我在 Windows 日志中发现了 EventID 11(Microsoft-Windows-Sysmon/Operational)事件,其中文件是由代表系统用户(NT AUTHORITY\System)的Policy.vpol进程创建的C:\Windows\system32\lsass.exe
如何检查此活动是否合法?
如果该活动不合法,会产生什么影响?
答案1
该过程C:\Windows\system32\lsass.exe绝对合法。
是 Microsoft Windows 操作系统中的一个进程,负责在系统上执行安全策略。它验证登录 Windows 计算机或服务器的用户、处理密码更改并创建访问令牌。它还会写入 Windows 安全日志。
强制终止 lsass.exe 将导致系统失去对任何帐户(包括 NT AUTHORITY)的访问权限,从而导致机器重新启动。由于 lsass.exe 是一个至关重要的系统文件,因此其名称经常被恶意软件伪造。
该文件夹C:\Windows\system32是 的正确位置lsass.exe。如果从任何其他文件夹运行,则肯定是病毒。