ο Απομόνωση κλειδιού CNG (Cryptographic Next Generation) Η υπηρεσία παρέχει απομόνωση διαδικασίας κλειδιών σε ιδιωτικά κλειδιά και μια σειρά σχετικών κρυπτογραφικών λειτουργιών, όπως απαιτείται από το Κοινά κριτήρια. Η προεπιλεγμένη διαδρομή προς το εκτελέσιμο που σχετίζεται με την υπηρεσία Απομόνωση κλειδιού CNG είναιC: \ windows \ system32 \ lsass.exe.
Επεξήγηση της απομόνωσης κλειδιού CNG
ο Απομόνωση κλειδιού CNG Η υπηρεσία εκτελείται ως LocalSystem σε μια κοινή διαδικασία (φιλοξενείται στο LSA επεξεργάζομαι, διαδικασία). Η υπηρεσία αποθηκεύει μακροχρόνια κλειδιά για έλεγχο ταυτότητας χρηστών στην υπηρεσία Winlogon. Για παράδειγμα, η υπηρεσία Απομόνωσης κλειδιού CNG θα αποθηκεύσει ένα κλειδί ασύρματου δικτύου ή τις απαιτούμενες κρυπτογραφικές πληροφορίες για μια έξυπνη κάρτα. Όλες οι λειτουργίες που εκτελούνται από την υπηρεσία CNG Key Isolation εκτελούνται ακολουθώντας το Κοινά κριτήρια απαιτήσεις.
Σε περίπτωση που η υπηρεσία Απομόνωσης κλειδιού CNG δεν φορτώσει ή αρχικοποιήσει, η συμπεριφορά καταγράφεται στο Αρχείο καταγραφής συμβάντων. Τις περισσότερες φορές, η υπηρεσία δεν ξεκινά επειδή το Κλήση απομακρυσμένης διαδικασίας (RPC) διακοπή ή απενεργοποίηση της υπηρεσίας. Εάν διακοπεί η υπηρεσία Απομόνωσης κλειδιού CNG, το Επεκτάσιμο πρωτόκολλο ελέγχου ταυτότητας (EAP) θα αποτύχει να ξεκινήσει και να αρχικοποιηθεί κατά την εκκίνηση.
Όπως θα δείτε παρακάτω, το Υπηρεσία απομόνωσης κλειδιού CNG μοιράζεται ένα εκτελέσιμο (lsass.exe) με πολλές άλλες υπηρεσίες.
Τι είναι το Lsass.exe;
LSASS σημαίνει Υπηρεσία υποσυστήματος τοπικής αρχής ασφαλείας. Το γνήσιο lsass.exe είναι ένα νόμιμο μέρος του λογισμικού που αποτελεί μέρος του περιβάλλοντος των Windows. Το εκτελέσιμο θεωρείται ως βασική διαδικασία τοπικής αρχής που είναι ενσωματωμένη στα Windows. Η προεπιλεγμένη τοποθεσία os lsass.exe είναι μέσα C: \ Windows \ Σύστημα 32.
ο Lass.exe Η διαδικασία χειρίζεται τέσσερις κύριες υπηρεσίες ελέγχου ταυτότητας στα Windows:
- KeyIso (Απομόνωση κλειδιού CNG) - Η πιο σημαντική υπηρεσία ελέγχου ταυτότητας που φιλοξενείται στη διαδικασία LSA. Παρέχει απομόνωση διαδικασίας κλειδιών σε ιδιωτικά κλειδιά και σχετικές κρυπτογραφικές λειτουργίες.
- EFS (Κρυπτογράφηση συστήματος αρχείων) - Μια βασική τεχνολογία κρυπτογράφησης αρχείων που χρησιμοποιείται κυρίως για την αποθήκευση κρυπτογραφημένων αρχείων σε τόμους συστήματος αρχείων NTFS. Η διακοπή αυτής της υπηρεσίας θα αποτρέψει την πρόσβαση του συστήματός σας σε κρυπτογραφημένα αρχεία.
- SamSS (Διαχειριστής λογαριασμών ασφαλείας)- Ο κύριος σκοπός αυτής της υπηρεσίας είναι να ενεργεί ως φάρος και να επισημαίνει άλλες υπηρεσίες όταν το Διαχειριστής λογαριασμού ασφαλείας(Ο ΣΑΜ) είναι έτοιμο να λάβει αιτήματα. Η διακοπή αυτής της υπηρεσίας θα αποτρέψει την ειδοποίηση άλλων υπηρεσιών που βασίζονται στον Διαχειριστή λογαριασμού ασφαλείας. Αυτό θα δημιουργήσει ένα εφέ χιονοστιβάδας που θα προκαλέσει αποτυχία ή εκκίνηση λανθασμένων υπηρεσιών σε πολλές εξαρτημένες υπηρεσίες.
- Τοπική πολιτική IPSEC - Διαχειρίζεται και ξεκινά το ISAKMP / Oakley (IKE) και διάφορα προγράμματα οδήγησης ασφαλείας IP στο Διακομιστής Windows.
Πιθανός κίνδυνος ασφάλειας με το lsass.exe
Ορισμένοι χρήστες των Windows θεωρούν ότι το εκτελέσιμο Lsass καταναλώνει πολλούς πόρους συστήματος και ύποπτος lsass.exe να είναι ιός ή άλλος τύπος κακόβουλου λογισμικού. Ενώ αυτό είναι σίγουρα δυνατό, οι πιθανότητες να συμβεί αυτό είναι ελάχιστες.
