Содержание
КПГ (криптографическое выделение ключей следующего поколения) Служба обеспечивает изоляцию процесса ключей от закрытых ключей и ряд связанных криптографических операций, как того требует Общие критерии. Путь по умолчанию к исполняемому файлу, связанному со службой изоляции ключей CNG: C: \ windows \ system32 \ lsass.exe.
Объяснение изоляции КПГ
Изоляция ключа КПГ служба работает как локальная система в общем процессе (размещен в LSA процесс). Сервис хранит долгоживущие ключи для аутентификации пользователей в сервисе Winlogon. Например, служба изоляции ключей CNG будет хранить ключ беспроводной сети или необходимую криптографическую информацию для смарт-карты. Все операции, выполняемые службой изоляции ключей CNG, выполняются в соответствии с Общие критерии требования.
В случае, если службе изоляции ключей CNG не удается загрузить или инициализировать, поведение записывается в Журнал событий. Большую часть времени служба не запускается, потому что Удаленный вызов процедур (RPC) служба принудительно остановлена или отключена. Если служба изоляции ключей CNG остановлена, Расширяемый протокол аутентификации (EAP) не удастся запустить и инициализировать при запуске.
Как вы увидите ниже, Служба изоляции ключей КПГ делит исполняемый файл (lsass.exe) с несколькими другими услугами.
Что такое Lsass.exe?
LSASS обозначает Служба подсистемы локальной безопасности. Подлинный lsass.exe является законным программным компонентом среды Windows. Исполняемый файл рассматривается как процесс локального доступа основной системы, встроенный в Windows. Местоположение по умолчанию lsass.exe в C: \ Windows \ System 32.
Lass.exe Процесс обрабатывает четыре основных службы аутентификации в Windows:
- KeyIso (изоляция ключей КПГ) — Самая важная служба аутентификации, размещенная в процессе LSA. Он обеспечивает изоляцию ключевых процессов от закрытых ключей и связанных криптографических операций.
- EFS (шифрованная файловая система) — Основная технология шифрования файлов, в основном используемая для хранения зашифрованных файлов на томах файловой системы NTFS. Остановка этого сервиса предотвратит доступ вашей системы к зашифрованным файлам.
- SamSS (менеджер учетных записей безопасности) — Основная цель этой услуги состоит в том, чтобы выступать в качестве маяка и сигнализировать другим службам, когда Менеджер безопасности (СЭМ) готов к приему запросов. Остановка этой службы предотвратит уведомление других служб, полагающихся на Диспетчер учетных записей безопасности. Это создаст эффект снежного кома, который приведет к сбою или неправильному запуску многих зависимых сервисов.
- Локальная политика IPSEC — Управляет и запускает ИСАКМП / Окли (IKE) и различные драйверы IP-безопасности в Windows Server.
Потенциальная угроза безопасности с lsass.exe
Некоторые пользователи Windows считают, что исполняемый файл Lsass потребляет много системных ресурсов, и подозревают lsass.exe быть вирусом или другим типом вредоносного ПО. Хотя это, безусловно, возможно, шансы на то, что это произойдет, невелики.
Тем не менее, существует известный вирус copy-cat, который, как известно, заражает системы путем маскировки в исполняемый файл Lsass. Процесс похож, но не идентичен подлинному Служба подсистемы локальной безопасности. Злонамеренный процесс называется Isass.exe, в отличие от законного процесса, который называется lsass.exe. Если вы обнаружите, что процесс начинается с заглавной буквы я вместо нижнего регистра L, Ваша система, вероятно, заражена.
Вы можете подтвердить эту теорию, проверив расположение файла lsass.exe. Как правило, если Lsass исполняемый файл находится в C: \ Windows \ System 32, Вы можете смело предположить, что это законный Служба подсистемы локальной безопасности. Для этого откройте диспетчер задач (Ctrl + Shift + Esc) и прокрутите вниз в списке процессов, чтобы Процесс локальной безопасности. Щелкните правой кнопкой мыши и выберите Откройте расположение файла. Если процесс не находится в Системе 32, вы можете быть уверены, что имеете дело с заражением вредоносным ПО.
«Isass.exe» является троянским вирусом с известными Сассер червь семьи. Его основная цель — тихо собирать данные из вашей системы. Регистрируя каждое нажатие клавиши, вирус настраивается на учет имен пользователей, паролей, номеров кредитных карт и любых других конфиденциальных данных, которые в конечном итоге используются для незаконного получения финансовой выгоды.
Вирус существует уже несколько лет, и Microsoft уже приняла меры против него. Если вы обнаружите, что вы заражены, вы можете использовать средство удаления вредоносных программ Microsoft, чтобы удалить любые следы Сассер червь. После нескольких месяцев заражения бесчисленных пользователей Windows 7 и XP, Microsoft исправила уязвимость, которая позволила вирусу заражать компьютеры Windows. На данный момент уже невозможно заразиться червем Sasser, если у вас установлены последние обновления безопасности Windows.
Должен ли я отключить службу изоляции ключей CNG?
Нет. Служба изоляции ключей CNG — это критический системный процесс, необходимый для безопасного хранения криптографической информации. Ни при каких обстоятельствах законный Служба изоляции ключей КПГ (KeyISO) должен быть постоянно отключен.
Завершение процесса lsass.exe в диспетчере задач также остановит службу изоляции ключей CNG. Но имейте в виду, что это может привести к принудительному завершению работы вашей системы. Поскольку он контролирует наиболее важную часть безопасности входа в систему, изоляция ключа CNG является важной функцией Windows.
Однако, если вы подозреваете, что Служба изоляции ключей КПГ не работает должным образом или вызывает проблемы в вашей системе, вы можете попытаться перезапустить службу. Для этого откройте окно Run (Windows ключ + R) и введите services.msc. Затем нажмите Войти открыть Сервисы окно.
в Сервисы прокрутите вниз до CNG Key Isolation оказание услуг. Щелкните правой кнопкой мыши на сервисе и выберите Запустить снова форсировать переинициализацию.
Замечания: Имейте в виду, что в зависимости от того, используется ли в настоящее время служба изоляции ключей CNG, вы можете столкнуться с неожиданной перезагрузкой системы. Не перезапускайте эту услугу, если у вас нет законных причин для этого.
