CNG (Cryptographic Next Generation) -avaimen eristäminen - palvelu tarjoaa avainprosessin eristämisen yksityisille avaimille ja useita niihin liittyviä salausoperaatioita Yhteiset kriteerit. CNG-avaimen eristyspalveluun liittyvän suoritettavan tiedoston oletuspolku onC: \ windows \ system32 \ lsass.exe.
CNG-avainten eristäminen selitetty
CNG-avainten eristäminen palvelu toimii paikallisena järjestelmänä jaetussa prosessissa (isännöi LSA prosessi). Palvelu tallentaa pitkäikäiset avaimet käyttäjien todentamiseksi Winlogon-palvelussa. Esimerkiksi CNG-avainten eristyspalvelu tallentaa langattoman verkkoavaimen tai älykortille tarvittavat salaustiedot. Kaikki CNG-avainten eristyspalvelun suorittamat toiminnot suoritetaan noudattamalla Yhteiset kriteerit vaatimukset.
Jos CNG-avaimen eristyspalvelun lataaminen tai alustaminen epäonnistuu, käyttäytyminen tallennetaan Tapahtumaloki. Suurimman osan ajasta palvelu epäonnistuu, koska Etäkäytön puhelu (RPC) palvelu lopetetaan väkisin tai poistetaan käytöstä. Jos CNG-avaimen eristyspalvelu lopetetaan, Laajennettava todennusprotokolla (EAP) ei käynnisty ja alusta käynnistyksen yhteydessä.
Kuten tulet näkemään alla, CNG-avainten eristyspalvelu jakaa suoritettavan tiedoston (lsass.exe) useiden muiden palvelujen kanssa.
Mikä on Lsass.exe?
LSASS tarkoittaa Paikallisen turvallisuusviranomaisen alijärjestelmäpalvelu. Aito lsass.exe on laillinen ohjelmisto-osa Windows-ympäristöä. Suoritettavaa tiedostoa pidetään ydinjärjestelmän paikallishallinnon prosessina, joka on sisäänrakennettu Windowsiin. Oletussijainti os lsass.exe on sisään C: \ Windows \ System 32.
Lass.exe prosessi käsittelee Windowsissa neljää todennuspalvelua:
- KeyIso (CNG-avainten eristäminen) - Tärkein LSA-prosessissa isännöity todennuspalvelu. Se tarjoaa avainprosessin eristämisen yksityisiin avaimiin ja niihin liittyviin salausoperaatioihin.
- EFS (tiedostojärjestelmän salaus) - Ydintiedostojen salaustekniikka, jota käytetään pääasiassa salattujen tiedostojen tallentamiseen NTFS-tiedostojärjestelmän taltioihin. Tämän palvelun lopettaminen estää järjestelmääsi käyttämästä salattuja tiedostoja.
- SamSS (suojaustilien hallinta)- Tämän palvelun päätarkoitus on toimia majakkana ja antaa signaali muille palveluille, kun Tietoturvatilin päällikkö(SAM) on valmis vastaanottamaan pyyntöjä. Tämän palvelun pysäyttäminen estää muita palveluita, jotka luottavat suojaustilin hallinnoijaan, ilmoittamasta. Tämä luo lumipallovaikutuksen, joka saa monet riippuvaiset palvelut epäonnistumaan tai käynnistymään väärin.
- Paikallinen IPSEC-käytäntö - Hallitsee ja käynnistää ISAKMP / Oakley (IKE) ja useita IP - suojausohjaimia Windowsissa Windows Server.
Mahdollinen turvallisuusriski lsass.exe-ohjelmalla
Jotkut Windows-käyttäjät huomaavat, että Lsass-suoritustiedosto vie paljon järjestelmäresursseja ja epäilee lsass.exe viruksen tai muun tyyppisen haittaohjelman. Vaikka tämä on varmasti mahdollista, mahdollisuudet tähän tapahtuvat ovat vähäiset.
