The CNG (järgmise põlvkonna krüptograafiline) võtme eraldamine - teenus pakub privaatvõtmete võtmeprotsesside eraldamist ja mitmeid seotud krüptograafilisi toiminguid vastavalt Ühised kriteeriumid . CNG-võtme eraldamise teenusega seotud käivitatava faili vaiketee on C: windows system32 lsass.exe.
CNG-võtmete eraldamine on selgitatud
The CNG-võtmete isoleerimine teenus töötab LocalSystemina jagatud protsessis (hostitud LSA protsess). Teenus salvestab Winlogoni teenuses kasutajate autentimiseks pikaealised võtmed. Näiteks salvestab CNG-võtmete eraldamise teenus traadita võrguvõtme või kiipkaardi jaoks vajaliku krüptograafilise teabe. Kõik CNG-võtmete eraldamise teenuse tehtavad toimingud tehakse järgides Ühised kriteeriumid nõuded.
Kui CNG-võtme eraldamise teenust ei õnnestu laadida ega lähtestada, registreeritakse käitumine Sündmuste logi . Enamasti ei õnnestu teenust käivitada, kuna Kaugmenetluskõne (RPC) teenus on sunniviisiliselt peatatud või keelatud. Kui CNG-võtmete eraldamise teenus peatatakse, Laiendatav autentimisprotokoll (EAP) ei õnnestu käivitamisel käivitada ega lähtestada.
Nagu näete allpool, on CNG-võtmete eraldamise teenus jagab käivitatavat faili ( lsass.exe ) koos paljude teiste teenustega.
Mis on Lsass.exe?
LSASS tähistab Kohaliku julgeoleku asutuse allsüsteemi teenus . Ehtne lsass.exe on Windowsi keskkonna seaduslik tarkvaraosa. Käivitatavat faili peetakse Windowsi sisseehitatud põhisüsteemi kohaliku omavalitsuse protsessiks. Vaikekoht os lsass.exe on sees C: Windows System 32 .
The Lass.exe protsess tegeleb Windowsi nelja peamise autentimisteenusega:
- KeyIso (CNG-võtmete eraldamine) - LSA protsessis majutatud kõige olulisem autentimisteenus. See tagab privaatvõtmete ja nendega seotud krüptograafiliste toimingute võtmeprotsessi eraldamise.
- EFS (failisüsteemi krüptimine) - Põhifailide krüptimistehnoloogia, mida kasutatakse peamiselt krüptitud failide salvestamiseks NTFS-failisüsteemi mahtudele. Selle teenuse peatamine takistab teie süsteemil juurdepääsu krüptitud failidele.
- SamSS (turvakontode haldur) - Selle teenuse põhieesmärk on toimida majakana ja anda teistele teenustele märku, kui Turvakonto haldur (SAM) on valmis päringuid vastu võtma. Selle teenuse peatamine hoiab ära teiste turvakontohaldurile tuginevate teenuste teavitamise. See loob lumepalli efekti, mis põhjustab paljude sõltuvate teenuste ebaõnnestumise või vale käivitamise.
- Kohalik IPSEC-i poliitika - haldab ja käivitab ISAKMP / Oakley (IKE) ja mitmesugused IP - turbe draiverid Windows Server .
Võimalik turvarisk lsass.exe abil
Mõned Windowsi kasutajad leiavad, et Lsass-i käivitatav fail kulutab palju süsteemiressursse ja kahtlustab lsass.exe viirus või muu pahavara tüüp. Kuigi see on kindlasti võimalik, on tõenäosus, et see juhtub, vähe.
Siiski on teada copy-cat viirus, mis on teadaolevalt nakatanud süsteeme, maskeerudes Lsassi käivitatavasse faili. Protsess on sarnane, kuid pole identne ehtsaga Kohaliku julgeoleku asutuse allsüsteemi teenus . Nimetatakse pahatahtlikku protsessi isass.exe, erinevalt nimetatud seaduspärasest protsessist lsass.exe . Kui leiate, et protsess algab suurtähega Mina väiketähe asemel L , teie süsteem on tõenäoliselt nakatunud.
Seda teooriat saate kinnitada, kontrollides lsass.exe asukohta. Üldiselt, kui Lsass käivitatav fail asub C: Windows System 32 , võite julgelt eeldada, et see on seaduslik Kohaliku julgeoleku asutuse allsüsteemi teenus . Selleks avage tegumihaldur ( Ctrl + Tõst + Esc ) ja kerige loendis Protsessid alla Kohaliku julgeoleku asutuse protsess. Paremklõpsake sellel ja valige Ava faili asukoht . Kui protsess ei asu süsteemis 32, võite olla kindel, et tegemist on pahavara nakkusega.
The „Isass.exe” on Trooja viirus, millel on klaviatuurilogimise omadused Sasseri uss pere. Selle peamine eesmärk on andmete vaikselt kogumine teie süsteemist. Iga sisestatud klahvivajutuse registreerimisega on viirus konfigureeritud järgima konto kasutajanimesid, paroole, krediitkaardinumbreid ja muid tundlikke andmeid, mida lõpuks kasutatakse ebaseadusliku rahalise kasu saamiseks.
Viirus on olnud juba mitu aastat ja Microsoft on selle vastu juba meetmeid võtnud. Kui leiate, et olete nakatunud, saate seda kasutada Microsofti pahavara eemaldamise tööriist eemaldada kõik jäljed Sasseri uss . Pärast mitu kuud nakatunud lugematuid Windows 7 ja XP kasutajaid on Microsoft lappinud haavatavuse, mis võimaldas viirusel nakatada Windowsi masinaid. Praeguse seisuga ei ole enam võimalik Sasseri ussiga nakatuda, kui teil on uusimad Windowsi turvavärskendused.
Kas peaksin CNG-võtmete eraldamise teenuse keelama?
Ei. CNG-võtmete eraldamise teenus on kriitilise teabe turvaliseks salvestamiseks vajalik kriitiline süsteemiprotsess. Mitte mingil juhul ei tohiks seaduslik CNG-võtmete eraldamise (KeyISO) teenus peaks olema jäädavalt keelatud.
Protsessi lsass.exe lõpetamine peatab ka CNG-võtmete isoleerimisteenuse. Kuid pidage meeles, et see võib teie süsteemi sunniviisiliselt välja lülitada. Kuna see kontrollib turvalisuse sisselogimise kõige olulisemat osa, on CNG-klahvide eraldamine Windowsi oluline funktsioon.
Kui aga kahtlustate, et CNG-võtmete eraldamise teenus ei tööta korralikult või põhjustab teie süsteemis probleeme, võite proovida teenust taaskäivitada. Selleks avage Run aken ( Windowsi klahv + R ) ja tüüp teenused.msc . Siis lüüa Sisenema avamiseks Teenused aken.
Aastal Teenused kerige alla aknasse CNG-võtmete eraldamine teenus. Paremklõpsake teenusel ja seejärel valige Taaskäivita sundida uuesti alustama.
Märge: Pidage meeles, et sõltuvalt sellest, kas CNG-võtmete eraldamise teenust praegu kasutatakse, võib teil tekkida ootamatu süsteemi taaskäivitamine. Ärge taaskäivitage seda teenust, kui teil pole selleks õigustatud põhjuseid.
4 minutit loetud
