คืออะไร CNG Key Isolation (lsass.exe)
บริการ แยกคีย์ CNG (Cryptographic Next Generation) ให้ การแยก คีย์ขั้นตอนสำคัญไปยังคีย์ส่วนตัวและการดำเนินการเกี่ยวกับการเข้ารหัสที่เกี่ยวข้องตามที่กำหนดโดย Common Criteria เส้นทางเริ่มต้นไปยังปฏิบัติการที่เกี่ยวข้องกับบริการแยกคีย์ CNG คือ C: \ windows \ system32 \ lsass.exe
อธิบาย CNG Key Isolation
บริการ แยกคีย์ CNG ทำงานเป็น LocalSystem ในกระบวนการแชร์ (จัดเก็บไว้ในกระบวนการ LSA ) บริการจัดเก็บคีย์ที่ใช้งานมานานเพื่อตรวจสอบสิทธิ์ผู้ใช้ในบริการ Winlogon ตัวอย่างเช่นบริการแยกคีย์ CNG จะจัดเก็บคีย์เครือข่ายไร้สายหรือข้อมูลการเข้ารหัสลับที่จำเป็นสำหรับสมาร์ทการ์ด การดำเนินการทั้งหมดที่ดำเนินการโดยบริการแยก CNG Key Is ดำเนินการโดยทำตามข้อกำหนดข้อกำหนดทั่วไป
ในกรณีที่เซอร์วิส CNG Key Isolation ไม่สามารถโหลดหรือเริ่มต้นได้พฤติกรรมจะถูกบันทึกลงใน Event Log โดยส่วนใหญ่บริการไม่สามารถเริ่มทำงานเนื่องจากบริการ Remote Procedure Call (RPC) ถูกบังคับหยุดหรือปิดใช้งาน ถ้าบริการการแยกคีย์ CNG ถูกหยุดทำงาน โพรโทคอลการรับรองความถูกต้อง Extensible (EAP) จะไม่สามารถเริ่มต้นและเริ่มต้นได้เมื่อเริ่มต้น
ดังที่คุณจะเห็นด้านล่าง บริการแยกคีย์ CNG จะ แบ่งใช้ไฟล์ปฏิบัติการ ( lsass.exe ) กับบริการอื่น ๆ
Lsass.exe คืออะไร?
LSASS ย่อมาจาก Local Security Authority Subsystem Service lsass.exe ของแท้เป็นส่วนประกอบซอฟต์แวร์ที่ถูกต้องตามกฎหมายของสภาพแวดล้อมของ Windows ปฏิบัติการนี้ถือได้ว่าเป็นระบบหลักของหน่วยงานท้องถิ่นที่มีอยู่ภายใน Windows ตำแหน่งเริ่มต้น os lsass.exe อยู่ใน C: \ Windows \ System 32
กระบวนการ Lass.exe จัดการบริการตรวจสอบสิทธิ์หลักสี่รายการใน Windows:
- KeyIso (CNG Key Isolation) - บริการตรวจสอบสิทธิ์ที่สำคัญที่สุดที่โฮสต์ในกระบวนการ LSA จะให้การแยกกระบวนการที่สำคัญไปยังคีย์ส่วนตัวและการดำเนินการเกี่ยวกับการเข้ารหัสลับที่เกี่ยวข้อง
- EFS (Encrypting File System) - เทคโนโลยีการเข้ารหัสลับหลักที่ใช้เพื่อจัดเก็บไฟล์ที่เข้ารหัสบนไดรฟ์ข้อมูลระบบไฟล์ NTFS การหยุดบริการนี้จะทำให้ระบบของคุณไม่สามารถเข้าถึงไฟล์ที่เข้ารหัสได้
- SamSS (Security Accounts Manager) - วัตถุประสงค์หลักของบริการนี้คือทำหน้าที่เป็นสัญญาณเตือนและสัญญาณบริการอื่น ๆ เมื่อ Security Account Manager (SAM) พร้อมที่จะรับคำขอ การหยุดบริการนี้จะป้องกันไม่ให้บริการอื่น ๆ พึ่งพา Security Account Manager ไม่ให้รับการแจ้งเตือน การดำเนินการนี้จะสร้างผลกระทบก้อนหิมะซึ่งจะทำให้บริการที่ขึ้นต่อจำนวนมากล้มเหลวหรือเริ่มต้นไม่ถูกต้อง
- นโยบาย IPSEC ท้องถิ่น - จัดการและเริ่มต้น ISAKMP / Oakley (IKE) และไดรเวอร์ความปลอดภัย IP ต่างๆใน Windows Server
ความเสี่ยงด้านความปลอดภัยที่อาจเกิดกับ lsass.exe
ผู้ใช้ Windows บางรายพบว่า Lsass executable ใช้ทรัพยากรระบบจำนวนมากและสงสัยว่า lsass.exe เป็นไวรัสหรือมัลแวร์ชนิดอื่น ขณะนี้เป็นไปได้อย่างแน่นอนโอกาสที่จะเกิดขึ้นนี้มีบาง
