|
|
 |
boze$2003054 boze
24/02 :: 11:52
Membre inscrit
| | Bonjour,
Utilisant norton firewall 2003avec xp pro, j'ai régulièrement des alertes concernant :
un système distant tente d'accéder à lsass.exe sur votre ordinateur. Pour l'instant j'ai bloqué cette application,mais je voudrais savoir si il y a un danger.
Pour info c'est toujours la même adresse que tente de se connecter à Lsass.exe.
| |
|
habana$ habana
24/02 :: 12:36
Admin
| | Lsass.exe est en rapport avec l'autentification système et le service de Login (processus Local security authority)
ça correspond à une tentative de login.
d'autres processus sont dépendant de celui-ci
Avec XP, tu peux faire en sorte que toute tentative de logon (ou juste les échecs) soit notifiée dans " l'observateur d'évènement ".
c'est à configurer par les Outils d'administration
| |
|
JokuHech$2003020 JokuHech
24/02 :: 12:45
Membre éclairé
| | Salut Boze
Lsass.exe est un exécutable système de XP Pro (et Home, ainsi que W2K). Extrait de la KB de Microsoft:
Il s'agit du serveur local d'authentification de sécurité, il génère le processus responsable de l'authentification des utilisateurs par le service Winlogon. Ce processus est permis par l'utilisation de
packages d'authentifications comme msgina.dll. Si l'authentification est réussie, Lsass génère le jeton d'accès de l'utilisateur qui est utilisé pour lancer le shell initial. D'autres processus que l'utilisateur peut lancer vont hériter de ce jeton.
| |
|
boze$2003054 boze
24/02 :: 18:13
Membre inscrit
| |  Merci de vos réponses,
mais malheureusement mes connaissances sont un peu limitées.
En bref j'ai pas tout compris.
J'ai été voir dans l'observateur d'évènement mais je n'ai pas trouvé comment faire notifier les tentatives de logon.
Pour info, j'utilise depuis peu adsl-autoconnect, est ce que cela peut avoir un rapport?
Que faire? | |
|
habana$ habana
24/02 :: 22:31
Admin
| | Pour faire notifier les tentatives de logon, il faut aller dans la MMC ("microsoft management console", la console de gestion Ms) et lancer la journalisation de la sécurité.
Ca aura pour effet d'inscrire les tentatives de login (et d'autres évènements si souhaité ) dans le journal de sécurité qui devait être vide quand tu l'as ouvert.
fais "démarrer"  "exécuter"
et tape :
mmc /a
une fois dans la console, fais "fichier" (en haut) puis "ajouter un composant logiciel enfichable"
double-clique sur "stratégie de groupe" et fais "fermer"
clique maintenant sur "stratégie ordinateur local" "configuration ordinateur" "paramètres windows" "paramètres de sécurité"
ouvre "stratégie locale" "stratégie d'audit"
enfin , sur le côté droit de la console, double-clique sur 'Auditer les évènements de connexion"
tu choisis quoi auditer (succès et/ou échecs")
ferme la console, sauvegarde ta modif (sous un nom qui te permet de retrouver ce que c'est  )
c'est fini
au prochains évènements, ils seront audités | |
|
JokuHech$2003020 JokuHech
26/02 :: 02:29
Membre éclairé
| | Je pense que dans un premier temps, tu peux refuser à Lsass.exe la permission. Au besoin, et en cas de problèmes, cette opération est réversible.
Dans les premiers temps, jetes souvent un coup d'oeil aux logs, si tu en disposes. | |
|
boze$2003054 boze
26/02 :: 13:19
Membre inscrit
| | Bon effectivement j'ai refusé la permission à Lsass.exe et pour l'instant pas de blocage de programme.
Merci habana pour ton cours (c'était clair comme de l'eau de roche), donc maintenant je dispose des tentatives de login.
Il apparait pour l'instant seulement des audits de succès, catégorie "ouverture/fermeture de session" differends codes évènements. A mon avis les codes 528,538 et 551 ne posent pas de problème (utilisateur service local, service réseau et moi même).
