیماتشان مشکل‌ساز شده و حل کردن مشکل نیاز به بررسی دقیق‌تر دارد.