Vad är: CNG Key Isolation (lsass.exe)

CNG (Cryptographic Next Generation) Key Isolation- tjänsten ger nyckelprocesisolering till privata nycklar och ett antal associerade kryptografiska operationer enligt vad som krävs enligt de gemensamma kriterierna . Standardvägen till den körbara som är associerad med CNG Key Isolation-tjänsten är C: \ windows \ system32 \ lsass.exe.

CNG-nyckelisolering förklaras

CNG-nyckelisoleringstjänsten körs som ett LocalSystem i en gemensam process (värd i LSA- processen). Tjänsten lagrar långlivade nycklar för att verifiera användare i Winlogon-tjänsten. Exempelvis lagrar CNG Key Isolation-tjänsten en trådlös nätverksnyckel eller den nödvändiga kryptografiska informationen för ett smartkort. Alla operationer som utförs av CNG Key Isolation-tjänsten utförs genom att följa kraven på gemensamma kriterier .

I händelse av att CNG Key Isolation-tjänsten inte laddar eller initialiseras, är beteendet inspelat i händelseloggen . För det mesta börjar tjänsten inte starta eftersom tjänsten Remote Procedure Call (RPC) tvingas stoppas eller inaktiveras. Om CNG-nyckelisoleringstjänsten är stoppad, kommer det inte att starta och initiera vid utstart av Extensible Authentication Protocol (EAP).

Som du kommer att se nedan, delar CNG-tangentisoleringstjänsten en körbar ( lsass.exe ) med flera andra tjänster.

Vad är Lsass.exe?

LSASS står för den lokala säkerhetsmyndighetens delsystemtjänst . Den äkta lsass.exe är en legitim mjukvarukomponentdel av Windows-miljön. Körbarheten betraktas som en kärnsystems kommunal process som är inbyggd i Windows. Standardplatsen os lsass.exe finns i C: \ Windows \ System 32 .

Lass.exe- processen hanterar fyra huvudsakliga autentiseringstjänster i Windows:

  • KeyIso (CNG Key Isolation) - Den viktigaste autentiseringstjänsten finns i LSA-processen. Det ger nyckelprocesisolering till privata nycklar och tillhörande kryptografiska operationer.
  • EFS (Encrypting File System) - En kärnfilkrypteringsteknik som huvudsakligen används för att lagra krypterade filer på volymer i NTFS-filsystem. Att stoppa den här tjänsten kommer att förhindra att ditt system får åtkomst till krypterade filer.
  • SamSS (Security Accounts Manager) - Huvudsyftet med denna tjänst är att fungera som en signal och signalera andra tjänster när Security Account Manager (SAM) är redo att ta emot förfrågningar. Att stoppa den här tjänsten kommer att förhindra att andra tjänster förlita sig på Säkerhetskontohanteraren från att bli underrättad. Detta kommer att skapa en snöbollseffekt som gör att många beroende tjänster misslyckas eller börjar felaktigt.
  • Lokal IPSEC Policy - Hanterar och startar ISAKMP / Oakley (IKE) och olika IP-säkerhetsdrivrutiner i Windows Server .

Potentiell säkerhetsrisk med lsass.exe

Vissa Windows-användare finner att Lsass-körbarheten förbrukar många systemresurser och misstänker lsass.exe att vara ett virus eller en annan typ av skadlig kod. Även om detta verkligen är möjligt, är chanserna att detta händer smala.

Det finns emellertid ett känt kopikatavirus som har varit känt att infektera system genom att kamoufla in i Lsass-körbar. Processen är likadan, men inte identisk med den äkta lokala säkerhetsmyndighetens delsystemtjänst . Den skadliga processen heter isass.exe, i motsats till den legitima processen som heter lsass.exe . Om du upptäcker att processen börjar med en kapital jag istället för ett små bokstäver L, är ditt system troligen smittat.

PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka här

Du kan bekräfta denna teori genom att kontrollera platsen för lsass.exe. I allmänhet, om Lsass- exekverbar är lokaliserad i C: \ Windows \ System 32, kan du säkert anta att det är den legitima lokala säkerhetsmyndighetens delsystemtjänst . För att göra detta öppnar du Aktivitetshanteraren ( Ctrl + Shift + Esc ) och bläddrar ner i listan Processer till Processen för lokala säkerhetsmyndigheter. Högerklicka på den och välj Öppna filplats . Om processen inte finns i System 32 kan du vara säker på att du har att göra med en malwareinfektion.

Isass.exe är ett trojansk virus med keylogging egenskaper som är känd för Sasser-maskfamiljen . Dess huvudsyfte är att tyst skörda data från ditt system. Genom att registrera varje tangenttryckning du skriver är viruset konfigurerat för att gå efter användarnamn, lösenord, kreditkortsnummer och annan känslig data som används för obehörig ekonomisk vinst.

Viruset har funnits i flera år och Microsoft har redan vidtagit åtgärder mot det. Om du upptäcker att du är infekterad kan du använda verktyget Microsoft Malware Removal för att ta bort eventuella spår av Sasser-masken . Efter månader av att infektera otaliga Windows 7 och XP-användare har Microsoft patchat sårbarheten som gjorde det möjligt för viruset att infektera Windows-maskiner. Från och med nu är det inte längre möjligt att smittas med Sasser-masken om du har de senaste säkerhetsuppdateringarna i Windows.

Ska jag avaktivera CNG-nyckel isoleringstjänsten?

Nej. CNG-nyckelisoleringstjänsten är en kritisk systemprocess som behövs för att säkert lagra krypteringsinformation. Under inga omständigheter borde den legitima CNG Key Isolation (KeyISO) Service vara permanent inaktiverad.

Att avsluta lsass.exe-processen i uppgiftshanteraren kommer också att stoppa CNG-tangentisoleringstjänsten. Men kom ihåg att det här kan göra att systemet stängs av med våld. Eftersom den kontrollerar den viktigaste delen av loggen på säkerhet är CNG-nyckelisoleringen en viktig funktion av Windows.

Om du misstänker att CNG-nyckelisoleringstjänsten inte fungerar korrekt eller orsakar problem med ditt system, kan du försöka att starta om tjänsten. För att göra detta, öppna ett körfönster ( Windows-tangent + R ) och skriv services.msc . Klicka sedan på Enter för att öppna fönstret Tjänster .

I fönstret Tjänster, bläddra ner till CNG Key Isolation- tjänsten. Högerklicka på tjänsten och välj sedan Starta om du vill tvinga en nyinitiativ.

Obs! Tänk på att beroende på om CNG Key Isolation-tjänsten för närvarande används, kan det hända att du upplever en oväntad omstart av systemet. Starta inte om den här tjänsten om du inte har legitima skäl att göra det.

PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka här

Facebook Twitter Google Plus Pinterest