Điều gì là: CNG Key Isolation (lsass.exe)
Dịch vụ cách ly khóa CNG (Mật mã thế hệ tiếp theo) cung cấp cách ly khóa chính cho các khóa riêng và một số hoạt động mã hóa liên quan theo yêu cầu của các tiêu chí chung . Đường dẫn mặc định đến tệp thực thi được liên kết với dịch vụ cách ly khóa CNG là C: \ windows \ system32 \ lsass.exe.
Giải thích cách ly chính của CNG
Dịch vụ cách ly khóa CNG chạy như một LocalSystem trong một quá trình được chia sẻ (được lưu trữ trong quá trình LSA ). Dịch vụ lưu trữ các khóa lâu dài để xác thực người dùng trong dịch vụ Winlogon. Ví dụ: dịch vụ cách ly khóa CNG sẽ lưu trữ khóa mạng không dây hoặc thông tin mật mã cần thiết cho thẻ thông minh. Tất cả các hoạt động được thực hiện bởi dịch vụ cách ly khóa CNG được thực hiện bằng cách tuân thủ các yêu cầu tiêu chí chung .
Trong trường hợp dịch vụ cách ly khóa CNG không tải hoặc khởi tạo, hành vi được ghi lại trong Nhật ký sự kiện . Hầu hết thời gian, dịch vụ không khởi động được vì dịch vụ gọi thủ tục từ xa (RPC) bị dừng hoặc vô hiệu hóa cưỡng bức. Nếu dịch vụ cách ly khóa CNG bị dừng, Giao thức xác thực mở rộng (EAP) sẽ không khởi động được và khởi tạo khi khởi động.
Như bạn sẽ thấy dưới đây, dịch vụ cách ly khóa CNG chia sẻ một tệp thực thi ( lsass.exe ) với một số dịch vụ khác.
Lsass.exe là gì?
LSASS là viết tắt của Local Security Authority Subsystem Service . Lsass.exe chính hãng là một phần hợp phần phần mềm hợp pháp của môi trường Windows. Tệp thực thi được coi là một quy trình thẩm quyền địa phương của hệ thống lõi được xây dựng trong Windows. Vị trí mặc định os lsass.exe nằm trong C: \ Windows \ System 32 .
Quá trình Lass.exe xử lý bốn dịch vụ xác thực chính trong Windows:
- KeyIso (CNG Key Isolation) - Dịch vụ xác thực quan trọng nhất được lưu trữ trong quá trình LSA. Nó cung cấp cách ly khóa chính cho khóa riêng và các hoạt động mã hóa liên quan.
- EFS (Encrypting File System) - Công nghệ mã hóa tệp lõi được sử dụng chủ yếu để lưu trữ các tệp được mã hóa trên ổ đĩa hệ thống tệp NTFS. Dừng dịch vụ này sẽ ngăn hệ thống của bạn truy cập các tệp được mã hóa.
- SamSS (Security Accounts Manager) - Mục đích chính của dịch vụ này là hoạt động như một đèn hiệu và báo hiệu các dịch vụ khác khi Security Account Manager (SAM) sẵn sàng nhận các yêu cầu. Dừng dịch vụ này sẽ ngăn các dịch vụ khác dựa vào Trình quản lý tài khoản bảo mật để được thông báo. Điều này sẽ tạo ra một hiệu ứng quả cầu tuyết mà sẽ gây ra rất nhiều dịch vụ phụ thuộc không thành công hoặc bắt đầu không chính xác.
- Chính sách IPSEC cục bộ - Quản lý và khởi động ISAKMP / Oakley (IKE) và các trình điều khiển bảo mật IP khác nhau trong Windows Server .
Rủi ro bảo mật tiềm ẩn với lsass.exe
Một số người dùng Windows thấy rằng thực thi Lsass tiêu tốn rất nhiều tài nguyên hệ thống và nghi ngờ lsass.exe là vi-rút hoặc một loại phần mềm độc hại khác. Trong khi điều này chắc chắn có thể, cơ hội là điều này xảy ra là mỏng.
Tuy nhiên, có một loại vi-rút mèo đã được biết là đã lây nhiễm sang các hệ thống bằng cách ngụy trang vào thực thi Lsass. Quá trình này tương tự, nhưng không giống với Dịch vụ Hệ thống con Cơ quan Bảo mật Địa phương chính hãng. Quá trình độc hại được đặt tên là isass.exe, trái với quy trình hợp pháp được đặt tên là lsass.exe . Nếu bạn thấy rằng quá trình bắt đầu bằng vốn I thay vì chữ L thấp hơn, hệ thống của bạn có thể bị nhiễm.
Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đâyBạn có thể xác nhận lý thuyết này bằng cách kiểm tra vị trí của lsass.exe. Nói chung, nếu thực thi Lsass nằm trong C: \ Windows \ System 32, bạn có thể giả định rằng đó là dịch vụ hệ thống con bảo mật cục bộ hợp pháp. Để làm điều này mở Task Manager ( Ctrl + Shift + Esc ) và cuộn xuống trong danh sách Processes để Local Security Authority Process. Nhấp chuột phải vào nó và chọn Mở vị trí tệp . Nếu quá trình không nằm trong Hệ thống 32, bạn có thể chắc chắn rằng bạn đang xử lý nhiễm phần mềm độc hại.
Isass.exe là một virus Trojan với các thuộc tính keylogging được biết đến là họ sâu Sasser . Mục đích chính của nó là thu thập dữ liệu một cách lặng lẽ từ hệ thống của bạn. Bằng cách đăng ký mọi phím gõ bạn gõ, vi-rút được định cấu hình để theo sau tên người dùng, mật khẩu, số thẻ tín dụng và bất kỳ dữ liệu nhạy cảm nào khác được sử dụng cuối cùng cho lợi ích tài chính bất hợp pháp.
Virus đã tồn tại trong nhiều năm và Microsoft đã thực hiện các biện pháp chống lại nó. Nếu bạn thấy rằng bạn bị nhiễm, bạn có thể sử dụng công cụ Loại bỏ phần mềm độc hại của Microsoft để xóa mọi dấu vết của sâu Sasser . Sau nhiều tháng lây nhiễm vô số người dùng Windows 7 và XP, Microsoft đã vá lỗ hổng cho phép virus lây nhiễm các máy Windows. Hiện tại, bạn không còn bị lây nhiễm sâu Sasser nếu bạn có bản cập nhật bảo mật mới nhất của Windows.
Tôi có nên tắt dịch vụ cách ly khóa CNG không?
Không. Dịch vụ cách ly khóa CNG là một quá trình hệ thống quan trọng cần thiết để lưu trữ thông tin mật mã một cách an toàn. Trong mọi trường hợp, Dịch vụ Cách ly Khóa CNG hợp pháp (KeyISO) hợp pháp sẽ bị vô hiệu hóa vĩnh viễn.
Kết thúc quá trình lsass.exe trong Task Manager cũng sẽ dừng dịch vụ cách ly khóa CNG. Nhưng hãy nhớ rằng điều này có thể làm cho hệ thống của bạn bị tắt cưỡng bức. Vì nó kiểm soát phần quan trọng nhất của nhật ký về bảo mật, cách ly khóa CNG là một chức năng thiết yếu của Windows.
Tuy nhiên, nếu bạn nghi ngờ rằng dịch vụ cách ly khóa CNG không hoạt động đúng hoặc đang gây ra sự cố với hệ thống của bạn, bạn có thể thử khởi động lại dịch vụ. Để thực hiện điều này, mở một cửa sổ Run ( Windows key + R ) và gõ services.msc . Sau đó, nhấn Enter để mở cửa sổ Services .
Trong cửa sổ Services, cuộn xuống dịch vụ Isolation Key CNG . Nhấp chuột phải vào dịch vụ và sau đó chọn Khởi động lại để buộc tái khởi động.
Lưu ý: Hãy nhớ rằng tùy thuộc vào dịch vụ CNG Key Isolation hiện đang được sử dụng, bạn có thể gặp phải sự khởi động lại hệ thống không mong muốn. Không khởi động lại dịch vụ này trừ khi bạn có lý do chính đáng để làm như vậy.
Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây