The CNG (Cryptographic Next Generation) raktų išskyrimas paslauga teikia raktų proceso atskyrimą nuo privačių raktų ir daugybę susijusių kriptografinių operacijų, kaip reikalaujama Bendrieji kriterijai. Numatytasis kelias į vykdomąjį failą, susietą su CNG raktų izoliavimo paslauga, yraC: \ windows \ system32 \ lsass.exe.
Paaiškinta CNG raktų izoliacija
The CNG rakto izoliacija paslauga veikia kaip „LocalSystem“ bendrame procese (priglobta LSA procesas). Ši paslauga saugo ilgalaikius raktus, kad vartotojai taptų autentiški „Winlogon“ tarnyboje. Pavyzdžiui, CNG raktų izoliavimo tarnyba išsaugos belaidžio tinklo raktą arba reikalingą kriptografinę informaciją, skirtą lustinei kortelei. Visos CNG raktų izoliavimo tarnybos atliekamos operacijos atliekamos vadovaujantis Bendrieji kriterijai reikalavimus.
Jei CNG raktų išskyrimo paslaugos nepavyksta įkelti ar inicijuoti, elgesys įrašomas į Įvykių žurnalas. Dažniausiai paslaugos nepavyksta paleisti, nes Nuotolinių procedūrų iškvietimas (RPC) tarnyba priverstinai sustabdoma arba išjungiama. Jei SGD raktų izoliavimo paslauga sustabdoma, Išplėstinis autentifikavimo protokolas (EAP) nepavyks paleisti ir inicializuoti paleidus.
Kaip pamatysite žemiau, CNG raktų izoliavimo paslauga dalijasi vykdomuoju dokumentu (lsass.exe) su keliomis kitomis paslaugomis.
Kas yra Lsass.exe?
LSASS reiškia Vietos saugumo institucijos posistemio tarnyba. Tikras lsass.exe yra teisėta programinės įrangos sudedamoji „Windows“ aplinkos dalis. Vykdomasis failas laikomas pagrindinės sistemos vietos valdžios procesu, kuris yra įmontuotas „Windows“. Numatytoji vieta os lsass.exe yra C: „Windows“ 32 sistema.
The Lass.exe procesas tvarko keturias pagrindines „Windows“ autentifikavimo paslaugas:
- KeyIso (SGD rakto izoliacija) - Svarbiausia autentifikavimo paslauga, teikiama LSA procese. Tai suteikia atskirų raktų ir susijusių kriptografinių operacijų raktų procesą.
- EFS (failų sistemos šifravimas) - Pagrindinė failų šifravimo technologija, daugiausia naudojama šifruotiems failams laikyti NTFS failų sistemos tomuose. Sustabdžius šią paslaugą, sistema negalės pasiekti šifruotų failų.
- „SamSS“ (saugos sąskaitų tvarkyklė)Pagrindinis šios paslaugos tikslas yra veikti kaip švyturys ir pranešti apie kitas paslaugas, kai Apsaugos sąskaitos valdytojas(SAM) yra pasirengęs priimti užklausas. Sustabdžius šią paslaugą, nebus galima pranešti kitoms tarnyboms, kurios remiasi saugos paskyros valdytoju. Tai sukurs sniego gniūžtės efektą, kuris sukels daugelio priklausomų paslaugų gedimą arba netinkamą paleidimą.
- Vietinė IPSEC politika - Tvarko ir pradeda ISAKMP / „Oakley“ (IKE) Vista įvairūs IP saugos tvarkyklės „Windows Server“.
Galima saugumo rizika naudojant lsass.exe
Kai kurie „Windows“ vartotojai mano, kad „Lsass“ vykdomasis failas sunaudoja daug sistemos išteklių ir įtaria lsass.exe viruso ar kitos rūšies kenkėjiškų programų. Nors tai tikrai įmanoma, tikimybė, kad taip nutiks, yra menka.
