Hvad er: CNG Key Isolation (lsass.exe)
CNG (Cryptographic Next Generation) Key Isolation- tjenesten giver nøgleprocesisolering til private nøgler og en række tilknyttede kryptografiske operationer som krævet af de fælles kriterier . Standardvejen til den eksekverbare forbindelse, der er forbundet med CNG Key Isolation-tjenesten, er C: \ windows \ system32 \ lsass.exe.
CNG Nøgle Isolation Forklaret
CNG-nøgleisoleringstjenesten kører som et LocalSystem i en delt proces (hostet i LSA- processen). Tjenesten gemmer langlivede nøgler til at godkende brugere i Winlogon-tjenesten. For eksempel vil CNG Key Isolation-tjenesten gemme en trådløs netværksnøgle eller de nødvendige kryptografiske oplysninger til et smartkort. Alle operationer udført af CNG Key Isolation-tjenesten udføres ved at følge kravene til fælles kriterier .
Hvis CNG Key Isolation-tjenesten ikke lader eller initialiseres, registreres opførelsen i hændelsesloggen . For det meste begynder tjenesten ikke at starte, fordi RPC- tjenesten (Remote Procedure Call) tvinges til at standse eller deaktiveres. Hvis CNG Key Isolation-tjenesten er stoppet, vil EAP ( Extensible Authentication Protocol ) ikke starte og initialisere ved opstart.
Som du vil se nedenfor, deler CNG- nøgleisoleringstjenesten en eksekverbar ( lsass.exe ) med flere andre tjenester.
Hvad er Lsass.exe?
LSASS står for Local Security Authority Subsystem Service . Den ægte lsass.exe er en legitim software komponent del af Windows-miljøet. Den eksekverbare betragtes som en central systemproces, der er indbygget i Windows. Standardplaceringen os lsass.exe er i C: \ Windows \ System 32 .
Lass.exe- processen håndterer fire vigtigste autentificeringstjenester i Windows:
- KeyIso (CNG Key Isolation) - Den vigtigste autentificeringstjeneste, der er vært i LSA-processen. Det giver nøgleprocesisolering til private nøgler og tilhørende kryptografiske operationer.
- EFS (Encrypting File System) - En kernefilkrypteringsteknologi, der hovedsagelig bruges til at gemme krypterede filer på NTFS-filsystemets volumener. Hvis du stopper denne tjeneste, forhindres systemet i at få adgang til krypterede filer.
- SamSS (Security Accounts Manager) - Hovedformålet med denne tjeneste er at fungere som et signal og signalere andre tjenester, når Security Account Manager (SAM) er klar til at modtage anmodninger. Hvis du stopper denne tjeneste, forhindres andre tjenester, der er afhængige af Security Account Manager, fra at blive underrettet. Dette vil skabe en snebold-effekt, der vil medføre, at mange afhængige tjenester mislykkes eller starter forkert.
- Lokal IPSEC Policy - styrer og starter ISAKMP / Oakley (IKE) og forskellige IP-sikkerhedskort i Windows Server .
Potentiel sikkerhedsrisiko med lsass.exe
Nogle Windows-brugere finder, at Lsass-eksekverbarheden bruger mange systemressourcer og mistænker lsass.exe for at være en virus eller en anden form for malware. Selvom dette helt sikkert er muligt, er chancerne for, at dette sker, slanke.
Der er imidlertid en kendt kopikatavirus, der har været kendt for at inficere systemer ved at camouflerere ind i Lsass-eksekverbarheden. Processen er ens, men ikke identisk med den ægte Local Security Authority Subsystem Service . Den ondskabsfulde proces hedder isass.exe, i modsætning til den legitime proces, der hedder lsass.exe . Hvis du finder ud af, at processen starter med en kapital, er jeg sandsynligvis inficeret i stedet for et lille tilfælde L.
PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke herDu kan bekræfte denne teori ved at kontrollere placeringen af lsass.exe. Generelt, hvis Lsass- eksekverbarheden er placeret i C: \ Windows \ System 32, kan du sikkert gå ud fra, at det er den legitime Subsystem Service for Local Security Authority . For at gøre dette skal du åbne Task Manager ( Ctrl + Shift + Esc ) og rulle ned i Processes listen til Local Security Authority Process. Højreklik på det og vælg Åbn filplacering . Hvis processen ikke er placeret i System 32, kan du være sikker på, at du har at gøre med en malware-infektion.
Isass.exe er en trojansk virus med keylogging egenskaber kendt som Sasser ormfamilie . Hovedformålet er at stille data fra dit system stille. Ved at registrere hver tastetryk, du skriver, er viruset konfigureret til at gå efter brugernavn, adgangskoder, kreditkortnumre og andre følsomme data, der i sidste ende bruges til en uægtsmæssig økonomisk gevinst.
Virusen har eksisteret i flere år, og Microsoft har allerede truffet foranstaltninger mod det. Hvis du opdager, at du er inficeret, kan du bruge værktøjet Microsoft Malware Removal til at fjerne spor fra Sasser-ormen . Efter måneder med at inficere utallige Windows 7 og XP brugere, har Microsoft patched sårbarheden, der gjorde det muligt for viruset at inficere Windows-maskiner. Fra nu af er det ikke længere muligt at blive smittet med Sasser-ormen, hvis du har de nyeste Windows-sikkerhedsopdateringer.
Skal jeg deaktivere CNG-nøgleisoleringstjenesten?
Nej. CNG-nøgleisoleringstjenesten er en kritisk systemproces, der er nødvendig for at gemme kryptografiske oplysninger sikkert. Under ingen omstændigheder bør den legitime CNG Key Isolation (KeyISO) Service være permanent deaktiveret.
Afslutning af processen lsass.exe i task manager vil også stoppe CNG-nøgleisoleringstjenesten. Men husk på, at dette kan få dit system til at lukke ned med magt. Da den styrer den vigtigste del af log on security, er CNG-nøgleisoleringen en væsentlig funktion af Windows.
Men hvis du har mistanke om, at CNG-nøgleisoleringstjenesten ikke fungerer korrekt eller forårsager problemer med dit system, kan du forsøge at genstarte tjenesten. For at gøre dette skal du åbne et Kør vindue ( Windows-tast + R ) og skrive services.msc . Tryk derefter på Enter for at åbne vinduet Services .
I vinduet Services skal du rulle ned til CNG Key Isolation- tjenesten. Højreklik på tjenesten, og vælg derefter Genstart for at tvinge en genoptagelse.
Bemærk: Husk, at afhængigt af, om CNG Key Isolation-tjenesten er i brug, kan du støde på en uventet systemstart. Genstart ikke denne tjeneste, medmindre du har legitime grunde til at gøre det.
PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke her