Vejledninger

Hvad er: CNG Key Isolation (lsass.exe)

Det CNG (kryptografisk næste generation) nøgleisolering tjenesten giver nøgleprocesisolering til private nøgler og et antal tilknyttede kryptografiske operationer som krævet af Fælles kriterier. Standardstien til den eksekverbare tilknytning til CNG-nøgleisoleringstjenesten erC: \ windows \ system32 \ lsass.exe.

CNG-nøgleisolering forklaret

Det CNG-nøgleisolering tjenesten kører som et LocalSystem i en delt proces (hostet i LSA behandle). Tjenesten gemmer nøgler med lang levetid for at godkende brugere i Winlogon-tjenesten. F.eks. Gemmer CNG Key Isolation-tjenesten en trådløs netværksnøgle eller de krævede kryptografiske oplysninger til et chipkort. Alle operationer udført af CNG Key Isolation-tjenesten udføres ved at følge Fælles kriterier krav.

I tilfælde af, at CNG Key Isolation-tjenesten ikke indlæses eller initialiseres, registreres adfærden i Hændelseslog. Det meste af tiden starter tjenesten ikke, fordi Remote Procedure Call (RPC) Tjenesten stoppes eller deaktiveres med magt. Hvis CNG-nøgleisoleringstjenesten stoppes, Udvidelig godkendelsesprotokol (EAP) kan ikke starte og initialisere ved opstart.

Som du kommer til at se nedenfor, er CNG-nøgleisoleringstjeneste deler en eksekverbar (lsass.exe) med flere andre tjenester.

Hvad er Lsass.exe?

LSASS står for Local Security Authority Subsystem Service. Den ægte lsass.exe er en legitim softwarekomponentdel af Windows-miljøet. Den eksekverbare betragtes som en kerne system lokal myndighed proces, der er indbygget i Windows. Standardplaceringen OS lsass.exe er i C: \ Windows \ System 32.

Det Lass.exe proces håndterer fire hovedgodkendelsestjenester i Windows:

  • KeyIso (CNG Key Isolation) - Den vigtigste godkendelsestjeneste, der hostes i LSA-processen. Det giver nøgleprocesisolering til private nøgler og tilknyttede kryptografiske operationer.
  • EFS (krypterende filsystem) - En grundlæggende filkrypteringsteknologi, der hovedsagelig bruges til at gemme krypterede filer på NTFS-filsystemvolumener. Stop af denne service forhindrer dit system i at få adgang til krypterede filer.
  • SamSS (Security Accounts Manager)- Hovedformålet med denne tjeneste er at fungere som et fyrtårn og signalere andre tjenester, når Security Account Manager(SAM) er klar til at modtage anmodninger. Hvis du stopper denne service, forhindres andre tjenester, der er afhængige af sikkerhedskontostyringen, fra at blive underrettet. Dette vil skabe en sneboldeffekt, der får mange afhængige tjenester til at mislykkes eller starte forkert.
  • Lokal IPSEC-politik - Administrerer og starter ISAKMP / Oakley (IKE) og forskellige IP-sikkerhedsdrivere i Windows Server.

Potentiel sikkerhedsrisiko med lsass.exe

Nogle Windows-brugere finder ud af, at den Lsass-eksekverbare bruger mange systemressourcer og mistænker lsass.exe at være en virus eller en anden type malware. Selvom dette bestemt er muligt, er chancerne for, at dette sker, små.

Der er dog en kendt copy-cat-virus, der har været kendt for at inficere systemer ved at camoufleere i den eksekverbare Lsass. Processen er ens, men ikke identisk med den ægte Local Security Authority Subsystem Service. Den ondsindede proces er navngivet isass.exe, i modsætning til den legitime proces, der er navngivet lsass.exe. Hvis du finder ud af, at processen starter med en kapital jeg i stedet for små bogstaver L, dit system er sandsynligvis inficeret.

Du kan bekræfte denne teori ved at kontrollere placeringen af ​​lsass.exe. Generelt, hvis Lsass eksekverbar er placeret i C: \ Windows \ System 32, kan du med sikkerhed antage, at det er det legitime Local Security Authority Subsystem Service. For at gøre dette skal du åbne Jobliste (Ctrl + Skift + Esc) og rul ned i listen Processer til Lokal sikkerhedsmyndighedsproces.Højreklik på det og vælg Åbn filplacering. Hvis processen ikke findes i System 32, kan du være sikker på, at du har at gøre med en malwareinfektion.

Det “Isass.exe” er en trojan virus med keylogging egenskaber kendt Sasser orm familie. Dens hovedformål er at stille høste data fra dit system. Ved at registrere hvert tastetryk, du skriver, er virussen konfigureret til at gå efter kontonavne, adgangskoder, kreditkortnumre og andre følsomme data, der i sidste ende bruges til en ulovlig økonomisk gevinst.

Virussen har eksisteret i flere år, og Microsoft har allerede truffet foranstaltninger mod den. Hvis du opdager, at du er inficeret, kan du bruge værktøjet til fjernelse af malware til Microsoft til at fjerne spor af Sasser orm. Efter måneder med at inficere utallige Windows 7- og XP-brugere har Microsoft patchet den sårbarhed, der gjorde det muligt for virussen at inficere Windows-maskiner. Fra nu af er det ikke længere muligt at blive smittet med Sasser-ormen, hvis du har de nyeste Windows-sikkerhedsopdateringer.

Skal jeg deaktivere CNG-nøgleisoleringstjenesten?

Nej. CNG-nøgleisoleringstjenesten er en kritisk systemproces, der er nødvendig for at gemme kryptografisk information sikkert. Under ingen omstændigheder bør det legitimeCNG Key Isolation (KeyISO) Service skal være permanent deaktiveret.

Afslutning af lsass.exe-processen i Jobliste stopper også isoleringstjenesten for CNG-nøgler. Men husk at dette kan få dit system til at lukke ned med magt. Da den styrer den vigtigste del af log-on-sikkerhed, er CNG-nøgleisolering en vigtig funktion af Windows.

Men hvis du har mistanke om, atCNG-nøgleisoleringstjenestefungerer ikke korrekt eller forårsager problemer med dit system, kan du prøve at genstarte tjenesten. For at gøre dette skal du åbne et Run-vindue (Windows-tast + R) og type services.msc. Så slå Gå ind at åbne Tjenester vindue.

I Tjenester vindue, rul ned til CNG-nøgleisolering service. Højreklik på tjenesten, og vælg derefter Genstart at tvinge en genoptagelse.

Bemærk: Husk, at afhængigt af om CNG Key Isolation-tjenesten i øjeblikket er i brug, kan du muligvis støde på en uventet genstart af systemet. Genstart ikke denne tjeneste, medmindre du har legitime grunde til at gøre det.