The Izolacija ključa za CNG (kriptografska sljedeća generacija) usluga pruža izolaciju procesa ključa za privatne ključeve i niz povezanih kriptografskih operacija kako to zahtijeva Zajednički kriteriji . Zadana putanja do izvršne datoteke povezane s uslugom izolacije CNG ključa je C: windows system32 lsass.exe.
Objašnjena izolacija CNG ključa
The Izolacija CNG ključa usluga se izvodi kao LocalSystem u zajedničkom procesu (hostiranom u LSA postupak). Usluga pohranjuje dugovječne ključeve za provjeru autentičnosti korisnika u usluzi Winlogon. Na primjer, usluga izolacije CNG ključa pohranit će ključ bežične mreže ili potrebne kriptografske podatke za pametnu karticu. Sve radnje koje obavlja služba za izolaciju CNG ključa izvode se slijedeći sljedeće Zajednički kriteriji zahtjevima.
U slučaju da se usluga izolacije CNG ključa ne uspije učitati ili inicijalizirati, ponašanje se bilježi u Dnevnik događaja . Većinu vremena usluga se ne pokreće jer Poziv na daljinski postupak (RPC) usluga je prisilno zaustavljena ili onemogućena. Ako se zaustavi usluga izolacije CNG ključa, Proširivi protokol provjere autentičnosti (EAP) se neće pokrenuti i pokrenuti prilikom pokretanja.
Kao što ćete vidjeti u nastavku, Usluga izolacije CNG ključa dijeli izvršnu datoteku ( lsass.exe ) s nekoliko drugih usluga.
Što je Lsass.exe?
LASASA stoji za Usluga podsustava lokalne sigurnosne vlasti . Pravi lsass.exe legitiman je softverski sastavni dio Windows okruženja. Izvršna se datoteka smatra procesom lokalne uprave jezgre sustava koji je ugrađen u sustav Windows. Zadana lokacija os lsass.exe unutra je C: Windows Sustav 32 .
The Lass.exe proces obrađuje četiri glavne usluge provjere autentičnosti u sustavu Windows:
- KeyIso (izolacija CNG ključa) - Najvažnija usluga provjere autentičnosti hostirana u procesu LSA. Pruža izolaciju procesa ključa privatnim ključevima i povezanim kriptografskim operacijama.
- EFS (sustav šifriranja datoteka) - Osnovna tehnologija šifriranja datoteka koja se uglavnom koristi za pohranjivanje šifriranih datoteka na sveske NTFS datotečnog sustava. Zaustavljanjem ove usluge spriječit ćete sustav da pristupi šifriranim datotekama.
- SamSS (upravitelj sigurnosnih računa) - Glavna svrha ove usluge je da djeluje kao svjetionik i signalizira druge usluge kada se Upravitelj sigurnosnih računa (SAM) je spreman za primanje zahtjeva. Zaustavljanjem ove usluge spriječit će se obavještavanje drugih usluga koje se oslanjaju na upravitelja sigurnosnih računa. To će stvoriti efekt grudve snijega koji će uzrokovati neuspjeh ili pokretanje velikog broja ovisnih usluga.
- Lokalna IPSEC politika - Upravlja i pokreće ISAKMP / Oakley (IKE) i razne upravljačke programe za IP sigurnost u sustavu Windows Windows poslužitelj .
Potencijalni sigurnosni rizik s lsass.exe
Neki korisnici Windowsa otkrivaju da izvršna datoteka Lsass troši puno sistemskih resursa i sumnja lsass.exe virusa ili druge vrste zlonamjernog softvera. Iako je to zasigurno moguće, male su šanse da se to dogodi.
Međutim, poznat je virus copy-cat za koji je poznato da zaražava sustave kamufliranjem u izvršnu datoteku Lsass. Postupak je sličan, ali nije identičan izvornom Usluga podsustava lokalne sigurnosne vlasti . Zlonamjerni postupak je imenovan isass.exe, za razliku od legitimnog postupka koji je imenovan lsass.exe . Ako utvrdite da postupak započinje velikim slovom Ja umjesto malim slovom L , vaš je sustav vjerojatno zaražen.
Ovu teoriju možete potvrditi provjerom lokacije lsass.exe. Općenito, ako Lsass izvršna datoteka se nalazi u C: Windows Sustav 32 , možete sigurno pretpostaviti da je to legitimno Usluga podsustava lokalne sigurnosne vlasti . Da biste to učinili, otvorite Task Manager ( Ctrl + Shift + Esc ) i pomaknite se prema dolje na popisu Procesi do Proces lokalnog sigurnosnog tijela. Desnom tipkom miša kliknite na nju i odaberite Otvorite mjesto datoteke . Ako se postupak ne nalazi u sustavu 32, možete biti sigurni da imate posla s infekcijom zlonamjernim softverom.
The 'Isass.exe' je trojanski virus sa svojstvima keylogging poznatog Crv Sasser obitelj. Njegova je glavna svrha tiho prikupljanje podataka iz vašeg sustava. Registriranjem svakog pritiska tipke koju ste upisali, virus je konfiguriran da slijedi korisnička imena računa, lozinke, brojeve kreditnih kartica i bilo koje druge osjetljive podatke koji se u konačnici koriste za nezakonitu financijsku dobit.
Virus postoji već nekoliko godina i Microsoft je već poduzeo mjere protiv njega. Ako utvrdite da ste zaraženi, možete koristiti Alat za uklanjanje zlonamjernog softvera tvrtke Microsoft kako bi se uklonili svi tragovi Crv Sasser . Nakon mjeseci zaraze bezbroj korisnika sustava Windows 7 i XP, Microsoft je popravio ranjivost koja je omogućila virusu da zarazi Windows strojeve. Od sada više nije moguće zaraziti se crvom Sasser ako imate najnovija sigurnosna ažuriranja sustava Windows.
Trebam li onemogućiti uslugu izolacije CNG ključa?
Ne. Usluga izolacije CNG ključa važan je sistemski postupak potreban za sigurno spremanje kriptografskih podataka. Ni pod kojim okolnostima legitimni Usluga izolacije CNG ključa (KeyISO) treba trajno onesposobiti.
Završetak postupka lsass.exe u upravitelju zadataka također će zaustaviti uslugu izolacije CNG ključa. Ali imajte na umu da bi to moglo dovesti do prisilnog isključivanja vašeg sustava. Budući da kontrolira najvažniji dio sigurnosne evidencije, izolacija CNG ključa bitna je funkcija sustava Windows.
Međutim, ako sumnjate da je Usluga izolacije CNG ključa ne funkcionira ispravno ili uzrokuje probleme s vašim sustavom, možete pokušati ponovno pokrenuti uslugu. Da biste to učinili, otvorite prozor Pokreni ( Windows tipka + R ) i tip usluge.msc . Zatim, pogodi Unesi otvoriti Usluge prozor.
U Usluge prozor, pomaknite se dolje do Izolacija CNG ključa servis. Desnom tipkom miša kliknite uslugu, a zatim odaberite Ponovo pokrenite prisiliti na ponovno pokretanje.
Bilješka: Imajte na umu da biste, ovisno o tome je li usluga izolacije CNG ključa trenutno u upotrebi, mogli naići na neočekivano ponovno pokretanje sustava. Ovu uslugu nemojte ponovo pokretati ako za to nemate opravdanih razloga.
4 minute čitanja