Par contre j'ai 3 codes évènements 540 avec comme utilisateur "ANONYMOUS LOGON".
Donc je cherche à quoi correspond le code évènement 540.
Je vous tiens au courant. | |
|
habana$ habana
26/02 :: 13:26
Admin
| | La MMC permet un contrôle vraiment poussé du système.
cette petite manip n'est que la partie cachée de l'iceberg
à l'occasion, consulte l'aide fournie avec | |
|
Lebowski$ Lebowski
24/04 :: 02:28
Anonyme
| | Moi aussi j'ai sans arrêt le message "un système distant tente d'accéder à lsass.exe sur votre ordinateur" (norton internet security 2003), je pige pas... | |
|
habana$ habana
24/04 :: 19:41
Admin
| | Lebowski, c'est simplement des tentatives d'attaque (essai à distance de connexion sur ton ordi) détectées et bloquées par ton firewall. | |
|
JokuHech$2003020 JokuHech
04/05 :: 11:09
Membre éclairé
| | Hello.
Pour en finir avec Lsass.exe:
Cet exécutable semble gérer trois choses sous WinXP:
- emplacement protégé (sous NTFS) donc garant de la discrétion de certains fichiers vis à vis des utilisateurs.
- services IPSEC (infos ici: http://www.guill.net/index.php3?cat=3&pro=67 )
- gestionnaire de comptes de sécurité | |
|
zen$2003077 zen
07/05 :: 00:19
fOncde.net
| | Local Security Authority Shell  | |
|
pechau$ pechau
07/05 :: 11:58
Anonyme
| | slt
moi jai sygate personnel firewall pro
et jai le meme pb
donc que faut il faire en gros?
bloquer ou pas???? | |
|
JokuHech$2003020 JokuHech
07/05 :: 12:32
Membre éclairé
| | Bonjour.
Ce fichier peut être bloqué si tu ne veux pas de connexions entrantes, de la part d'utilisateurs distants. Le bloquer n'empêchera pas ton OS de fonctionner. | |
|
pechau$ pechau
07/05 :: 12:55
Anonyme
| | oui bah la je le bloque
Mais quand on parle de connexion entrante de la part d utilisateur
si je le block , ca bloque quoi au juste?
des utilisateur qui voudrait se connect a mon pc mais part quel moyen?? | |
|
habana$ habana
07/05 :: 13:13
Admin
| | si qqun parvient à se logger à distance sur ta machine, ça lui donne les droits que ce compte a sur ton système, accéder à tes fichiers, programmes, éventuellement modifier la base de registre...
le même que toi quand tu te connecte au système localement
| |
|
TomHDL$ TomHDL
26/05 :: 18:42
Anonyme
| | Vous avez tous raisons mais il faut présiser que si vous utiliser une connexion vpn (connexion à un réseau virtuel distant via le web) alors il ne faut pas boquer ce service sinon marche plus car plus d'authentification. Ceux dans ce cas là faites une régle pour les ip entrantes. | |
|
er$ er
01/06 :: 20:55
Anonyme
| | j'ai le même problème avec le firewall zone alarm.
c'est en faisant une recherche sur "LSASS.exe" que je suis tombé sur ce site, très interessant !
Je suis connecté à Internet via le cable télédis (réseau LAN)
Y a-t'il un risque à bloquer ce service ?
Merci | |
|
JokuHech$2003020 JokuHech
02/06 :: 10:11
Membre éclairé
| | Sur ta machine, tu peux le bloquer sans crainte. Et puis de toutes façons, bloquer au niveau du firewall ne veut pas dire empêcher ce service de tourner localement. C'est juste l'empêcher de communiquer avec Internet. | |
|
frencle$ frencle
17/06 :: 14:08
Anonyme
| | merci pour toutes ces information j'avais moi meme le meme problème , cepandant est que il ya un rapport quelquonque avec L'utilisation de l irc , car jai remarqué que c alerte de tentatvie dacces avec lsass survenait principalement lorsque je suit sur irc | |
|
JokuHech$2003165 JokuHech
18/06 :: 11:43
Membre inscrit
| | Clairement; aucun risque de mal-fonctionnement de vos systèmes et logiciels si vous bloquez LSASS.exe | |
|
Austin92$ Austin92
25/08 :: 11:02
Anonyme
| |
Je rencontre malheureusement un probleme et impossible d'ouvrir une session a part en mode sans echec de restauration des services d'annuaire.
