Sự tách biệt chính của CNG (Cryptographic Next Generation) dịch vụ cung cấp cách ly quy trình khóa đối với khóa riêng tư và một số hoạt động mật mã liên quan theo yêu cầu của Tiêu chí chung . Đường dẫn mặc định đến tệp thực thi được liên kết với dịch vụ CNG Key Isolation là C:\ windows \ system32 \ lsass.exe.
Giải thích về cách ly khóa CNG
Cách ly khóa CNG dịch vụ chạy như một Hệ thống cục bộ trong một quy trình được chia sẻ (được lưu trữ trong LSA tiến trình). Dịch vụ lưu trữ các khóa tồn tại lâu dài để xác thực người dùng trong dịch vụ Winlogon. Ví dụ:dịch vụ Cách ly khóa CNG sẽ lưu trữ khóa mạng không dây hoặc thông tin mật mã cần thiết cho thẻ thông minh. Tất cả các hoạt động được thực hiện bởi dịch vụ Cách ly khóa CNG được thực hiện bằng cách tuân theo Tiêu chí chung yêu cầu.
Trong trường hợp dịch vụ Cách ly khóa CNG không tải hoặc khởi chạy được, hành vi sẽ được ghi lại trong Nhật ký sự kiện . Hầu hết thời gian, dịch vụ không thể khởi động vì Cuộc gọi thủ tục từ xa (RPC) dịch vụ buộc phải dừng hoặc vô hiệu hóa. Nếu dịch vụ Cách ly khóa CNG bị dừng, Giao thức xác thực có thể mở rộng (EAP) sẽ không khởi động và khởi chạy được khi khởi động.
Như bạn sẽ thấy bên dưới, Dịch vụ cách ly khóa CNG chia sẻ tệp thực thi ( lsass.exe ) cùng với một số dịch vụ khác.
Lsass.exe là gì?
LSASS là viết tắt của Dịch vụ hệ thống con của cơ quan bảo mật địa phương . lsass.exe chính hãng là một phần thành phần phần mềm hợp pháp của môi trường Windows. Tệp thực thi được coi là một quy trình thẩm quyền cục bộ của hệ thống cốt lõi được tích hợp sẵn trong Windows. Vị trí mặc định os lsass.exe nằm trong C:\ Windows \ System 32 .
Lass.exe quy trình xử lý bốn dịch vụ xác thực chính trong Windows:
- KeyIso (Cách ly khóa CNG) - Dịch vụ xác thực quan trọng nhất được lưu trữ trong quy trình LSA. Nó cung cấp cách ly quy trình khóa với khóa riêng tư và các hoạt động mật mã liên quan.
- EFS (Hệ thống Tệp Mã hóa) - Một công nghệ mã hóa tệp cốt lõi chủ yếu được sử dụng để lưu trữ các tệp được mã hóa trên khối lượng hệ thống tệp NTFS. Việc dừng dịch vụ này sẽ ngăn hệ thống của bạn truy cập vào các tệp được mã hóa.
- SamSS (Trình quản lý Tài khoản Bảo mật) - Mục đích chính của dịch vụ này là hoạt động như một đèn hiệu và báo hiệu cho các dịch vụ khác khi Người quản lý tài khoản bảo mật (SAM) sẵn sàng nhận yêu cầu. Việc dừng dịch vụ này sẽ ngăn không cho các dịch vụ khác dựa vào Trình quản lý tài khoản bảo mật được thông báo. Điều này sẽ tạo ra hiệu ứng quả cầu tuyết khiến nhiều dịch vụ phụ thuộc bị lỗi hoặc khởi động không chính xác.
- Chính sách IPSEC cục bộ - Quản lý và khởi động ISAKMP / Oakley (IKE) và các trình điều khiển bảo mật IP khác nhau trong Windows Server .
Rủi ro bảo mật tiềm ẩn với lsass.exe
Một số người dùng Windows nhận thấy tệp thực thi Lsass tiêu tốn nhiều tài nguyên hệ thống và nghi ngờ lsass.exe là vi-rút hoặc một loại phần mềm độc hại khác. Mặc dù điều này chắc chắn có thể xảy ra, nhưng khả năng điều này xảy ra là rất nhỏ.