Tačiau yra žinomas „cat-cat“ virusas, kuris, kaip žinoma, užkrės sistemas, užmaskuodamas „Lsass“ vykdomąjį failą. Procesas yra panašus, bet ne identiškas tikram Vietos saugumo institucijos posistemio tarnyba. Pavadinamas piktybinis procesas isass.exe, priešingai nei įvardytas teisėtas procesas lsass.exe. Jei pastebėsite, kad procesas prasideda didžiąja raide Aš vietoj mažųjų raidžių L, tikriausiai jūsų sistema yra užkrėsta.
Šią teoriją galite patvirtinti patikrinę lsass.exe vietą. Paprastai, jei Lsass vykdomoji programa yra C: „Windows“ 32 sistema, galite drąsiai manyti, kad tai teisėta Vietos saugumo institucijos posistemio tarnyba. Norėdami tai padaryti, atidarykite „Task Manager“ („Ctrl“ + „Shift“ + „Esc“) ir slinkite žemyn procesų sąraše į Vietos saugumo institucijos procesas.Dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite Atidaryti failo vietą. Jei procesas nėra 32 sistemoje, galite būti tikri, kad susiduriate su kenkėjiškų programų infekcija.
The „Isass.exe“ yra Trojos virusas, turintis raktų pakėlimo savybes, žinomas Sasserio kirminas šeima. Pagrindinis jo tikslas yra tyliai rinkti duomenis iš jūsų sistemos. Registruodamas kiekvieną įvestą klavišo paspaudimą, virusas sukonfigūruotas taip, kad galėtų sekti paskyros naudotojų vardus, slaptažodžius, kreditinių kortelių numerius ir visus kitus neskelbtinus duomenis, kurie galiausiai naudojami neteisėtai finansinei naudai gauti.
Virusas egzistavo keletą metų, o „Microsoft“ jau ėmėsi priemonių prieš jį. Jei pastebėsite, kad esate užkrėstas, galite naudoti "Microsoft" kenkėjiškų programų šalinimo įrankį, kad pašalintumėte visus Sasserio kirminas. Mėnesius užkrėtusi daugybę „Windows 7“ ir „XP“ vartotojų, „Microsoft“ užtaisė pažeidžiamumą, leidusį virusui užkrėsti „Windows“ mašinas. Nuo šiol nebeįmanoma užsikrėsti „Sasser“ kirminu, jei turite naujausius „Windows“ saugos naujinimus.
Ar turėčiau išjungti SGD raktų izoliavimo paslaugą?
Ne. CNG raktų izoliavimo paslauga yra kritinis sistemos procesas, reikalingas saugiai kriptografinei informacijai saugoti. Jokiu būdu neturėtų būti teisėtasCNG raktų izoliavimo (KeyISO) paslauga turėtų būti visam laikui išjungtas.
Uždarius lsass.exe procesą užduočių tvarkytuvėje, bus sustabdyta ir SGD raktų izoliavimo paslauga. Tačiau nepamirškite, kad dėl to jūsų sistema gali priverstinai išsijungti. CNG rakto izoliavimas yra svarbiausia „Windows“ funkcija, nes jis valdo svarbiausią saugumo žurnalo dalį.
Tačiau, jei įtariate, kadCNG raktų izoliavimo paslauganeveikia tinkamai arba sukelia problemų su jūsų sistema, galite pabandyti iš naujo paleisti paslaugą. Norėdami tai padaryti, atidarykite langą Vykdyti („Windows“ klavišas + R) ir tipą paslaugos.msc. Tada paspauskite Įveskite atidaryti Paslaugos langas.
Viduje konors Paslaugos langą, slinkite žemyn iki CNG raktų izoliavimas paslaugą. Dešiniuoju pelės mygtuku spustelėkite paslaugą ir pasirinkite Perkrauti priversti atnaujinti.
Pastaba: Atminkite, kad atsižvelgiant į tai, ar CNG raktų izoliavimo paslauga šiuo metu naudojama, galite netikėtai paleisti sistemą iš naujo. Nepaleiskite šios paslaugos iš naujo, nebent turite tam teisėtų priežasčių.