Ωστόσο, υπάρχει ένας γνωστός ιός αντι-γάτας που είναι γνωστό ότι μολύνει συστήματα μέσω της παραλλαγής στο εκτελέσιμο Lsass. Η διαδικασία είναι παρόμοια, αλλά όχι ταυτόσημη με τη γνήσια Υπηρεσία υποσυστήματος τοπικής αρχής ασφαλείας. Η κακόβουλη διαδικασία ονομάζεται isass.exe, σε αντίθεση με τη νόμιμη διαδικασία που ονομάζεται lsass.exe. Εάν διαπιστώσετε ότι η διαδικασία ξεκινά με ένα κεφάλαιο Εγώ αντί για πεζά μεγάλο, το σύστημά σας είναι πιθανώς μολυσμένο.
Μπορείτε να επιβεβαιώσετε αυτήν τη θεωρία ελέγχοντας τη θέση του lsass.exe. Γενικά, εάν το Λάσσα εκτελέσιμο βρίσκεται στο C: \ Windows \ Σύστημα 32, μπορείτε να υποθέσετε με ασφάλεια ότι είναι το νόμιμο Υπηρεσία υποσυστήματος τοπικής αρχής ασφαλείας. Για να το κάνετε αυτό, ανοίξτε τη Διαχείριση εργασιών (Ctrl + Shift + Esc) και μετακινηθείτε προς τα κάτω στη λίστα Διαδικασίες στο Διαδικασία τοπικής αρχής ασφάλειας.Κάντε δεξί κλικ πάνω του και επιλέξτε Άνοιγμα τοποθεσίας αρχείου. Εάν η διαδικασία δεν βρίσκεται στο Σύστημα 32, μπορείτε να είστε σίγουροι ότι αντιμετωπίζετε μόλυνση από κακόβουλο λογισμικό.
ο "Isass.exe" είναι ένας ιός trojan με γνωστές ιδιότητες keylogging Sasser σκουλήκι οικογένεια. Ο κύριος σκοπός του είναι να συλλέγει ήσυχα δεδομένα από το σύστημά σας. Με την εγγραφή κάθε πληκτρολόγησης που πληκτρολογείτε, ο ιός έχει διαμορφωθεί έτσι ώστε να ακολουθεί ονόματα χρήστη λογαριασμού, κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών και άλλα ευαίσθητα δεδομένα που τελικά χρησιμοποιούνται για παράνομο οικονομικό κέρδος.
Ο ιός υπάρχει εδώ και αρκετά χρόνια και η Microsoft έχει ήδη λάβει μέτρα κατά του. Εάν διαπιστώσετε ότι έχετε μολυνθεί, μπορείτε να χρησιμοποιήσετε το εργαλείο αφαίρεσης κακόβουλου λογισμικού Microsoft για να αφαιρέσετε τυχόν ίχνη του Sasser σκουλήκι. Μετά από μήνες μόλυνσης αμέτρητων χρηστών των Windows 7 και XP, η Microsoft έχει διορθώσει την ευπάθεια που επέτρεψε στον ιό να μολύνει μηχανές Windows. Από τώρα, δεν είναι πλέον δυνατό να μολυνθείτε με το σκουλήκι Sasser εάν έχετε τις πιο πρόσφατες ενημερώσεις ασφαλείας των Windows.
Πρέπει να απενεργοποιήσω την υπηρεσία απομόνωσης κλειδιού CNG;
Όχι. Η υπηρεσία απομόνωσης κλειδιού CNG είναι μια κρίσιμη διαδικασία συστήματος που απαιτείται για την ασφαλή αποθήκευση κρυπτογραφικών πληροφοριών. Σε καμία περίπτωση δεν πρέπει το νόμιμοΥπηρεσία Απομόνωσης Κλειδιών CNG (KeyISO) πρέπει να απενεργοποιηθεί οριστικά.
Ο τερματισμός της διαδικασίας lsass.exe στο Task Manager θα διακόψει επίσης την υπηρεσία απομόνωσης κλειδιού CNG. Ωστόσο, λάβετε υπόψη ότι αυτό μπορεί να κάνει το σύστημά σας να κλείσει βίαια. Δεδομένου ότι ελέγχει το πιο σημαντικό μέρος της ασφάλειας σύνδεσης, η απομόνωση κλειδιού CNG είναι μια ουσιαστική λειτουργία των Windows.
Ωστόσο, εάν υποψιάζεστε ότι τοΥπηρεσία απομόνωσης κλειδιού CNGδεν λειτουργεί σωστά ή προκαλεί προβλήματα στο σύστημά σας, μπορείτε να προσπαθήσετε να επανεκκινήσετε την υπηρεσία. Για να το κάνετε αυτό, ανοίξτε ένα παράθυρο Εκτέλεσης (Πλήκτρο Windows + R) και πληκτρολογήστε services.msc. Τότε, χτύπησε Εισαγω για να ανοίξετε το Υπηρεσίες παράθυρο.
Στο Υπηρεσίες παράθυρο, μετακινηθείτε προς τα κάτω στο Απομόνωση κλειδιού CNG υπηρεσία. Κάντε δεξί κλικ στην υπηρεσία και μετά επιλέξτε Επανεκκίνηση για να αναγκάσουν να ξαναρχίσουν.
Σημείωση: Λάβετε υπόψη ότι ανάλογα με το εάν η υπηρεσία Απομόνωσης κλειδιού CNG χρησιμοποιείται αυτήν τη στιγμή, ενδέχεται να αντιμετωπίσετε μια μη αναμενόμενη επανεκκίνηση του συστήματος. Μην επανεκκινήσετε αυτήν την υπηρεσία, εκτός εάν έχετε νόμιμους λόγους να το κάνετε.
