Det CNG (kryptografisk næste generation) nøgleisolering tjenesten leverer nøgleprocesisolering til private nøgler og et antal tilknyttede kryptografiske operationer som krævet af Fælles kriterier . Standardstien til den eksekverbare fil, der er knyttet til CNG Key Isolation-tjenesten, er C: windows system32 lsass.exe.
CNG-nøgleisolering forklaret
Det CNG-nøgleisolering tjenesten kører som et LocalSystem i en delt proces (hostet i LSA behandle). Tjenesten gemmer langvarige nøgler til at godkende brugere i Winlogon-tjenesten. F.eks. Gemmer CNG Key Isolation-tjenesten en trådløs netværksnøgle eller de nødvendige kryptografiske oplysninger til et chipkort. Alle operationer udført af CNG Key Isolation-tjenesten udføres ved at følge Fælles kriterier krav.
I tilfælde af at CNG Key Isolation-tjenesten ikke indlæses eller initialiseres, registreres adfærden i Hændelseslog . Det meste af tiden starter tjenesten ikke, fordi Remote Procedure Call (RPC) Tjenesten stoppes eller deaktiveres med magt. Hvis CNG-nøgleisoleringstjenesten stoppes, Udvidelig godkendelsesprotokol (EAP) kan ikke starte og initialisere ved opstart.
Som du kommer til at se nedenfor, CNG-nøgleisoleringstjeneste deler en eksekverbar ( lsass.exe ) med flere andre tjenester.
Hvad er Lsass.exe?
LSASS står for Local Security Authority Subsystem Service . Den ægte lsass.exe er en legitim softwarekomponentdel af Windows-miljøet. Den eksekverbare betragtes som en kerne system lokal myndighed proces, der er indbygget i Windows. Standardplaceringen OS lsass.exe er i C: Windows System 32 .
Det Lass.exe proces håndterer fire hovedgodkendelsestjenester i Windows:
- KeyIso (CNG Key Isolation) - Den vigtigste godkendelsestjeneste, der hostes i LSA-processen. Det giver nøgleprocesisolering til private nøgler og tilknyttede kryptografiske operationer.
- EFS (krypterende filsystem) - En grundlæggende filkrypteringsteknologi, der hovedsagelig bruges til at gemme krypterede filer på NTFS-filsystemvolumener. Stop af denne service forhindrer dit system i at få adgang til krypterede filer.
- SamSS (Security Accounts Manager) - Hovedformålet med denne tjeneste er at fungere som et fyrtårn og signalere andre tjenester, når Security Account Manager (SAM) er klar til at modtage anmodninger. Stop af denne tjeneste forhindrer, at andre tjenester, der er afhængige af sikkerhedskontostyringen, får besked. Dette vil skabe en sneboldeffekt, der får mange afhængige tjenester til at mislykkes eller starte forkert.
- Lokal IPSEC-politik - Administrerer og starter ISAKMP / Oakley (IKE) og forskellige drivere til IP-sikkerhed i Windows Server .
Potentiel sikkerhedsrisiko med lsass.exe
Nogle Windows-brugere finder ud af, at Lsass-eksekverbarheden bruger en masse systemressourcer og mistænker lsass.exe at være en virus eller en anden type malware. Selvom dette bestemt er muligt, er chancerne for, at dette sker, små.
Der er dog en kendt copy-cat-virus, der har været kendt for at inficere systemer ved at camoufleere i den eksekverbare Lsass. Processen er ens, men ikke identisk med den ægte Local Security Authority Subsystem Service . Den ondsindede proces er navngivet isass.exe, i modsætning til den legitime proces, der er navngivet lsass.exe . Hvis du finder ud af, at processen starter med en kapital jeg i stedet for små bogstaver L , dit system er sandsynligvis inficeret.
Du kan bekræfte denne teori ved at kontrollere placeringen af lsass.exe. Generelt, hvis Lsass eksekverbar er placeret i C: Windows System 32 , kan du med sikkerhed antage, at det er det legitime Local Security Authority Subsystem Service . For at gøre dette skal du åbne Jobliste ( Ctrl + Skift + Esc ) og rul ned i listen Processer til Lokal sikkerhedsmyndighedsproces. Højreklik på det og vælg Åbn filplacering . Hvis processen ikke findes i System 32, kan du være sikker på, at du har at gøre med en malwareinfektion.
Det “Isass.exe” er en trojansk virus med keylogging egenskaber kendt Sasser orm familie. Hovedformålet er at stille høste data fra dit system. Ved at registrere hvert tastetryk, du skriver, er virussen konfigureret til at køre efter brugernavne, adgangskoder, kreditkortnumre og andre følsomme data, der i sidste ende bruges til en ulovlig økonomisk gevinst.
Virussen har eksisteret i flere år, og Microsoft har allerede truffet foranstaltninger mod den. Hvis du finder ud af, at du er inficeret, kan du bruge Microsoft Malware-værktøj til fjernelse for at fjerne spor af Sasser orm . Efter måneder med infektion af utallige Windows 7- og XP-brugere har Microsoft opdateret den sårbarhed, der gjorde det muligt for virussen at inficere Windows-maskiner. Fra nu af er det ikke længere muligt at blive smittet med Sasser-ormen, hvis du har de nyeste Windows-sikkerhedsopdateringer.
Skal jeg deaktivere CNG-nøgleisoleringstjenesten?
Nej. CNG-nøgleisoleringstjenesten er en kritisk systemproces, der er nødvendig for at gemme kryptografisk information sikkert. Under ingen omstændigheder bør det legitime CNG Key Isolation (KeyISO) Service skal være permanent deaktiveret.
Afslutning af lsass.exe-processen i Task Manager stopper også isoleringstjenesten for CNG-nøgler. Men husk at dette kan få dit system til at lukke ned med magt. Da den styrer den vigtigste del af log-on-sikkerhed, er CNG-nøgleisolering en vigtig funktion af Windows.
Men hvis du har mistanke om, at CNG-nøgleisoleringstjeneste fungerer ikke korrekt eller forårsager problemer med dit system, kan du prøve at genstarte tjenesten. For at gøre dette skal du åbne et Run-vindue ( Windows-tast + R ) og type services.msc . Så slå Gå ind at åbne Tjenester vindue.
I Tjenester vindue, rul ned til CNG-nøgleisolering service. Højreklik på tjenesten, og vælg derefter Genstart at tvinge en genoptagelse.
Bemærk: Husk, at afhængigt af om CNG Key Isolation-tjenesten i øjeblikket er i brug, kan du muligvis støde på en uventet genstart af systemet. Genstart ikke denne tjeneste, medmindre du har legitime grunde til at gøre det.
4 minutter læst