le message d'erreur exact est :
L'initialisation du gestionnaire de comptes de securité a echoué en raison de l'erreur suivante: Le service d'annuaire ne peut pas demarrer Status de l'erreur :0xc00002e1.Cliquer sur ok pour quiter le systeme et redemarrez en mode de restauration des services d'annuaire
j'oubliais l'en tete du pop up d'erreur est Lsass.exe
la machine est un serveur win 2000 avec le SP3 qui gere essentiellement des connexion distante par windows terminal service pour avoir acces a un programme de base de donné immobiliere
merci d'avance pour votre aide car la je trouve vraiment pas
@ +++ | |
|
tiguy$ tiguy
25/08 :: 11:14
Anonyme
| | si ça peut servir
http://roms2000.online.fr/?page=win-truc#php20
http://www.microsoft.com/windows2000/fr/server/help/default.asp?url=/windows2000/fr/server/help/cps_trubl_errormes0.htm
http://support.microsoft.com/default.aspx?scid=kb;fr;240655 | |
|
Austin92$ Austin92
25/08 :: 11:32
Anonyme
| | Merci pour ton aide mais je rencontre effectivement ce message d'erreur j'avais deja fait les manip decrit sur rom2000 en desespoir de cause mais ca ne passe pas
sur rom2000 il parle de ce message avec la resolution mais il precise que cette resolution n'est pas bonne quand la cause du message est le fichier Lsass.exe
Si tu as d'autre fleche a ton arc n'hesite pas tu me rendrais drolement service
@ +++ | |
|
habana$ habana
25/08 :: 22:37
Admin
| | mise à jour avec le sp4 ? | |
|
grm$2003236 grm
26/08 :: 14:14
Membre inscrit
| | Moi je dirais que tu ne dois pas le bloquer, sinon tu risques de ne plus pouvoir t'identifier sur un réseau!!!!!A moins que
tu n'autorises préalablement le trafic sur le loopback 127.0.0.0/255.0.0.0.  mais je ne pense pas que se soit tes intentions!!!!....???? | |
|
elnono06$ elnono06
11/09 :: 14:39
Anonyme
| | Moi aussi j'ai une petite difficulté concernant lsass.exe
Souvent mon firewall (zonealarm) me demande si il peut accéder à internet, et si oui, si il peut être utiliser "as a server". C'est bien beau tout ca, mais ca fait quoi concretement si il tourne en serveur (comme emule et kazaa) ??
Il faut que je le bloque carrément?
NDLR: je tourne sous W2000Pro et je ne fais pas (encore) partie d'un réseau.
Mais que va-t'il se passer quand je recréerai mon réseau local (ethernet) ??
Merci | |
|
JokuHech$2003165 JokuHech
11/09 :: 15:16
Membre acharné
| | S'il demande cette permission, et qu'il l'obtient de ta part, tu n'auras plus de surveillance réelle, car tu lui permettras de laisser sortir et entrer des fichiers, donc d'agir un peu de façon autonome.
Pour ce qui est de Kazaa et Emule,  (pour ma part) | |
|
chtoms$ chtoms
11/09 :: 16:37
Anonyme
| | salut les gars, tres interessant votre dial...
moi,g autre chose pour vous :
portable Medion
XP Home Edition
ce matin pour la premiere fois j'entends parler de
lsass.exe et pas en bien....
je demarre mon poste et
j'ai ce message : "isass.exe - erreur système"
"nom d'objet introuvable"
ya un bouton "ok" c tout (comme une alert VB) et puis ça redémarre....
horreur.
