Какво е: Изолация на CNG ключ (lsass.exe)

The Изолация на ключ за CNG (криптографско следващо поколение) услугата осигурява изолиране на ключови процеси на частни ключове и редица свързани криптографски операции, както се изисква от Общи критерии . Пътят по подразбиране към изпълнимия файл, свързан с услугата за изолиране на CNG ключ, е C: windows system32 lsass.exe.

Обяснено изолирането на CNG ключ

The Изолация на CNG ключ услугата се изпълнява като LocalSystem в споделен процес (хостван в LSA процес). Услугата съхранява дълготрайни ключове за удостоверяване на потребителите в услугата Winlogon. Например услугата за изолиране на ключ за CNG ще съхранява ключ за безжична мрежа или необходимата криптографска информация за смарт карта. Всички операции, извършвани от услугата за изолиране на ключ за CNG, се извършват, като се следват Общи критерии изисквания.

В случай че услугата за изолиране на ключ за CNG не успее да се зареди или инициализира, поведението се записва в Дневник на събитията . През повечето време услугата не успява да се стартира, тъй като Отдалечено извикване на процедура (RPC) услугата е принудително спряна или деактивирана. Ако услугата за изолиране на ключ за CNG бъде спряна, Разширяем протокол за удостоверяване (EAP) няма да успее да стартира и инициализира при стартиране.

Както ще видите по-долу, Услуга за изолиране на CNG ключ споделя изпълним файл ( lsass.exe ) с няколко други услуги.

Какво е Lsass.exe?

LSASS означава Услуга на подсистемата на местния орган за сигурност . Истинският lsass.exe е легитимен софтуерен компонент част от средата на Windows. Изпълнимият файл се разглежда като процес на местна власт на основната система, който е вграден в Windows. Основното местоположение по подразбиране lsass.exe е в C: Windows Система 32 .

The Lass.exe процес се справя с четири основни услуги за удостоверяване в Windows:

• KeyIso (изолиране на ключ за CNG) - Най-важната услуга за удостоверяване, хоствана в процеса на LSA. Той осигурява изолиране на ключови процеси на частни ключове и свързани криптографски операции.
• EFS (шифроваща файлова система) - Основна технология за криптиране на файлове, използвана главно за съхраняване на криптирани файлове в томовете на файловата система NTFS. Спирането на тази услуга ще попречи на системата ви да осъществи достъп до криптирани файлове.
• SamSS (мениджър на акаунти за сигурност) - Основната цел на тази услуга е да действа като маяк и да сигнализира за други услуги, когато Мениджър на акаунта за сигурност (SAM) е готов да получава заявки. Спирането на тази услуга ще попречи на други услуги, разчитащи на мениджъра на акаунта за сигурност, да бъдат уведомявани. Това ще създаде ефект на снежна топка, който ще доведе до отказ на много зависими услуги или стартиране неправилно.
• Местна политика на IPSEC - Управлява и стартира ISAKMP / Oakley (IKE) и различни драйвери за IP защита в Windows сървър .

Потенциален риск за сигурността с lsass.exe

Някои потребители на Windows установяват, че изпълнимият файл Lsass консумира много системни ресурси и подозира lsass.exe на вирус или друг вид зловреден софтуер. Въпреки че това със сигурност е възможно, шансовете това да се случи са малки.

Въпреки това, има известен вирус-копие-котка, за който е известно, че заразява системите чрез маскиране в изпълнимия файл Lsass. Процесът е подобен, но не идентичен с истинския Услуга на подсистемата на местния орган за сигурност . Злоумишленият процес е наречен isass.exe, за разлика от легитимния процес, който е именуван lsass.exe . Ако установите, че процесът започва с капитал Аз вместо малка буква L , вашата система вероятно е заразена.

Можете да потвърдите тази теория, като проверите местоположението на lsass.exe. Като цяло, ако Lsass изпълним файл се намира в C: Windows Система 32 , можете спокойно да предположите, че това е законно Услуга на подсистемата на местния орган за сигурност . За да направите това, отворете диспечера на задачите ( Ctrl + Shift + Esc ) и превъртете надолу в списъка Процеси до Процес на местния орган за сигурност. Щракнете с десния бутон върху него и изберете Отворете местоположението на файла . Ако процесът не е локализиран в Система 32, можете да сте сигурни, че имате работа със злонамерен софтуер.

The “Isass.exe” е троянски вирус със свойства за регистриране на ключове, известни на Червей Sasser семейство. Основната му цел е тихо събиране на данни от вашата система. Чрез регистриране на всяко натискане на клавиш, което въведете, вирусът е конфигуриран да се придържа към потребителски имена на акаунти, пароли, номера на кредитни карти и всякакви други чувствителни данни, които в крайна сметка се използват за незаконна финансова печалба.

Вирусът съществува от няколко години и Microsoft вече е взела мерки срещу него. Ако установите, че сте заразени, можете да използвате Инструмент за премахване на зловреден софтуер на Microsoft за да премахнете следите от Червей Sasser . След месеци на заразяване на безброй потребители на Windows 7 и XP, Microsoft поправи уязвимостта, която позволи на вируса да зарази Windows машини. Към момента вече не е възможно да се заразите с червея Sasser, ако имате най-новите актуализации на защитата на Windows.

Трябва ли да деактивирам услугата за изолиране на CNG ключ?

Не. Услугата за изолиране на ключ за CNG е критичен системен процес, необходим за сигурно съхраняване на криптографска информация. При никакви обстоятелства легитимните Услуга за изолиране на CNG ключ (KeyISO) трябва да бъде трайно деактивиран.

Приключването на процеса lsass.exe в диспечера на задачите също ще спре услугата за изолиране на ключ за CNG. Но имайте предвид, че това може да доведе до принудително изключване на вашата система. Тъй като контролира най-важната част от защитата на регистрационния файл, изолирането на CNG ключа е основна функция на Windows.

Ако обаче подозирате, че Услуга за изолиране на CNG ключ не функционира правилно или създава проблеми с вашата система, можете да опитате да рестартирате услугата. За да направите това, отворете прозорец за изпълнение ( Клавиш на Windows + R ) и тип услуги.msc . След това удари Въведете за да отворите Услуги прозорец.

В Услуги прозорец, превъртете надолу до Изолация на CNG ключ обслужване. Щракнете с десния бутон върху услугата и след това изберете Рестартирам да принуди повторно иницииране.

Забележка: Имайте предвид, че в зависимост от това дали услугата за изолиране на CNG ключ в момента се използва, може да срещнете неочаквано рестартиране на системата. Не рестартирайте тази услуга, освен ако нямате основателни причини за това.