CNG (Cryptographic Next Generation) Izolarea cheii serviciul asigură izolarea procesului de chei pentru cheile private și o serie de operațiuni criptografice asociate, așa cum este cerut de Criterii comune . Calea implicită către executabilul asociat cu serviciul CNG Key Isolation este C: windows system32 lsass.exe.
Explicația izolării cheii CNG
Izolarea cheii GNC serviciul rulează ca un sistem local într - un proces partajat (găzduit în LSA proces). Serviciul stochează chei de lungă durată pentru autentificarea utilizatorilor în serviciul Winlogon. De exemplu, serviciul CNG Key Isolation va stoca o cheie de rețea fără fir sau informațiile criptografice necesare pentru un card inteligent. Toate operațiunile efectuate de serviciul CNG Key Isolation sunt efectuate urmând Criterii comune cerințe.
În cazul în care serviciul CNG Key Isolation nu reușește să se încarce sau să inițializeze, comportamentul este înregistrat în Jurnal de evenimente . De cele mai multe ori, serviciul nu pornește deoarece Apel de procedură la distanță (RPC) serviciul este oprit sau dezactivat forțat. Dacă serviciul CNG Key Isolation este oprit, Protocol de autentificare extensibil (EAP) nu va porni și inițializa la pornire.
După cum veți vedea mai jos, Serviciu de izolare a cheii GNC partajează un executabil ( lsass.exe ) cu alte câteva servicii.
Ce este Lsass.exe?
LSASS înseamnă Serviciul subsistemului autorității locale de securitate . Autenticul lsass.exe este o componentă software legitimă a mediului Windows. Executabilul este considerat un proces central al autorității locale care este încorporat în Windows. Locația implicită OS lsass.exe este in C: Windows Sistem 32 .
Lass.exe proces gestionează patru servicii principale de autentificare în Windows:
- KeyIso (izolarea cheii CNG) - Cel mai important serviciu de autentificare găzduit în procesul LSA. Oferă izolarea procesului cheii cheilor private și operațiunilor criptografice asociate.
- EFS (criptarea sistemului de fișiere) - O tehnologie de criptare a fișierelor de bază utilizată în principal pentru a stoca fișiere criptate pe volumele sistemului de fișiere NTFS. Oprirea acestui serviciu va împiedica sistemul dvs. să acceseze fișiere criptate.
- SamSS (Security Accounts Manager) - Scopul principal al acestui serviciu este de a acționa ca un far și de a semnaliza alte servicii atunci când Manager cont securitate (SAM) este gata să primească cereri. Oprirea acestui serviciu va împiedica notificarea altor servicii care se bazează pe Managerul contului de securitate. Acest lucru va crea un efect de bulgăre de zăpadă care va face ca o mulțime de servicii dependente să eșueze sau să înceapă incorect.
- Politica locală IPSEC - Gestionează și pornește ISAKMP / Oakley (IKE) și diferiți drivere de securitate IP în Windows Server .
Risc potențial de securitate cu lsass.exe
Unii utilizatori Windows consideră că executabilul Lsass consumă o mulțime de resurse de sistem și suspectează lsass.exe a fi un virus sau un alt tip de malware. Deși acest lucru este cu siguranță posibil, șansele ca acest lucru să se întâmple sunt mici.
Cu toate acestea, există un virus copiat-pisică cunoscut, care se știe că infectează sistemele prin camuflare în executabilul Lsass. Procesul este similar, dar nu identic cu cel autentic Serviciul subsistemului autorității locale de securitate . Procesul rău intenționat este numit isass.exe, spre deosebire de procesul legitim care este numit lsass.exe . Dacă descoperiți că procesul începe cu un capital Eu în loc de litere mici L , sistemul dvs. este probabil infectat.
Puteți confirma această teorie verificând locația lsass.exe. În general, dacă Lsass executabil se află în C: Windows Sistem 32 , puteți presupune în siguranță că este legitim Serviciul subsistemului autorității locale de securitate . Pentru a face acest lucru, deschideți Managerul de activități ( Ctrl + Shift + Esc ) și derulați în jos în lista Procese până la Procesul autorității locale de securitate. Faceți clic dreapta pe el și alegeți Deschide locația fișierului . Dacă procesul nu este localizat în sistemul 32, puteți fi sigur că aveți de-a face cu o infecție malware.
„Isass.exe” este un virus troian cu proprietăți de keylogging cunoscut Vierme Sasser familie. Scopul său principal este de a culege în liniște datele din sistemul dvs. Înregistrând fiecare apăsare de tastă pe care o tastați, virusul este configurat pentru a merge după numele de utilizator ale contului, parolele, numerele cardului de credit și orice alte date sensibile care sunt utilizate în cele din urmă pentru un câștig financiar ilegitim.
Virusul există de câțiva ani și Microsoft a luat deja măsuri împotriva acestuia. Dacă descoperiți că sunteți infectat, puteți utiliza Instrumentul de eliminare a malware-ului Microsoft pentru a elimina orice urmă a Vierme Sasser . După luni de zile infectând nenumărați utilizatori de Windows 7 și XP, Microsoft a remediat vulnerabilitatea care a permis virusului să infecteze mașinile Windows. De acum, nu mai este posibil să vă infectați cu viermele Sasser dacă aveți cele mai recente actualizări de securitate Windows.
Ar trebui să dezactivez serviciul de izolare a cheii CNG?
Nu. Serviciul de izolare a cheilor CNG este un proces critic de sistem necesar pentru stocarea sigură a informațiilor criptografice. În niciun caz legitimul nu trebuie Serviciul CNG Key Isolation (KeyISO) ar trebui să fie dezactivat permanent.
Încheierea procesului lsass.exe în Managerul de activități va opri și serviciul de izolare a cheii CNG. Dar rețineți că acest lucru ar putea cauza închiderea forțată a sistemului. Deoarece controlează cea mai importantă parte a securității de conectare, izolarea cheii CNG este o funcție esențială a Windows.
Cu toate acestea, dacă bănuiți că Serviciu de izolare a cheii GNC nu funcționează corect sau cauzează probleme cu sistemul dvs., puteți încerca să reporniți serviciul. Pentru a face acest lucru, deschideți o fereastră Run ( Tasta Windows + R ) și tastați services.msc . Apoi, lovește introduce pentru a deschide Servicii fereastră.
În Servicii , derulați în jos până la Izolarea cheii CNG serviciu. Faceți clic dreapta pe serviciu și apoi alegeți Repornire pentru a forța o reinitiere.
Notă: Rețineți că, în funcție de utilizarea serviciului CNG Key Isolation, este posibil să vă confruntați cu o repornire neașteptată a sistemului. Nu reporniți acest serviciu decât dacă aveți motive legitime pentru a face acest lucru.
4 minute citite