อย่างไรก็ตามมีไวรัสสำเนาแมวที่ทราบว่าติดตั้งระบบปฏิบัติการโดยลวงตาลงในไฟล์ปฏิบัติการ Lsass กระบวนการนี้มีลักษณะคล้ายกัน แต่ไม่เหมือนกันกับ บริการย่อยระบบความปลอดภัยท้องถิ่น ของแท้ กระบวนการ malitious มีชื่อว่า isass.exe ไม่ใช่กระบวนการที่ถูกต้องตามกฎหมายที่ชื่อ lsass.exe หากคุณพบว่ากระบวนการนี้เริ่มต้นด้วยทุน ฉัน แทนกรณีที่ต่ำกว่า L ระบบของคุณอาจติดไวรัส
PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่คุณสามารถยืนยันทฤษฎีนี้โดยการตรวจสอบตำแหน่งของ lsass.exe โดยทั่วไปถ้า Lsass executable อยู่ใน C: \ Windows \ System 32 คุณสามารถสันนิษฐานได้ว่าเป็นบริการ Local Security Authority Subsystem ที่ ถูกต้องตามกฎหมาย ในการดำเนินการนี้ให้เปิด Task Manager ( Ctrl + Shift + Esc ) และเลื่อนลงไปที่ Processes list เพื่อประมวลผล Local Security Authority Processor คลิกขวาที่ ไฟล์ แล้วเลือก Open file location ถ้ากระบวนการนี้ไม่ได้อยู่ในระบบ 32 คุณสามารถตรวจสอบได้ว่าคุณกำลังติดต่อกับมัลแวร์มัลแวร์
Isass.exe เป็นไวรัสโทรจันที่มีคุณสมบัติการ ล็อกคีย์ที่ รู้จักกันดีในตระกูล หนอน Sasser วัตถุประสงค์หลักของมันคือการเก็บเกี่ยวข้อมูลอย่างเงียบ ๆ จากระบบของคุณ โดยการลงทะเบียนการกดแป้นพิมพ์ทุกครั้งที่คุณพิมพ์ไวรัสจะได้รับการกำหนดค่าให้ไปตามชื่อผู้ใช้บัญชีรหัสผ่านหมายเลขบัตรเครดิตและข้อมูลสำคัญอื่น ๆ ที่ใช้เพื่อประโยชน์ทางกฎหมายในท้ายที่สุด
ไวรัสได้รับรอบหลายปีและไมโครซอฟท์ได้ดำเนินการมาตรการกับมัน หากคุณพบว่าคุณติดไวรัสคุณสามารถใช้เครื่องมือกำจัดมัลแวร์ของ Microsoft เพื่อลบร่องรอยของ เวิร์ม Sasser หลังจากหลายเดือนของการติดไวรัสผู้ใช้ Windows 7 และ XP นับไม่ถ้วน Microsoft ได้ติดตั้งช่องโหว่ที่ทำให้ไวรัสติดไวรัสได้ ณ ตอนนี้จะไม่สามารถติดมัลแวร์ Sasser อีกต่อไปได้หากคุณมีการปรับปรุงความปลอดภัยล่าสุดของ Windows
ฉันควรปิดใช้งานบริการแยกคีย์ CNG หรือไม่?
ไม่ได้บริการแยกคีย์ CNG เป็นกระบวนการสำคัญของระบบที่จำเป็นในการจัดเก็บข้อมูลการเข้ารหัสลับอย่างปลอดภัย ไม่ควรมีการปิดใช้งาน บริการแยกคีย์ CNG Key Key (CISA Key Isolation) ถูกต้องตามกฎหมายทุกกรณี
การสิ้นสุดกระบวนการ lsass.exe ในตัวจัดการงานจะทำให้หยุดบริการแยกคีย์ CNG แต่อย่าลืมว่าอาจทำให้ระบบของคุณปิดลงโดยไม่เจตนา เนื่องจากการควบคุมส่วนที่สำคัญที่สุดของการเข้าสู่ระบบรักษาความปลอดภัยการแยกคีย์ CNG เป็นหน้าที่สำคัญของ Windows
อย่างไรก็ตามหากคุณสงสัยว่า บริการแยกคีย์ CNG ไม่ทำงานอย่างถูกต้องหรือทำให้เกิดปัญหากับระบบคุณสามารถลองเริ่มบริการใหม่ได้ เมื่อต้องการทำเช่นนี้ให้เปิดหน้าต่าง Run ( Windows key + R ) และพิมพ์ services.msc จากนั้นกด Enter เพื่อเปิดหน้าต่าง บริการ
ในหน้าต่าง Services ให้เลื่อนลงมาที่ CNG Key Isolation คลิกขวาที่บริการและเลือก Restart เพื่อบังคับให้เริ่มต้นใหม่
หมายเหตุ: โปรดทราบว่าหากบริการแยก CNG Key Is ใช้อยู่ในปัจจุบันคุณอาจพบการบูตระบบใหม่ที่ไม่คาดคิด อย่ารีสตาร์ทบริการนี้จนกว่าคุณจะมีเหตุผลที่ถูกต้องในการดำเนินการดังกล่าว
PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่