Que faire ?
chu ingé informatik mais là chu perdu les gars...
je ne peux pas démarrer, ni en mode sans echec, pas de recovery possible depuis le CD.......
toujours ce message..
ce n'est pas un virus. | |
|
zorro51$2003230 zorro51
11/09 :: 17:01
Membre habitué
| | POUR SECURISER SON XP PPRO voici un site pas mal fait avec les bases de sa securisation!tres simple a comprendre :
http://geeksasylum.free.fr/articles/systeme/guide_securite_windows_xp_pro/part06.htm
faites toutes les manips!!!et vous aurez deja moins de soucis!!!bises | |
|
biggofr$ biggofr
19/09 :: 22:04
Anonyme
| | Même problème sur Norton IS 2003: "un système distant tente d'accéder à lsass.exe sur votre ordinateur"
Programme : C:\WINDOWS\system32\lsass.exe
Protocole : UDP (entrant)
Si je bloque en permancence cette entrée, est que ça bloque:
1- un serveur FTP
2- Kazaa
3- eMule
Merci
| |
|
JokuHech$2003165 JokuHech
20/09 :: 00:50
Pilier du forum
| | tu le bloques et c'est tout. Pour le reste, je n'en sais trop rien. Mais déjà KaZaa c pas le top en ce moment, sauf à chercher les ennuis viraux, pour la mule, c'est pareil. Mais c'est toi qui voit | |
|
mlies$ mlies
22/09 :: 12:08
Anonyme
| | Bonjour à tous,
Toujours bien de savoir que je ne suis pas le seul dans ce cas.
Je suis sous W2K et j'utilse Zone Alarm.
1°) Ce que je ne comprends pas c'est pourquoi soudainement j'ai ce message...?
Citation | | me demande si il peut accéder à internet, et si oui, si il peut être utiliser "as a server". |
2°) J'avoue que je n'ai rien compris à vos explications 
Si je dis oui et que je demande à Zone Alarm de se rappeler de la réponse j'en entends plus parler mais est-ce la bonne soluce ?
Merci d'avance pour votre patience | |
|
JokuHech$2003165 JokuHech
22/09 :: 16:44
Pilier du forum
| | Citation | | tu le bloques et c'est tout |
relis les explications doucement et tu comprendras. | |
|
Muhuon$ Muhuon
26/10 :: 22:14
Anonyme
| | Great Job | |
|
Dardevil$ Dardevil
31/10 :: 02:47
Anonyme
| | alut a touuuuuuus!!!!
habana
tu as expliqué plus haut l'etablissement d'un audit concernant les tentatives de logon.... g tt suivi c bein expliké...
Mais ou aller verifier les résultat du dit audit..?
g relancé directment depuis demarrer>programmes>outils d'admin>le-nom-de-ma-modif.msc.... mais g po l'info que je cherche....
MAAAaaaaaaaaaarrrrssssiii a tous !!!!! nickel ce site sur la secu...
@+ et GGGGGGAAAAAAAAZzzzzzzz !!!
| |
|
habana$ habana
31/10 :: 09:16
Admin
| | les résultats d'audit sont consultables dans les journaux d'évènenement, onglet ... sécurité | |
|
je c pa koi fair$ je c pa koi fair
01/11 :: 17:11
Anonyme
| | g un nouveau truc pour vous:
il faut vraiment m aider svp
mon ordi s eteint tout seul comme ca a n importe kel moment et je peux pa le redemarre dans la foulle sinon il se reeteint . il fo ke j attende un peu mais de toute facon il s eteint plus tard.
bref quand je le redemarre il y a plusieurs messages d erreurs ki arrive comme:
une intervention d ecriture a ete tentee sur le volume apres qu il ait ete demonte
j ai ca aussi: le quota de memoire virtuelle ou de fichiers d echanges est insuffisant pour finir l operation specifiee
et bien sur j ai eu le lsass.exe je c plus koi!!!
que dois je faire aidez moi | |
|
SergeD$ SergeD
02/11 :: 07:46
Anonyme
| | Salut je c pa koi fair.
