Průvodci

Co je: Izolace klíčů CNG (lsass.exe)

The Izolace klíčů CNG (kryptografická nová generace) služba poskytuje izolaci klíčových procesů k soukromým klíčům a řadu souvisejících kryptografických operací, jak to vyžaduje Společná kritéria. Výchozí cesta k spustitelnému souboru přidruženému ke službě izolace klíčů CNG jeC: \ windows \ system32 \ lsass.exe.

Vysvětlení izolace klíče CNG

The Izolace klíče CNG služba běží jako LocalSystem ve sdíleném procesu (hostovaný v LSA proces). Služba ukládá klíče s dlouhou životností k ověření uživatelů ve službě Winlogon. Například služba izolace klíčů CNG uloží klíč bezdrátové sítě nebo požadované kryptografické informace pro čipovou kartu. Všechny operace prováděné službou CNG Key Isolation se provádějí podle následujících pokynů Společná kritéria požadavky.

V případě, že se službě izolace klíčů CNG nepodaří načíst nebo inicializovat, chování se zaznamená v Záznam událostí. Většinu času se služba nespustí, protože Vzdálené volání procedur (RPC) služba je násilně zastavena nebo deaktivována. Pokud je služba izolace klíčů CNG zastavena, Extensible Authentication Protocol (EAP) se nepodaří spustit a inicializovat při spuštění.

Jak uvidíte níže, Služba izolace klíčů CNG sdílí spustitelný soubor (lsass.exe) s několika dalšími službami.

Co je Lsass.exe?

LSASS znamená Služba subsystému Místní bezpečnostní úřad. Originální lsass.exe je legitimní softwarová součást prostředí Windows. Spustitelný soubor je považován za proces místního úřadu základního systému, který je integrován do systému Windows. Výchozí umístění os lsass.exe je v C: \ Windows \ System 32.

The Lass.exe proces zpracovává čtyři hlavní ověřovací služby v systému Windows:

  • KeyIso (CNG Key Isolation) - Nejdůležitější ověřovací služba hostovaná v procesu LSA. Poskytuje izolaci klíčových procesů k soukromým klíčům a související kryptografické operace.
  • EFS (systém šifrování souborů) - Základní technologie šifrování souborů, která se používá hlavně k ukládání šifrovaných souborů na svazcích systému souborů NTFS. Zastavení této služby zabrání vašemu systému v přístupu k šifrovaným souborům.
  • SamSS (správce bezpečnostních účtů)- Hlavním účelem této služby je fungovat jako maják a signalizovat další služby, když Správce bezpečnostních účtů(SAM) je připraven přijímat žádosti. Zastavení této služby zabrání ostatním službám spoléhajícím se na správce bezpečnostních účtů, aby byly upozorněny. Tím se vytvoří efekt sněhové koule, který způsobí selhání mnoha závislých služeb nebo jejich nesprávné spuštění.
  • Místní zásady IPSEC - Spravuje a spouští ISAKMP / Oakley (IKE) a různé ovladače zabezpečení IP ve Windows Windows Server.

Potenciální bezpečnostní riziko s lsass.exe

Někteří uživatelé Windows zjistí, že spustitelný soubor Lsass spotřebovává spoustu systémových prostředků a má podezření lsass.exe být virem nebo jiným typem malwaru. I když je to jistě možné, šance, že se to stane, jsou malé.

Existuje však známý virus copy-cat, o kterém je známo, že infikuje systémy maskováním do spustitelného souboru Lsass. Proces je podobný, ale ne totožný se skutečným Služba subsystému Místní bezpečnostní úřad. Zhoubný proces je pojmenován isass.exe, na rozdíl od legitimního procesu, který je pojmenován lsass.exe. Pokud zjistíte, že proces začíná velkým kapitálem místo malých písmen L, váš systém je pravděpodobně infikován.

Tuto teorii můžete potvrdit kontrolou umístění lsass.exe. Obecně platí, že pokud Lsass spustitelný soubor se nachází v C: \ Windows \ System 32, můžete bezpečně předpokládat, že je to legitimní Služba subsystému místního bezpečnostního úřadu. Chcete-li to provést, otevřete Správce úloh (Ctrl + Shift + Esc) a přejděte dolů v seznamu Procesy na Proces místního bezpečnostního úřadu.Klikněte na něj pravým tlačítkem a vyberte Otevřít umístění souboru. Pokud se proces nenachází v systému 32, můžete si být jisti, že máte na mysli malwarovou infekci.

The „Isass.exe“ je trojský virus s vlastnostmi keyloggingu známý jako Sasserův červ rodina. Jeho hlavním účelem je tiše sklízet data z vašeho systému. Registrací každého stisknutého tlačítka je virus nakonfigurován tak, aby sledoval uživatelská jména účtu, hesla, čísla kreditních karet a veškerá další citlivá data, která jsou nakonec použita k nelegitimnímu finančnímu zisku.

Virus existuje již několik let a společnost Microsoft proti němu již přijala opatření. Pokud zjistíte, že jste nakaženi, můžete pomocí nástroje Microsoft Malware Removal odebrat všechny stopy Sasserův červ. Po měsících infikování bezpočtu uživatelů Windows 7 a XP společnost Microsoft opravila chybu zabezpečení, která umožnila viru infikovat počítače se systémem Windows. Od této chvíle již není možné infikovat červem Sasser, pokud máte nejnovější aktualizace zabezpečení systému Windows.

Mám zakázat službu izolace klíčů CNG?

Ne. Služba izolace klíčů CNG je kritický systémový proces potřebný k bezpečnému ukládání kryptografických informací. Za žádných okolností by neměl být legitimníSlužba izolace klíčů CNG (KeyISO) by měl být trvale deaktivován.

Ukončení procesu lsass.exe ve Správci úloh také zastaví službu izolace klíčů CNG. Mějte však na paměti, že by to mohlo způsobit násilné vypnutí vašeho systému. Protože řídí nejdůležitější část protokolu zabezpečení, je izolace klíče CNG základní funkcí systému Windows.

Pokud však máte podezření, žeSlužba izolace klíčů CNGnefunguje správně nebo způsobuje problémy s vaším systémem, můžete zkusit restartovat službu. Chcete-li to provést, otevřete okno Spustit (Klávesa Windows + R.) a zadejte services.msc. Pak stiskněte Enter otevřít Služby okno.

V Služby okno, přejděte dolů na Izolace klíče CNG servis. Klepněte pravým tlačítkem myši na službu a poté vyberte Restartujte vynutit znovuzahájení.

Poznámka: Mějte na paměti, že v závislosti na tom, zda se aktuálně používá služba izolace klíčů CNG, můžete narazit na neočekávané restartování systému. Tuto službu nerestartujte, pokud k tomu nemáte oprávněné důvody.