De CNG (Cryptographic Next Generation) Key Isolation tjänsten tillhandahåller nyckelprocessisolering till privata nycklar och ett antal tillhörande kryptografiska operationer enligt kravet på Vanliga kriterier . Standardvägen till den körbara filen som är associerad med CNG Key Isolation-tjänsten är C: windows system32 lsass.exe.
CNG Key Isolation Explained
De CNG-nyckelisolering tjänsten körs som ett LocalSystem i en delad process (värd i LSA bearbeta). Tjänsten lagrar långlivade nycklar för att autentisera användare i Winlogon-tjänsten. Till exempel lagrar CNG Key Isolation-tjänsten en trådlös nätverksnyckel eller den kryptografiska informationen som krävs för ett smartkort. Alla åtgärder som utförs av CNG Key Isolation-tjänsten utförs genom att följa Vanliga kriterier krav.
I händelse av att CNG Key Isolation-tjänsten inte laddas eller initieras, registreras beteendet i Händelselogg . För det mesta kan tjänsten inte starta eftersom Remote Procedure Call (RPC) tjänsten stoppas eller inaktiveras med våld. Om CNG Key Isolation-tjänsten stoppas, Extensibelt autentiseringsprotokoll (EAP) kommer inte att starta och initialiseras vid start.
Som du kommer att se nedan, CNG-isoleringstjänst delar en körbar ( lsass.exe ) med flera andra tjänster.
Vad är Lsass.exe?
LSASS står för Lokalsäkerhetsmyndighetens delsystemstjänst . Den äkta lsass.exe är en legitim programvarukomponent i Windows-miljön. Den körbara enheten betraktas som en lokal myndighetsprocess som är inbyggd i Windows. Standardplatsen os lsass.exe är i C: Windows System 32 .
De Lass.exe process hanterar fyra huvudautentiseringstjänster i Windows:
- KeyIso (CNG Key Isolation) - Den viktigaste autentiseringstjänsten i LSA-processen. Det ger nyckelprocessisolering till privata nycklar och tillhörande kryptografiska operationer.
- EFS (Krypterande filsystem) - En kärnkrypteringsteknik som huvudsakligen används för att lagra krypterade filer på NTFS-filsystemvolymer. Att stoppa den här tjänsten hindrar ditt system från att komma åt krypterade filer.
- SamSS (Security Accounts Manager) - Huvudsyftet med denna tjänst är att fungera som en fyr och signalera andra tjänster när Säkerhets kontoansvarig (SAM) är redo att ta emot förfrågningar. Att stoppa den här tjänsten förhindrar att andra tjänster som förlitar sig på Security Account Manager får meddelande. Detta kommer att skapa en snöbollseffekt som får många beroende tjänster att misslyckas eller starta fel.
- Lokal IPSEC-policy - Hanterar och startar ISAKMP / Oakley (IKE) och olika IP-säkerhetsdrivrutiner i Windows Server .
Potentiell säkerhetsrisk med lsass.exe
Vissa Windows-användare tycker att den körbara Lsass-konsumtionen förbrukar mycket systemresurser och misstänker lsass.exe av att vara ett virus eller annan typ av skadlig kod. Även om detta verkligen är möjligt är chansen att detta händer liten.
Det finns emellertid ett känt copy-cat-virus som har varit känt för att infektera system genom att kamouflera i Lsass-körningen. Processen är liknande, men inte identisk med den äkta Lokalsäkerhetsmyndighetens delsystemstjänst . Den skadliga processen heter isass.exe, i motsats till den legitima processen som namnges lsass.exe . Om du upptäcker att processen börjar med en kapital Jag istället för gemener L , ditt system är troligen infekterat.
Du kan bekräfta denna teori genom att kontrollera platsen för lsass.exe. I allmänhet om Lsass körbar finns i C: Windows System 32 kan du säkert anta att det är legitimt Lokalsäkerhetsmyndighetens delsystemstjänst . För att göra detta öppnar du Aktivitetshanteraren ( Ctrl + Skift + Esc ) och bläddra ner i listan Processer till Process för lokal säkerhetsmyndighet. Högerklicka på den och välj Öppna filplats . Om processen inte finns i System 32 kan du vara säker på att du har att göra med en infektion med skadlig kod.
De “Isass.exe” är ett trojanvirus med keylogging-egenskaper kända Sasser mask familj. Dess huvudsyfte är att tyst skörda data från ditt system. Genom att registrera varje tangenttryckning du skriver konfigureras viruset för att följa kontonamn, lösenord, kreditkortsnummer och andra känsliga data som i slutändan används för en olaglig ekonomisk vinst.
Viruset har funnits i flera år och Microsoft har redan vidtagit åtgärder mot det. Om du upptäcker att du är smittad kan du använda Microsoft Malware Removal-verktyg för att ta bort eventuella spår av Sasser mask . Efter månader av infektering av otaliga Windows 7- och XP-användare har Microsoft korrigerat sårbarheten som gjorde det möjligt för viruset att infektera Windows-maskiner. Från och med nu är det inte längre möjligt att smittas med Sasser-masken om du har de senaste Windows-säkerhetsuppdateringarna.
Ska jag inaktivera isoleringstjänsten för CNG-nycklar?
Nej. CNG-isoleringstjänsten är en kritisk systemprocess som behövs för att lagra kryptografisk information säkert. Under inga omständigheter bör det legitima CNG Key Isolation (KeyISO) Service bör inaktiveras permanent.
Att avsluta lsass.exe-processen i Aktivitetshanteraren stoppar också isoleringstjänsten för CNG-nycklar. Men kom ihåg att detta kan få ditt system att stängas av med våld. Eftersom den kontrollerar den viktigaste delen av inloggningssäkerheten är CNG-nyckelisoleringen en viktig funktion i Windows.
Men om du misstänker att CNG-isoleringstjänst inte fungerar ordentligt eller orsakar problem med ditt system kan du försöka starta om tjänsten. För att göra detta, öppna ett körfönster ( Windows-tangent + R ) och typ services.msc . Slå sedan Stiga på för att öppna Tjänster fönster.
I Tjänster bläddra ner till CNG-nyckelisolering service. Högerklicka på tjänsten och välj sedan Omstart att tvinga en nyinitiering.
Notera: Tänk på att beroende på om CNG Key Isolation-tjänsten för närvarande används kan du stöta på en oväntad omstart av systemet. Starta inte om den här tjänsten om du inte har legitima skäl till det.
4 minuter läst
