Čo je to: Izolácia kľúča CNG (lsass.exe)

The Izolácia kľúča CNG (kryptografická nová generácia) služba poskytuje izoláciu kľúčových procesov od súkromných kľúčov a množstvo súvisiacich kryptografických operácií, ako to vyžaduje server Spoločné kritériá . Predvolená cesta k spustiteľnému súboru spojenému so službou izolácie kľúčov CNG je C: windows system32 lsass.exe.

Vysvetlenie izolácie kľúča CNG

The Izolácia kľúča CNG služba beží ako LocalSystem v zdieľanom procese (hostiteľskom serveri Windows 7) LSA proces). Služba ukladá kľúče s dlhou životnosťou na autentifikáciu používateľov v službe Winlogon. Napríklad služba izolácie kľúčov CNG uloží kľúč bezdrôtovej siete alebo požadované kryptografické informácie pre čipovú kartu. Všetky operácie vykonávané službou izolácie kľúčov CNG sa vykonávajú podľa týchto pokynov Spoločné kritériá požiadavky.

V prípade, že sa službe CNG Key Isolation nepodarí načítať alebo inicializovať, správanie sa zaznamená v Záznam udalostí . Väčšinou sa služba nedá spustiť, pretože Vzdialené volanie procedúry (RPC) služba je násilne zastavená alebo deaktivovaná. Ak je služba izolácie kľúčov CNG zastavená, Extensible Authentication Protocol (EAP) sa nepodarí spustiť a inicializovať pri štarte.

Ako uvidíte ďalej, Služba izolácie kľúčov CNG zdieľa spustiteľný súbor ( lsass.exe ) s niekoľkými ďalšími službami.

Čo je Lsass.exe?

LSASS znamenať Subsystémová služba miestneho bezpečnostného orgánu . Pravý lsass.exe je legitímnou softvérovou súčasťou systému Windows. Spustiteľný súbor sa považuje za proces miestnej autority základného systému zabudovaný do systému Windows. Predvolené umiestnenie os lsass.exe je v C: Windows Systém 32 .

The Lass.exe proces spracováva štyri hlavné autentifikačné služby v systéme Windows:

• KeyIso (izolácia kľúča CNG) - Najdôležitejšia autentifikačná služba hostená v procese LSA. Poskytuje izoláciu kľúčových procesov pre súkromné ​​kľúče a súvisiace kryptografické operácie.
• EFS (systém šifrovania súborov) - Základná technológia šifrovania súborov, ktorá sa používa hlavne na ukladanie šifrovaných súborov na zväzkoch systému súborov NTFS. Zastavenie tejto služby zabráni vášmu systému v prístupe k šifrovaným súborom.
• SamSS (Správca bezpečnostných účtov) - Hlavným účelom tejto služby je pôsobiť ako maják a signalizovať ďalšie služby, keď Správca bezpečnostných účtov (SAM) je pripravený prijímať žiadosti. Zastavenie tejto služby zabráni informovaniu ďalších služieb spoliehajúcich sa na správcu bezpečnostných účtov. Takto sa vytvorí efekt snehovej gule, ktorý spôsobí zlyhanie alebo závislosť mnohých závislých služieb.
• Miestne pravidlá IPSEC - Spravuje a spúšťa ISAKMP / Oakley (IKE) a rôzne ovládače zabezpečenia IP v systéme Windows Windows Server .

Potenciálne bezpečnostné riziko s lsass.exe

Niektorí používatelia systému Windows zistia, že spustiteľný súbor Lsass spotrebuje veľa systémových prostriedkov a je podozrivý lsass.exe byť vírusom alebo iným typom škodlivého softvéru. Aj keď je to určite možné, je veľká šanca, že sa tak stane.

Existuje však známy vírus copy-cat, o ktorom je známe, že infikuje systémy maskovaním do spustiteľného súboru Lsass. Proces je podobný, ale nie totožný so skutočným Subsystémová služba miestneho bezpečnostného orgánu . Škodlivý proces je pomenovaný isass.exe, na rozdiel od legitímneho procesu, ktorý je pomenovaný lsass.exe . Ak zistíte, že proces sa začína veľkým kapitálom Ja namiesto malých písmen Ľ , váš systém je pravdepodobne infikovaný.

Túto teóriu môžete potvrdiť skontrolovaním umiestnenia súboru lsass.exe. Spravidla, ak Lsass spustiteľný súbor sa nachádza v C: Windows Systém 32 , môžete bezpečne predpokladať, že je to legitímne Subsystémová služba miestneho bezpečnostného orgánu . Ak to chcete urobiť, otvorte Správcu úloh ( Ctrl + Shift + Esc ) a posuňte sa nadol v zozname Procesy na Proces miestneho bezpečnostného úradu. Kliknite na ňu pravým tlačidlom myši a vyberte si Otvoriť umiestnenie súboru . Ak sa proces nenachádza v systéme 32, môžete si byť istí, že máte do činenia s napadnutím škodlivým softvérom.

The „Isass.exe“ je trójsky vírus s vlastnosťami keyloggingu známy ako Sasserov červ rodina. Jeho hlavným účelom je tiché získavanie údajov z vášho systému. Registráciou každého stlačeného klávesu sa vírus nakonfiguruje tak, aby sledoval používateľské mená, heslá, čísla kreditných kariet a ďalšie citlivé údaje účtu, ktoré sa nakoniec použijú na nelegitímny finančný zisk.

Vírus existuje už niekoľko rokov a spoločnosť Microsoft už proti nemu prijala opatrenia. Ak zistíte, že ste infikovaný, môžete použiť Microsoft Malware Removal Tool na odstránenie akýchkoľvek stôp po Sasserov červ . Po mesiacoch infikovania nespočetného množstva používateľov systémov Windows 7 a XP spoločnosť Microsoft opravila chybu zabezpečenia, ktorá umožnila vírusu infikovať počítače so systémom Windows. Ak máte najnovšie bezpečnostné aktualizácie systému Windows, odteraz už nie je možné infikovať sa červom Sasser.

Mám deaktivovať službu izolácie kľúčov CNG?

Nie. Služba izolácie kľúčov CNG je kritický systémový proces potrebný na bezpečné ukladanie kryptografických informácií. Za žiadnych okolností by nemali byť legitímne Služba izolácie kľúčov CNG (KeyISO) by mal byť trvale zakázaný.

Ukončením procesu lsass.exe v Správcovi úloh sa zastaví aj služba izolácie kľúčov CNG. Nezabúdajte však, že to môže spôsobiť násilné vypnutie vášho systému. Pretože riadi najdôležitejšiu časť protokolu o bezpečnosti, je izolácia kľúča CNG nevyhnutnou funkciou systému Windows.

Ak však máte podozrenie, že Služba izolácie kľúčov CNG nefunguje správne alebo spôsobuje problémy s vaším systémom, môžete sa pokúsiť reštartovať službu. Ak to chcete urobiť, otvorte okno Spustiť ( Kláves Windows + R ) a zadajte services.msc . Potom stlačte Zadajte otvoriť Služby okno.

V Služby okno, posuňte sa nadol na Izolácia kľúča CNG služba. Kliknite pravým tlačidlom myši na službu a potom vyberte Reštart vynútiť opätovné začatie konania.

Poznámka: Pamätajte, že v závislosti od toho, či sa v súčasnosti používa služba izolácie kľúčov CNG, môžete naraziť na neočakávané reštartovanie systému. Túto službu nereštartujte, pokiaľ na to nemáte oprávnené dôvody.