Hva er: CNG Key Isolation (lsass.exe)
CNG (Cryptographic Next Generation) Key Isolation- tjenesten gir nøkkelprosessisolering til private nøkler og en rekke tilknyttede kryptografiske operasjoner som kreves av de vanlige kriteriene . Standard banen til den kjørbare som er knyttet til CNG Key Isolation-tjenesten er C: \ windows \ system32 \ lsass.exe.
CNG-nøkkelisolering forklart
CNG-nøkkelisolasjonstjenesten kjører som et LocalSystem i en delt prosess (vert i LSA- prosessen). Tjenesten lagrer langvarige nøkler for å godkjenne brukere i Winlogon-tjenesten. For eksempel vil CNG Key Isolation-tjenesten lagre en trådløs nettverksnøkkel eller den nødvendige kryptografiske informasjonen for et smartkort. Alle operasjoner som utføres av CNG Key Isolation-tjenesten utføres ved å følge kravene til Common Criteria .
Hvis CNG Key Isolation-tjenesten ikke laster eller initialiseres, blir oppførselen registrert i hendelsesloggen . For det meste begynner tjenesten ikke å starte fordi RPC- tjenesten (Remote Procedure Call) tvinges til å stoppe eller deaktivere. Hvis CNG-nøkkelisoleringstjenesten er stoppet, vil Extensible Authentication Protocol (EAP) ikke starte og initialisere ved oppstart.
Som du kommer til å se nedenfor, deler CNG-nøkkelisoleringstjenesten en eksekverbar ( lsass.exe ) med flere andre tjenester.
Hva er Lsass.exe?
LSASS står for Local Security Authority Subsystem Service . Den ekte lsass.exe er en legitim programvarekomponent del av Windows-miljøet. Den kjørbare er betraktet som en kjernesystem lokal myndighet prosess som er innebygd i Windows. Standardplasseringen os lsass.exe er i C: \ Windows \ System 32 .
Lass.exe- prosessen håndterer fire hovedautentiseringstjenester i Windows:
- KeyIso (CNG Key Isolation) - Den viktigste autentiseringstjenesten som er vert i LSA-prosessen. Den gir nøkkelprosessisolasjon til private nøkler og tilhørende kryptografiske operasjoner.
- EFS (Encrypting File System) - En kjernefilkrypteringsteknologi som hovedsakelig brukes til å lagre krypterte filer på NTFS-filsystemvolumer. Hvis du stopper denne tjenesten, forhindres systemet i å få tilgang til krypterte filer.
- SamSS (Security Accounts Manager) - Hovedformålet med denne tjenesten er å fungere som et fyrtårn og signalere andre tjenester når Security Account Manager (SAM) er klar til å motta forespørsler. Hvis du stopper denne tjenesten, forhindres andre tjenester som stole på Security Account Manager fra å bli varslet. Dette vil skape en snøball-effekt som vil føre til at mange avhengige tjenester mislykkes eller starter feil.
- Lokal IPSEC Policy - Administrerer og starter ISAKMP / Oakley (IKE) og ulike IP-sikkerhetsdrivere i Windows Server .
Potensiell sikkerhetsrisiko med lsass.exe
Noen Windows-brukere finner ut at Lsass-kjørbarheten bruker mye systemressurser og mistenker lsass.exe for å være et virus eller en annen type malware. Selv om dette sikkert er mulig, er sjansene for at dette skjer smale.
Det er imidlertid et kjent kopikatavirus som har vært kjent for å infisere systemer ved å kamuflere inn i Lsass-kjørbarheten. Prosessen er lik, men ikke identisk med den ekte servicesystemet for lokal sikkerhetsmyndighet . Den ondskapsfulle prosessen heter isass.exe, i motsetning til den legitime prosessen som heter lsass.exe . Hvis du finner ut at prosessen starter med en kapital, er jeg sannsynligvis smittet i stedet for små bokstaver L.
PRO TIPS: Hvis problemet er med datamaskinen eller en bærbar PC / notatbok, bør du prøve å bruke Reimage Plus-programvaren som kan skanne arkiver og erstatte skadede og manglende filer. Dette fungerer i de fleste tilfeller der problemet er oppstått på grunn av systemkorrupsjon. Du kan laste ned Reimage Plus ved å klikke herDu kan bekrefte denne teorien ved å sjekke plasseringen av lsass.exe. Vanligvis, hvis Lsass- kjørbarheten er lokalisert i C: \ Windows \ System 32, kan du trygt anta at det er legitim Subsystem Service for Local Security Authority . For å gjøre dette, åpne Oppgavebehandling ( Ctrl + Shift + Esc ) og bla nedover i prosesslisten til lokal sikkerhetsautoritetsprosess. Høyreklikk på den og velg Åpne filplassering . Hvis prosessen ikke er plassert i System 32, kan du være sikker på at du har en malwareinfeksjon.
Isass.exe er et trojansk virus med keylogging egenskaper kjent som Sasser ormfamilie . Hovedformålet er å stille inn data fra systemet stille. Ved å registrere hver tastetrykk du skriver inn, er viruset konfigurert til å gå etter kontobrukernavn, passord, kredittkortnummer og annen sensitiv data som til slutt brukes til en uønsket økonomisk gevinst.
Viruset har eksistert i flere år, og Microsoft har allerede tatt tiltak mot det. Hvis du finner ut at du er infisert, kan du bruke verktøyet for fjerning av malware for Microsoft for å fjerne spor av Sasser-ormen . Etter flere måneder med å infisere utallige brukere av Windows 7 og XP, har Microsoft patched sårbarheten som tillot viruset å infisere Windows-maskiner. Fra nå av er det ikke lenger mulig å bli smittet med Sasser-ormen hvis du har de nyeste Windows-sikkerhetsoppdateringene.
Skal jeg deaktivere CNG-nøkkelisolasjonstjenesten?
Nei. CNG-nøkkelisoleringstjenesten er en kritisk systemprosess som er nødvendig for å lagre kryptografisk informasjon på en sikker måte. Under ingen omstendigheter bør den legitime CNG Key Isolation (KeyISO) Service være permanent deaktivert.
Å avslutte lsass.exe-prosessen i Oppgavebehandling vil også stoppe CNG-nøkkelisoleringstjenesten. Men vær oppmerksom på at dette kan føre til at systemet slås av med vold. Siden den kontrollerer den viktigste delen av loggen på sikkerhet, er CNG-nøkkelisoleringen en viktig funksjon av Windows.
Hvis du imidlertid mistenker at CNG-nøkkelisoleringstjenesten ikke fungerer som den skal, eller det forårsaker problemer med systemet, kan du prøve å starte tjenesten på nytt. For å gjøre dette, åpne et kjørevindu ( Windows-tast + R ) og skriv services.msc . Deretter trykker du på Enter for å åpne vinduet Tjenester .
I vinduet Tjenester blar du ned til CNG Key Isolation- tjenesten. Høyreklikk på tjenesten og velg deretter Restart for å tvinge en reinitiasjon.
Merk: Husk at avhengig av om CNG Key Isolation-tjenesten er i bruk, kan det hende at du opplever en uventet systemstart. Ikke start denne tjenesten på nytt hvis du ikke har legitime grunner til å gjøre det.
PRO TIPS: Hvis problemet er med datamaskinen eller en bærbar PC / notatbok, bør du prøve å bruke Reimage Plus-programvaren som kan skanne arkiver og erstatte skadede og manglende filer. Dette fungerer i de fleste tilfeller der problemet er oppstått på grunn av systemkorrupsjon. Du kan laste ned Reimage Plus ved å klikke her