De CNG (Cryptographic Next Generation) Key Isolation tjenesten gir nøkkelprosessisolering til private nøkler og et antall tilknyttede kryptografiske operasjoner som kreves av Vanlige kriterier. Standardstien til den kjørbare filen som er tilknyttet CNG Key Isolation-tjenesten erC: \ windows \ system32 \ lsass.exe.
CNG Key Isolation Explained
De CNG nøkkelisolasjon tjenesten kjører som et LocalSystem i en delt prosess (vert i LSA prosess). Tjenesten lagrer langvarige nøkler for å autentisere brukere i Winlogon-tjenesten. For eksempel vil CNG Key Isolation-tjenesten lagre en trådløs nettverksnøkkel eller den nødvendige kryptografiske informasjonen for et smartkort. Alle operasjoner utført av CNG Key Isolation-tjenesten utføres ved å følge Vanlige kriterier krav.
I tilfelle CNG Key Isolation-tjenesten ikke lastes inn eller initialiseres, registreres atferden i Hendelsesloggen. Mesteparten av tiden klarer ikke tjenesten å starte fordi Remote Procedure Call (RPC) tjenesten stoppes eller deaktiveres med makt. Hvis CNG Key Isolation-tjenesten stoppes, vil Utvidbar godkjenningsprotokoll (EAP) vil ikke starte og initialisere ved oppstart.
Som du kommer til å se nedenfor, vil CNG-nøkkelisolasjonstjeneste deler en kjørbar (lsass.exe) med flere andre tjenester.
Hva er Lsass.exe?
LSASS står for Lokal sikkerhetsmyndighet delsystemtjeneste. Den ekte lsass.exe er en legitim programvarekomponentdel av Windows-miljøet. Den kjørbare filen blir sett på som en lokal myndighetsprosess som er innebygd i Windows. Standardplasseringen os lsass.exe er i C: \ Windows \ System 32.
De Lass.exe prosess håndterer fire hovedautentiseringstjenester i Windows:
- KeyIso (CNG Key Isolation) - Den viktigste autentiseringstjenesten som er vert i LSA-prosessen. Det gir nøkkelprosessisolering til private nøkler og tilhørende kryptografiske operasjoner.
- EFS (Encrypting File System) - En kjerne-filkrypteringsteknologi som hovedsakelig brukes til å lagre krypterte filer på NTFS-filsystemvolum. Å stoppe denne tjenesten vil forhindre at systemet ditt får tilgang til krypterte filer.
- SamSS (Security Accounts Manager)- Hovedformålet med denne tjenesten er å fungere som et fyrtårn og signalisere andre tjenester når Security Account Manager(SAM) er klar til å motta forespørsler. Å stoppe denne tjenesten vil forhindre at andre tjenester som stoler på at Security Account Manager blir varslet. Dette vil skape en snøballeffekt som vil føre til at mange avhengige tjenester mislykkes eller starter feil.
- Lokal IPSEC-policy - Administrerer og starter ISAKMP / Oakley (IKE) og forskjellige IP-sikkerhetsdrivere i Windows Server.
Potensiell sikkerhetsrisiko med lsass.exe
Noen Windows-brukere finner at den kjørbare Lsass bruker mye systemressurser og mistenker lsass.exe av å være et virus eller en annen type skadelig programvare. Selv om dette absolutt er mulig, er sjansen for at dette skjer liten.
Imidlertid er det et kjent copy-cat-virus som har vært kjent for å infisere systemer ved å kamuflere i Lsass-kjørbarheten. Prosessen er lik, men ikke identisk med den ekte Lokal sikkerhetsmyndighet delsystemtjeneste. Den ondskapsfulle prosessen heter isass.exe, i motsetning til den legitime prosessen som heter lsass.exe. Hvis du finner ut at prosessen starter med en stor bokstav Jeg i stedet for små bokstaver L, systemet ditt er sannsynligvis infisert.
Du kan bekrefte denne teorien ved å sjekke plasseringen til lsass.exe. Vanligvis, hvis Lsass kjørbar er lokalisert i C: \ Windows \ System 32, kan du trygt anta at det er legitimt Lokal sikkerhetsmyndighet delsystemtjeneste. For å gjøre dette, åpne Oppgavebehandling (Ctrl + Skift + Esc) og bla nedover i prosesslisten til Lokal sikkerhetsmyndighets prosess.Høyreklikk på den og velg Åpne fil plassering. Hvis prosessen ikke er lokalisert i System 32, kan du være sikker på at du har å gjøre med en malwareinfeksjon.
De “Isass.exe” er et trojan virus med keylogging egenskaper kjent Sasser orm familie. Hovedformålet er å stille inn data fra systemet ditt. Ved å registrere hvert tastetrykk du skriver, er viruset konfigurert til å gå etter brukernavn, passord, kredittkortnummer og andre sensitive data som til slutt brukes til ulovlig økonomisk gevinst.
Viruset har eksistert i flere år, og Microsoft har allerede tatt tiltak mot det. Hvis du finner ut at du er smittet, kan du bruke verktøyet for fjerning av skadelig programvare fra Microsoft til å fjerne spor av Sasser orm. Etter måneder med å infisere utallige Windows 7- og XP-brukere, har Microsoft lappet sårbarheten som tillot viruset å infisere Windows-maskiner. Fra nå av er det ikke lenger mulig å bli smittet med Sasser-ormen hvis du har de nyeste Windows-sikkerhetsoppdateringene.
Skal jeg deaktivere CNG-nøkkelisolasjonstjenesten?
Nei. CNG-nøkkelisolasjonstjenesten er en kritisk systemprosess som er nødvendig for å lagre kryptografisk informasjon på en sikker måte. Under ingen omstendigheter bør det legitimeCNG Key Isolation (KeyISO) Service bør være permanent deaktivert.
Hvis du avslutter lsass.exe-prosessen i Oppgavebehandling, stopper også isolasjonstjenesten CNG-nøkkel. Men husk at dette kan føre til at systemet slås av med makt. Siden den kontrollerer den viktigste delen av påloggingssikkerheten, er CNG-nøkkelisolasjonen en viktig funksjon av Windows.
Men hvis du mistenker atCNG-nøkkelisolasjonstjenesteikke fungerer ordentlig eller forårsaker problemer med systemet ditt, kan du prøve å starte tjenesten på nytt. For å gjøre dette, åpne et Run-vindu (Windows-tast + R) og type services.msc. Så, slå Tast inn å åpne Tjenester vindu.
I Tjenester vindu, bla ned til CNG Key Isolation service. Høyreklikk på tjenesten og velg deretter Omstart for å tvinge en reinitiering.
Merk: Husk at avhengig av om CNG Key Isolation-tjenesten for øyeblikket er i bruk, kan du støte på en uventet omstart av systemet. Ikke start denne tjenesten på nytt med mindre du har legitime grunner til å gjøre det.
