Ano ang: CNG Key Isolation (lsass.exe)

Ang CNG (Cryptographic Susunod na Henerasyon) Key Isolation Ang serbisyo ay nagbibigay ng paghihiwalay ng key proseso sa mga pribadong key at isang bilang ng mga kaugnay na operasyon ng cryptographic tulad ng hinihiling ng Mga Karaniwang Pamantayan . Ang default na path sa maipapatupad na nauugnay sa serbisyo ng CNG Key Isolation ay C: windows system32 lsass.exe.

Ipinaliwanag ang CNG Key Isolation

Ang Paghihiwalay ng CNG key tumatakbo ang serbisyo bilang isang LocalSystem sa isang nakabahaging proseso (naka-host sa LSA proseso). Nag-iimbak ang serbisyo ng mga pangmatagalang key upang patunayan ang mga gumagamit sa serbisyo ng Winlogon. Halimbawa, ang serbisyo ng CNG Key Isolation ay mag-iimbak ng isang wireless network key o ang kinakailangang impormasyon na cryptographic para sa isang smart card. Ang lahat ng mga pagpapatakbo na isinagawa ng serbisyo ng CNG Key Isolation ay ginaganap sa pamamagitan ng pagsunod sa Mga Karaniwang Pamantayan mga kinakailangan

Sa kaganapan na ang serbisyo ng CNG Key Isolation ay nabigong mai-load o magpasimula, ang pag-uugali ay naitala sa Log ng Kaganapan . Karamihan sa mga oras, nabigo ang serbisyo upang magsimula dahil ang Tawag sa Remote Procedure (RPC) sapilitang huminto o hindi pinagana ang serbisyo. Kung ang serbisyo ng CNG Key Isolation ay tumigil, ang Extensible Authentication Protocol Ang (EAP) ay mabibigo upang magsimula at magpasimula sa pagsisimula.

Tulad ng makikita mo sa ibaba, ang Serbisyong paghihiwalay ng CNG key namamahagi ng isang maipapatupad ( lsass.exe ) kasama ang maraming iba pang mga serbisyo.

Ano ang Lsass.exe?

LSASS ibig sabihin Serbisyong Subsystem ng Local Security Authority . Ang tunay lsass.exe ay isang lehitimong bahagi ng bahagi ng software ng kapaligiran sa Windows. Ang maipapatupad ay itinuturing na isang pangunahing sistema ng lokal na proseso ng awtoridad na binuo sa Windows. Ang default na lokasyon os lsass.exe ay nasa C: Windows System 32 .

Ang Lass.exe Humahawak ang proseso ng apat na pangunahing mga serbisyo sa pagpapatotoo sa Windows:

• KeyIso (CNG Key Isolation) - Ang pinakamahalagang serbisyo sa pagpapatotoo na naka-host sa proseso ng LSA. Nagbibigay ito ng paghihiwalay ng key ng proseso sa mga pribadong key at nauugnay na operasyon ng cryptographic.
• EFS (Encrypting File System) - Isang pangunahing teknolohiya ng pag-encrypt ng file na pangunahing ginagamit upang mag-imbak ng mga naka-encrypt na file sa mga volume ng file ng NTFS. Ang pagtigil sa serbisyong ito ay pipigilan ang iyong system sa pag-access sa mga naka-encrypt na mga file.
• SamSS (Manager ng Mga Account sa Seguridad) - Ang pangunahing layunin ng serbisyong ito ay upang kumilos bilang isang beacon at magsenyas ng iba pang mga serbisyo kapag ang Security Account Manager (SAM) handa nang tumanggap ng mga kahilingan. Ang paghinto sa serbisyong ito ay pipigilan ang iba pang mga serbisyong umaasa sa Security Account Manager na maabisuhan. Lilikha ito ng isang epekto ng niyebeng binilo na magiging sanhi ng pagkabigo o pagsisimula nang mali ng maraming mga umaasang serbisyo.
• Patakaran sa Lokal na IPSEC - Namamahala at nagsisimula ang ISAKMP / Oakley (IKE) at iba`t ibang mga driver ng seguridad ng IP sa Windows Server .

Potensyal na Panganib sa Seguridad sa lsass.exe

Nalaman ng ilang mga gumagamit ng Windows na ang maipapatupad na Lsass ay gumagamit ng maraming mapagkukunan ng system at pinaghihinalaan lsass.exe ng pagiging isang virus o ibang uri ng malware. Habang tiyak na posible ito, ang mga pagkakataong mangyari ito ay payat.

Gayunpaman, mayroong isang kilalang virus ng copy-cat na kilala na mahawahan ang mga system sa pamamagitan ng pag-camouflaging sa maipapatupad na Lsass. Ang proseso ay katulad, ngunit hindi magkapareho sa tunay Serbisyong Subsystem ng Local Security Authority . Ang malisyosong proseso ay pinangalanan isass.exe, taliwas sa lehitimong proseso na pinangalanan lsass.exe . Kung nalaman mong ang proseso ay nagsisimula sa isang kapital Ako sa halip na isang mas mababang kaso L , nahawaang ang iyong system.

Maaari mong kumpirmahing ang teoryang ito sa pamamagitan ng pag-check sa lokasyon ng lsass.exe. Pangkalahatan, kung ang Lsass maipatupad ay matatagpuan sa C: Windows System 32 , maaari mong ligtas na ipalagay na ito ang lehitimo Serbisyong Subsystem ng Local Security Authority . Upang gawin ito buksan ang Task Manager ( Ctrl + Shift + Esc ) at mag-scroll pababa sa listahan ng Mga proseso sa Proseso ng Local Security Authority. Mag-right click dito at pumili Buksan ang lokasyon ng file . Kung ang proseso ay hindi matatagpuan sa System 32, makakasiguro kang nakikipag-ugnay ka sa isang impeksyon sa malware.

Ang 'Isass.exe' ay isang trojan virus na may mga pag-aari ng keylogging na kilala ang Sasser worm pamilya Ang pangunahing layunin nito ay ang tahimik na pag-ani ng data mula sa iyong system. Sa pamamagitan ng pagrehistro ng bawat keystroke na nai-type mo, ang virus ay na-configure upang sundan ang mga username, password, numero ng credit card at anumang iba pang sensitibong data na sa huli ay ginagamit para sa isang hindi ligal na kita sa pananalapi.

Ang virus ay nasa paligid ng maraming taon at ang Microsoft ay gumawa ng mga hakbang laban dito. Kung nalaman mong nahawahan ka, maaari mong gamitin ang Tool sa Pag-alis ng Microsoft Malware upang alisin ang anumang mga bakas ng Sasser worm . Matapos ang buwan ng paghawa sa hindi mabilang na mga gumagamit ng Windows 7 at XP, na-patch ng Microsoft ang kahinaan na pinapayagan ang virus na mahawahan ang mga Windows machine. Tulad ng ngayon, hindi na posible na mahawahan ng Sasser worm kung mayroon kang pinakabagong mga update sa seguridad ng Windows.

Dapat ko bang hindi paganahin ang serbisyong paghihiwalay ng CNG key?

Hindi. Ang serbisyong paghihiwalay ng CNG key ay isang kritikal na proseso ng system na kinakailangan upang maiimbak ang impormasyong cryptographic nang ligtas. Sa ilalim ng hindi pangyayari ay dapat ang lehitimo Serbisyo ng CNG Key Isolation (KeyISO) dapat permanenteng hindi pinagana.

Ang pagtatapos ng proseso ng lsass.exe sa Task Manager ay titigil din sa serbisyo ng paghihiwalay na key ng CNG. Ngunit tandaan na maaaring maging sanhi ito ng iyong system na magsara ng puwersahan. Dahil kinokontrol nito ang pinakamahalagang bahagi ng pag-log sa seguridad, ang paghihiwalay ng key ng CNG ay isang mahalagang pag-andar ng Windows.

Gayunpaman, kung pinaghihinalaan mo na ang Serbisyong paghihiwalay ng CNG key ay hindi gumagana nang maayos o nagdudulot ng mga problema sa iyong system, maaari mong subukang i-restart ang serbisyo. Upang magawa ito, buksan ang isang Run window ( Windows key + R ) at uri mga serbisyo.msc . Tapos, hit Pasok upang buksan ang Mga serbisyo bintana

Nasa Mga serbisyo window, mag-scroll pababa sa Paghiwalay ng CNG Key serbisyo Mag-right click sa serbisyo at pagkatapos ay pumili I-restart upang pilitin ang isang muling pagsisiksik.

Tandaan: Tandaan na nakasalalay kung kasalukuyang ginagamit ang serbisyo ng CNG Key Isolation, maaari kang makatagpo ng hindi inaasahang pag-reboot ng system. Huwag i-restart ang serbisyong ito maliban kung mayroon kang mga lehitimong dahilan para gawin ito.