Почему lsass.exe нагружает сетевую активность?

Question

Tyapckin @Tyapckin

Почему lsass.exe нагружает сетевую активность?

Открыл мониторинг сети и увидел как local security authority process отправил 447 гб в нерабочий день с Windows Server 2019
Ни кто из сотрудников не работал в этот день на сервере
Примерно по 20 гб было отправлено каждый час
В чем может быть проблема и куда копать?

Вопрос задан 22 сент.
694 просмотра

1 комментарий

Подписаться 4 Простой 1 комментарий

Помогут разобраться в теме Все курсы

Нетология

Специалист по информационной безопасности + нейросети

12 месяцев

Далее
Skillbox

Профессия Специалист по информационной безопасности

12 месяцев

Далее
Hi-TECH Academy

KL 034.4 Kaspersky Unified Monitoring and Analysis Platform. Administration (KUMA)

1 неделя

Далее

Пригласить эксперта

Ответы на вопрос 2

Комментировать

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows

+1 ещё

Простой
Как переименовать ПК в Windows 10?
- 3 подписчика
- 20 дек.
- 200 просмотров
1

ответ
Сетевое администрирование

+3 ещё

Простой
Как расшарить доступ к сетевой папке?
- 1 подписчик
- 17 дек.
- 318 просмотров
3

ответа
Сетевое администрирование

+3 ещё

Средний
DHCP, резервирование, проблема с получением адреса -?
- 1 подписчик
- 16 дек.
- 217 просмотров
1

ответ
Windows

+2 ещё

Простой
Ошибка в сетевом принтере или в системе?
- 1 подписчик
- 15 дек.
- 200 просмотров
2

ответа
Windows Server

+1 ещё

Простой
Как разблокировать пользователя но не давать лишних прав админу?
- 7 подписчиков
- 13 дек.
- 856 просмотров
1

ответ
Windows Server

+1 ещё

Простой
Как исправить проблему превышения размера манифеста?
- 5 подписчиков
- 11 дек.
- 208 просмотров
0

ответов
WordPress

+1 ещё

Простой
WordPress. Плагин Wordfence Security сообщает, что код подозрительный. Почему ругается плагин?
- 2 подписчика
- 10 дек.
- 143 просмотра
1

ответ
Windows

+1 ещё

Простой
Что за скрипт от Яндекса на новом ноутбуке?
- 5 подписчиков
- 10 дек.
- 996 просмотров
4

ответа
Windows Server

+1 ещё

Простой
Машина перестала запускаться из сохраненного состояния, куда копать?
- 2 подписчика
- 10 дек.
- 168 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
Подозрительный процесс crowsd в legacy-системе — что это может быть?
- 4 подписчика
- 10 дек.
- 274 просмотра
2

ответа
Показать ещё Загружается…

SRE/DevOps инженер

Сбер • Москва

от 200 000 до 300 000 ₽

Database Administrator / DBA

Playerok

от 300 000 ₽

Backend Developer

Playerok

от 400 000 ₽

в логи журнала копать не надо, надо просто перед вопросом сначала логи журнала посмотреть

Answer 1 · 2025-09-22 09:08:00

накатить обновления - за последний год было несколько исправлений в стороне LSASS...
включить Windows Firewall > Inbound Rules > Active Directory Domain Controller – LDAP (UDP-in) > “Allow the connection if it is secure”.

Answer 2 · 2025-11-17 23:28:28

Выглядит плохо…
Можно выдвинуть гипотезу, что это инжект в LSASS с последующей эксфильтрацией данных…
Не известно что и куда отправлялось?
Что в логах Security?

Почему lsass.exe нагружает сетевую активность?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт