В Изоляция ключей CNG (криптографического следующего поколения) сервис обеспечивает изоляцию ключевого процесса для закрытых ключей и ряд связанных криптографических операций в соответствии с требованиями Общие критерии . Путь по умолчанию к исполняемому файлу, связанному со службой изоляции ключей CNG: C: windows system32 lsass.exe.
Объяснение изоляции ключа CNG
В Изоляция ключей CNG служба работает как LocalSystem в общем процессе (размещенном в LSA процесс). Служба хранит долговечные ключи для аутентификации пользователей в службе Winlogon. Например, служба изоляции ключей CNG хранит ключ беспроводной сети или необходимую криптографическую информацию для смарт-карты. Все операции, выполняемые службой изоляции ключей CNG, выполняются в соответствии с Общие критерии требования.
В случае, если служба изоляции ключей CNG не может загрузить или инициализировать, поведение записывается в Журнал событий . В большинстве случаев служба не запускается, потому что Удаленный вызов процедур (RPC) служба принудительно остановлена или отключена. Если служба изоляции ключей CNG остановлена, Расширяемый протокол аутентификации (EAP) не запускается и не инициализируется при запуске.
Как вы увидите ниже, Служба изоляции ключей CNG разделяет исполняемый файл ( lsass.exe ) с несколькими другими сервисами.
Что такое Lsass.exe?
LSASS означает Служба подсистемы локального органа безопасности . Подлинный lsass.exe является законным программным компонентом среды Windows. Исполняемый файл рассматривается как основной процесс локальных полномочий системы, встроенный в Windows. Местоположение по умолчанию os lsass.exe в C: Windows Система 32 .
В Lass.exe Процесс обрабатывает четыре основных службы аутентификации в Windows:
- KeyIso (изоляция ключей CNG) - Самая важная служба аутентификации, размещенная в процессе LSA. Он обеспечивает изоляцию ключевого процесса для закрытых ключей и связанных криптографических операций.
- EFS (шифрованная файловая система) - Базовая технология шифрования файлов, которая в основном используется для хранения зашифрованных файлов на томах файловой системы NTFS. Остановка этой службы предотвратит доступ вашей системы к зашифрованным файлам.
- SamSS (менеджер учетных записей безопасности) - Основная цель этой службы - действовать как маяк и сигнализировать другим службам, когда Менеджер аккаунта безопасности (СЭМ) готов принимать заявки. Остановка этой службы предотвратит получение уведомлений другими службами, использующими диспетчер учетных записей безопасности. Это создаст эффект снежного кома, который приведет к сбою или неправильному запуску многих зависимых служб.
- Локальная политика IPSEC - Управляет и запускает ISAKMP / Oakley (IKE) и различные драйверы безопасности IP в Windows Server .
Потенциальная угроза безопасности при использовании lsass.exe
Некоторые пользователи Windows считают, что исполняемый файл Lsass потребляет много системных ресурсов, и подозревают lsass.exe быть вирусом или вредоносным ПО другого типа. Хотя это, безусловно, возможно, шансы на то, что это произойдет, невелики.
Однако существует известный вирус-подражатель, который, как известно, заражает системы, замаскировавшись в исполняемый файл Lsass. Процесс аналогичен, но не идентичен подлинному Служба подсистемы локального органа безопасности . Злокачественный процесс назван isass.exe, в отличие от законного процесса, который называется lsass.exe . Если вы обнаружите, что процесс начинается с большой буквы я вместо строчной L , возможно, ваша система заражена.
Вы можете подтвердить эту теорию, проверив расположение lsass.exe. Как правило, если Lsass исполняемый файл находится в C: Windows Система 32 , вы можете смело считать, что это законный Служба подсистемы локального органа безопасности . Для этого откройте Диспетчер задач ( Ctrl + Shift + Esc ) и прокрутите список процессов до Процесс местного органа безопасности. Щелкните его правой кнопкой мыши и выберите Откройте расположение файла . Если процесс не находится в Системе 32, вы можете быть уверены, что имеете дело с заражением вредоносным ПО.
В «Isass.exe» это троянский вирус со свойствами кейлоггеров, известный как Червь сассера семья. Его основная цель - незаметно собирать данные из вашей системы. Регистрируя каждое вводимое вами нажатие клавиши, вирус настраивается на отслеживание имен пользователей учетных записей, паролей, номеров кредитных карт и любых других конфиденциальных данных, которые в конечном итоге используются для незаконной финансовой выгоды.
Вирус существует уже несколько лет, и Microsoft уже приняла меры против него. Если вы обнаружите, что заражены, вы можете использовать Средство удаления вредоносных программ Microsoft удалить любые следы Червь сассера . После нескольких месяцев заражения бесчисленного количества пользователей Windows 7 и XP Microsoft исправила уязвимость, которая позволяла вирусу заражать компьютеры с Windows. На данный момент невозможно заразиться червем Sasser, если у вас установлены последние обновления безопасности Windows.
Следует ли отключить службу изоляции ключей CNG?
Нет. Служба изоляции ключей CNG - это критически важный системный процесс, необходимый для безопасного хранения криптографической информации. Ни при каких обстоятельствах законный Служба изоляции ключей CNG (KeyISO) должен быть отключен навсегда.
Завершение процесса lsass.exe в диспетчере задач также остановит службу изоляции ключей CNG. Но имейте в виду, что это может привести к принудительному отключению вашей системы. Поскольку он контролирует наиболее важную часть безопасности входа в систему, изоляция ключа CNG является важной функцией Windows.
Однако, если вы подозреваете, что Служба изоляции ключей CNG не работает должным образом или вызывает проблемы с вашей системой, вы можете попробовать перезапустить службу. Для этого откройте окно «Выполнить» ( Windows key + R ) и введите services.msc . Затем нажмите Войти открыть Сервисы окно.
в Сервисы окно, прокрутите вниз до Изоляция ключей CNG служба. Щелкните правой кнопкой мыши службу и выберите Рестарт для принудительной повторной инициации.
Заметка: Имейте в виду, что в зависимости от того, используется ли в настоящее время служба изоляции ключей CNG, вы можете столкнуться с неожиданной перезагрузкой системы. Не перезапускайте эту службу, если у вас нет для этого уважительных причин.
4 минуты на чтение