Tuy nhiên, có một loại virus copy-cat đã được biết đến đã lây nhiễm vào các hệ thống bằng cách ngụy trang vào tệp thực thi Lsass. Quá trình này tương tự, nhưng không giống với Dịch vụ hệ thống con của Cơ quan bảo mật địa phương chính hãng . Quá trình độc hại được đặt tên là isass.exe, trái ngược với quy trình hợp pháp có tên lsass.exe . Nếu bạn thấy rằng quy trình bắt đầu với chữ viết hoa I thay vì viết thường L , hệ thống của bạn có thể đã bị nhiễm.
Bạn có thể xác nhận lý thuyết này bằng cách kiểm tra vị trí của lsass.exe. Nói chung, nếu Lsass tệp thực thi nằm trong C:\ Windows \ System 32 , bạn có thể yên tâm cho rằng đó là Dịch vụ hệ thống con của Cơ quan bảo mật địa phương hợp pháp . Để thực hiện việc này, hãy mở Trình quản lý tác vụ ( Ctrl + Shift + Esc ) và cuộn xuống trong danh sách Quy trình đến Quy trình của cơ quan bảo mật cục bộ. Nhấp chuột phải vào nó và chọn Mở vị trí tệp . Nếu quy trình không nằm trong Hệ thống 32, bạn có thể chắc chắn rằng mình đang đối phó với sự lây nhiễm phần mềm độc hại.
“Isass.exe” là một loại vi-rút trojan có thuộc tính keylogging được gọi là sâu Sasser gia đình. Mục đích chính của nó là âm thầm thu thập dữ liệu từ hệ thống của bạn. Bằng cách đăng ký mọi tổ hợp phím bạn nhập, vi-rút được định cấu hình để truy lùng tên người dùng tài khoản, mật khẩu, số thẻ tín dụng và bất kỳ dữ liệu nhạy cảm nào khác cuối cùng được sử dụng cho mục đích thu lợi tài chính bất hợp pháp.
Virus này đã xuất hiện được vài năm và Microsoft đã có những biện pháp chống lại nó. Nếu phát hiện mình bị nhiễm, bạn có thể sử dụng công cụ Loại bỏ phần mềm độc hại của Microsoft để xóa mọi dấu vết của sâu Sasser . Sau nhiều tháng lây nhiễm cho vô số người dùng Windows 7 và XP, Microsoft đã vá lỗ hổng cho phép virus lây nhiễm sang các máy Windows. Kể từ bây giờ, không còn khả năng bị nhiễm sâu Sasser nếu bạn có bản cập nhật bảo mật Windows mới nhất.
Tôi có nên tắt dịch vụ cách ly khóa CNG không?
Không. Dịch vụ cách ly khóa CNG là một quy trình hệ thống quan trọng cần thiết để lưu trữ thông tin mật mã một cách an toàn. Trong mọi trường hợp, Dịch vụ cách ly khóa CNG (KeyISO) hợp pháp không nên sẽ bị vô hiệu hóa vĩnh viễn.
Kết thúc quá trình lsass.exe trong Trình quản lý tác vụ cũng sẽ dừng dịch vụ cách ly khóa CNG. Nhưng hãy nhớ rằng điều này có thể khiến hệ thống của bạn buộc phải tắt. Vì nó kiểm soát phần quan trọng nhất của bảo mật nhật ký, cách ly khóa CNG là một chức năng thiết yếu của Windows.
Tuy nhiên, nếu bạn nghi ngờ rằng Dịch vụ cách ly khóa CNG không hoạt động bình thường hoặc đang gây ra sự cố với hệ thống của bạn, bạn có thể thử khởi động lại dịch vụ. Để thực hiện việc này, hãy mở cửa sổ Chạy ( Phím Windows + R ) và nhập services.msc . Sau đó, nhấn Enter để mở Dịch vụ cửa sổ.
Trong Dịch vụ , cuộn xuống Cách ly khóa CNG dịch vụ. Nhấp chuột phải vào dịch vụ, sau đó chọn Khởi động lại để buộc khởi động lại.
Lưu ý: Hãy nhớ rằng tùy thuộc vào việc dịch vụ Cách ly khóa CNG hiện đang được sử dụng hay không, bạn có thể gặp phải trường hợp khởi động lại hệ thống không mong muốn. Không khởi động lại dịch vụ này trừ khi bạn có lý do chính đáng để làm như vậy.