Je lis des posts dans plusieurs forums depuis quelques heures (au sujet de LSASS.EXE).
Il n'est pas impossible que ta machine ait un virus lié de près ou de loin avec LSASS...
Consulte (si tu peux) des sites "anti virus" pour remédier au problème.
Pour ma part, LSASS.EXE est bloqué en permanence par mon FireWall ety je n'ai que peu de poblèmes de déconnexion intempestive.
| |
|
Gnomo$ Gnomo
09/11 :: 15:36
Anonyme
| |
WinXP+Norton Internet Security
J'ai le même message. J'ai lu pulsieurs forum à propos de ce sujet, et on dirait qu' Emule a quelque chose à voir. J'utilise Emule moi même.
Je ne sais ps si c'est votre cas.
| |
|
hecate$ hecate
09/11 :: 16:17
Anonyme
| | Bien que je ne connaisse pas entierement le fonctionnement ni toutes les utilités de LSASS.EXE, il me semble que c'est une "demie-saloperie".
En effet, ce programme est necessaire pour le fonctionnement de certains types de reseaux (VPN, par exemple), mais inutile pour la majorité des utilisateurs "de base" (comprenez: "j'ai un pc, je me connecte à internet, je regarde des pages, je telecharge des trucs avec ma mule ou mon kazaa, et je veux pas me prendre la tete").
Le premier probleme est que utile ou pas il est present sur votre systeme (NT/2000/XP), et que certaines interactions avec le web (que je n'ai pas toutes identifiées) essayent de le lancer.
Le deuxieme probleme est qu'il peut etre attaqué pour passer root sur un systeme (je sais pas comment, mais certains virus en ont deja tiré parti).
Ma solution consiste donc a systematiquement bloquer ces appels, sauf si vous utilisez par exemple un VPN, ou vous pouvez modifier la regle pour que ces appels soient autorisés uniquement vers une IP specifique.
A noter que bloquer LSASS.EXE pour un utilisateur "de base" ne l'empechera pas d'utiliser Internet normalement.
J'espere avoir aidé. | |
|
aro35$ aro35
21/11 :: 19:04
Anonyme
| | J'ai bien lu tout ce qui est écrit et je pense avoir réponse à presque toutes mes interrogations.
Bien évidemment, j'ai eu le mm message que tout le monde, et je me posais la question de savoir ce qu'il était le mieux de faire. Bien qu'utilisateur de la mule, j'ai cru comprendre à travers les derniers posts que le fait de bloquer lsass n'aurait pas de conséquences sur mes DL. Merci toutefois de confirmer, on est jamais trop sur de soi.
Cependant j'utilise également de temps en temps le soft "remote administrator" qui me permet de me connecter à mon pc à distance, via une adresse dns que je me suis créé et qui me permet donc de ne pas m'occupper de mon ip.
Si je bloque lssass, cela empechera-t-il le fonctionnement de ce soft ?
Merci à l'avance. | |
|
tupeurien$ tupeurien
19/01 :: 10:53
Anonyme
| | slt, j'ai instal emule depuis 3 jours .et depuis ce matin mon firewall(zone alarm) me demande d'autoriser lsass.exe . je crois qu'avant (moulte formatage) sa me l'avais deja fait!!
donc je l'autorise et sa marche bien! | |
|
chépaki$ chépaki
05/02 :: 20:44
Anonyme
| | Salut, moi, j'ai même message de za au bout de 10 minutes de emule. ("lsass as server") si je refuse, mon dl ne passe pas au dessus de 20 ko/s; si j'accepte, ça monte bien plus.
Je commence à douter de la coincidence.
N'empêche que si accepter offre un accès en administrateur aux hacker, c'est plutôt moyen.
Alors, que faire?
| |
|
stin07bis$2004001 stin07bis
05/02 :: 21:02
Membre acharné
| | ben, bloqué a toi de voir!!! | |
