The Izolacija ključa CNG (kriptografska naslednja generacija) storitev zagotavlja izolacijo ključnega procesa za zasebne ključe in številne povezane kriptografske operacije, kot zahteva Skupna merila. Privzeta pot do izvršljive datoteke, povezane s storitvijo CNG Key Isolation, jeC: \ windows \ system32 \ lsass.exe.
Pojasnjena izolacija ključa CNG
The Izolacija CNG ključa storitev deluje kot LocalSystem v skupnem procesu (gostuje v LSA proces). Storitev shranjuje dolgožive ključe za preverjanje pristnosti uporabnikov v storitvi Winlogon. Storitev izolacije ključa CNG bo na primer shranila ključ brezžičnega omrežja ali zahtevane kriptografske podatke za pametno kartico. Vse operacije, ki jih izvaja služba za izolacijo ključa CNG, se izvajajo tako, da sledijo Skupna merila zahteve.
V primeru, da storitev izolacije ključa CNG ne uspe naložiti ali inicializirati, se vedenje zabeleži v Zapisnik. Storitve se največkrat ne uspe zagnati, ker Oddaljeni klic postopka (RPC) storitev prisilno ustavljena ali onemogočena. Če se storitev izolacije CNG ključa ustavi, se Razširljivi protokol za preverjanje pristnosti (EAP) se ob zagonu ne bo mogel zagnati in inicializirati.
Kot boste videli spodaj, Storitev izolacije CNG ključa deli izvršljivo datoteko (lsass.exe) z več drugimi storitvami.
Kaj je Lsass.exe?
LSASS pomeni Storitev podsistema lokalnega varnostnega organa. Pristen lsass.exe je legitimen sestavni del programske opreme v okolju Windows. Izvršljiva datoteka se šteje za proces osrednjega lokalnega sistema, ki je vgrajen v sistem Windows. Privzeta lokacija os lsass.exe je v C: \ Windows \ Sistem 32.
The Lass.exe proces obravnava štiri glavne storitve overjanja v sistemu Windows:
- KeyIso (izolacija ključa za CNG) - Najpomembnejša storitev preverjanja pristnosti, ki jo gosti postopek LSA. Omogoča izolacijo ključnega procesa za zasebne ključe in s tem povezane kriptografske operacije.
- EFS (šifrirni datotečni sistem) - Jedrna tehnologija za šifriranje datotek, ki se večinoma uporablja za shranjevanje šifriranih datotek na zvezkih datotečnega sistema NTFS. Če zaustavite to storitev, vaš sistem ne bo mogel dostopati do šifriranih datotek.
- SamSS (upravitelj varnostnih računov)- Glavni namen te storitve je, da deluje kot svetilnik in signalizira druge storitve, ko Upravitelj varnostnega računa(SAM) je pripravljen prejemati zahteve. Če ustavite to storitev, ne boste mogli biti obveščeni o drugih storitvah, ki se zanašajo na upravitelja varnostnih računov. To bo ustvarilo učinek snežne kepe, zaradi katerega bo veliko odvisnih storitev odpovedalo ali se bo zagnalo nepravilno.
- Lokalna politika IPSEC - Upravlja in zažene ISAKMP / Oakley (IKE) in različni gonilniki za varnost IP v Windows Server.
Potencialno varnostno tveganje z lsass.exe
Nekateri uporabniki sistema Windows ugotovijo, da izvršljiva datoteka Lsass porabi veliko sistemskih virov in domneva lsass.exe virusa ali druge vrste zlonamerne programske opreme. Čeprav je to zagotovo mogoče, je verjetno, da se to zgodi.
Vendar pa je znan virus copy-cat, za katerega je znano, da okuži sisteme s kamufliranjem v izvršljivo datoteko Lsass. Postopek je podoben, vendar ni enak pravemu Storitev podsistema lokalnega varnostnega organa. Zlonamerni postopek je imenovan isass.exe, v nasprotju z legitimnim postopkom, ki je imenovan lsass.exe. Če ugotovite, da se postopek začne s kapitalom jaz namesto male črke L, vaš sistem je verjetno okužen.
To teorijo lahko potrdite s preverjanjem lokacije lsass.exe. Na splošno, če Lsass izvršljiva datoteka se nahaja v C: \ Windows \ Sistem 32, lahko varno domnevate, da je to zakonito Storitev podsistema lokalnega varnostnega organa. Če želite to narediti, odprite upravitelja opravil (Ctrl + Shift + Esc) in se na seznamu Procesi pomaknite do Lokalni varnostni organ.Z desno miškino tipko kliknite in izberite Odprite lokacijo datoteke. Če postopek ni v sistemu 32, ste lahko prepričani, da imate opravka z okužbo z zlonamerno programsko opremo.
The “Isass.exe” je trojanski virus z lastnostmi beleženja ključev, znanimi Sasserjev črv družina. Njegov glavni namen je tiho zbiranje podatkov iz vašega sistema. Z registracijo vsakega pritiska tipke je virus konfiguriran za iskanje uporabniških imen računov, gesel, številk kreditnih kartic in vseh drugih občutljivih podatkov, ki se na koncu uporabljajo za nezakonito finančno korist.
Virus obstaja že nekaj let in Microsoft je proti njemu že sprejel ukrepe. Če ugotovite, da ste okuženi, lahko z orodjem Microsoft Malware Removal odstranite vse sledove datoteke Sasserjev črv. Po mesecih okužbe neštetih uporabnikov sistema Windows 7 in XP je Microsoft popravil ranljivost, zaradi katere je virus lahko okužil računalnike z operacijskim sistemom Windows. Zdaj ni mogoče več okužiti s črvom Sasser, če imate najnovejše varnostne posodobitve sistema Windows.
Ali naj onemogočim storitev izolacije ključa CNG?
Ne. Storitev izolacije ključa CNG je ključni sistemski postopek, potreben za varno shranjevanje kriptografskih informacij. V nobenem primeru ne sme biti legitimenStoritev izolacije CNG ključa (KeyISO) bi morali biti trajno onemogočeni.
Ko končate postopek lsass.exe v upravitelju opravil, se bo ustavila tudi storitev izolacije ključa CNG. Vendar ne pozabite, da bi to lahko povzročilo prisilni izklop sistema. Ker nadzoruje najpomembnejši del varnosti v dnevniku, je izolacija ključa CNG bistvena funkcija sistema Windows.
Če pa sumite, daStoritev izolacije CNG ključane deluje pravilno ali povzroča težave s sistemom, lahko poskusite znova zagnati storitev. Če želite to narediti, odprite okno Zaženi (Tipka Windows + R.) in tip storitve.msc. Potem zadej Enter odpreti Storitve okno.
V Storitve okno, se pomaknite navzdol do Izolacija CNG ključa storitev. Z desno miškino tipko kliknite storitev in nato izberite Ponovni zagon izsiliti ponovno uvedbo.
Opomba: Upoštevajte, da lahko, če trenutno uporabljate storitev izolacije ključa CNG, naletite na nepričakovani ponovni zagon sistema. Te storitve ne zaženite znova, razen če za to imate upravičene razloge.