On kuitenkin tunnettu kopio-kissa-virus, jonka tiedetään tartuttavan järjestelmiä naamioimalla Lsass-suoritettavaan tiedostoon. Prosessi on samanlainen, mutta ei identtinen alkuperäisen kanssa Paikallisen turvallisuusviranomaisen alijärjestelmäpalvelu. Haitallinen prosessi on nimetty isass.exe, vastoin nimettyä laillista prosessia lsass.exe. Jos huomaat, että prosessi alkaa isolla kirjaimella Minä pienten kirjainten sijaan L, järjestelmäsi on todennäköisesti saanut tartunnan.
Voit vahvistaa tämän teorian tarkistamalla lsass.exe-tiedoston sijainnin. Yleensä, jos Lsass suoritettava tiedosto sijaitsee C: \ Windows \ System 32, voit turvallisesti olettaa, että se on laillinen Paikallisen turvallisuusviranomaisen alijärjestelmäpalvelu. Voit tehdä tämän avaamalla Tehtävienhallinnan (Ctrl + Vaihto + Esc) ja vieritä Prosessit-luettelossa kohtaan Paikallisen turvallisuusviranomaisen prosessi.Napsauta sitä hiiren kakkospainikkeella ja valitse Avaa tiedoston sijainti. Jos prosessi ei sijaitse järjestelmässä 32, voit olla varma, että sinulla on haittaohjelmatartunta.
"Isass.exe" on troijalainen virus, jonka tunnistusominaisuudet tunnetaan Sasser-mato perhe. Sen päätarkoitus on kerätä tietoja hiljaa järjestelmästäsi. Rekisteröimällä jokainen kirjoittamasi näppäinpainallus virus määritetään seuraamaan tilin käyttäjätunnuksia, salasanoja, luottokorttinumeroita ja muita arkaluontoisia tietoja, joita käytetään lopulta laittomaan taloudelliseen hyötyyn.
Virus on ollut olemassa useita vuosia, ja Microsoft on jo ryhtynyt toimenpiteisiin sitä vastaan. Jos huomaat, että olet saanut tartunnan, voit poistaa Microsoftin haittaohjelmien poistotyökalun Sasser-mato. Kuukausien saatuaan tartunnan lukemattomiin Windows 7- ja XP-käyttäjiin Microsoft on paikannut haavoittuvuuden, jonka avulla virus voi tartuttaa Windows-koneita. Tähän mennessä Sasser-mato ei ole enää mahdollista saada tartunnan, jos sinulla on uusimmat Windows-tietoturvapäivitykset.
Pitäisikö minun poistaa käytöstä CNG-avainten eristyspalvelu?
Ei. CNG-avainten eristyspalvelu on kriittinen järjestelmäprosessi, jota tarvitaan salaustietojen turvalliseen tallentamiseen. Missään olosuhteissa ei saa olla oikeutettuaCNG-avainten eristys (KeyISO) -palvelu pitäisi olla pysyvästi pois käytöstä.
Lsass.exe-prosessin lopettaminen Tehtävienhallinnassa lopettaa myös CNG-avainten eristyspalvelun. Mutta pidä mielessä, että tämä saattaa saada järjestelmän sammumaan väkisin. Koska CNG-avaimen eristys hallitsee suojauksen tärkeintä osaa, CNG-avainten eristäminen on Windowsin keskeinen tehtävä.
Kuitenkin, jos epäilet, ettäCNG-avainten eristyspalveluei toimi oikein tai aiheuttaa ongelmia järjestelmässäsi, voit yrittää käynnistää palvelun uudelleen. Voit tehdä tämän avaamalla Suorita-ikkunan (Windows-näppäin + R) ja tyyppi palvelut. msc. Sitten, osuma Tulla sisään avata Palvelut ikkuna.
vuonna Palvelut vieritä alas -ikkunaan CNG-avaimen eristäminen palvelu. Napsauta hiiren kakkospainikkeella palvelua ja valitse sitten Uudelleenkäynnistää pakottaa uudelleenkäsittely.
merkintä: Muista, että riippuen siitä, onko CNG-avainten eristyspalvelu tällä hetkellä käytössä, järjestelmä saattaa käynnistyä odottamatta. Älä käynnistä tätä palvelua uudelleen, ellei sinulla ole perusteltuja syitä siihen.
