Was ist: CNG-Schlüsselisolation (lsass.exe)
CNG-Schlüsselisolation erklärt
Das CNG-Schlüsselisolation Der Dienst wird als lokales System in einem gemeinsam genutzten Prozess ausgeführt (gehostet im LSA Prozess). Der Dienst speichert langlebige Schlüssel zur Authentifizierung von Benutzern im Winlogon-Dienst. Beispielsweise speichert der CNG-Schlüsselisolationsdienst einen drahtlosen Netzwerkschlüssel oder die erforderlichen kryptografischen Informationen für eine Smartcard. Alle vom CNG Key Isolation-Dienst ausgeführten Vorgänge werden wie folgt ausgeführt Gemeinsame Kriterien Anforderungen.
Für den Fall, dass der CNG Key Isolation-Dienst nicht geladen oder initialisiert werden kann, wird das Verhalten in der Datei aufgezeichnet Ereignisprotokoll. In den meisten Fällen kann der Dienst nicht gestartet werden, da die Remote Procedure Call (RPC) Der Dienst wird zwangsweise gestoppt oder deaktiviert. Wenn der CNG Key Isolation-Dienst gestoppt wird, wird der Erweiterbares Authentifizierungsprotokoll (EAP) kann beim Start nicht gestartet und initialisiert werden.
Wie Sie unten sehen werden, ist die CNG-Schlüsselisolationsdienst teilt eine ausführbare Datei (lsass.exe) mit mehreren anderen Diensten.
Was ist Lsass.exe?
LSASS steht für Subsystemdienst der lokalen Sicherheitsbehörde. Das echte lsass.exe ist eine legitime Softwarekomponente in der Windows-Umgebung. Die ausführbare Datei wird als in Windows integrierter Prozess der lokalen Systemautorität angesehen. Der Standardspeicherort os lsass.exe ist in C: Windows System 32.
Das Lass.exe Der Prozess verarbeitet vier Hauptauthentifizierungsdienste in Windows:
- KeyIso (CNG-Schlüsselisolation) – Der wichtigste Authentifizierungsdienst, der im LSA-Prozess gehostet wird. Es bietet eine Schlüsselprozessisolierung für private Schlüssel und zugehörige kryptografische Operationen.
- EFS (Encrypting File System) – Eine zentrale Dateiverschlüsselungstechnologie, die hauptsächlich zum Speichern verschlüsselter Dateien auf NTFS-Dateisystemvolumes verwendet wird. Durch das Beenden dieses Dienstes wird verhindert, dass Ihr System auf verschlüsselte Dateien zugreift.
- SamSS (Security Accounts Manager) – Der Hauptzweck dieses Dienstes besteht darin, als Leuchtfeuer zu fungieren und andere Dienste zu signalisieren, wenn der Sicherheitskontomanager (SAM) ist bereit, Anfragen zu empfangen. Durch das Beenden dieses Dienstes wird verhindert, dass andere Dienste, die sich auf den Security Account Manager verlassen, benachrichtigt werden. Dadurch wird ein Schneeballeffekt erzeugt, der dazu führt, dass viele abhängige Dienste fehlschlagen oder falsch gestartet werden.
- Lokale IPSEC-Richtlinie – Verwaltet und startet die ISAKMP / Oakley (IKE) und verschiedene IP-Sicherheitstreiber in Windows Server.
Mögliches Sicherheitsrisiko mit lsass.exe
Einige Windows-Benutzer stellen fest, dass die ausführbare Datei von Lsass viele Systemressourcen verbraucht und verdächtig ist lsass.exe ein Virus oder eine andere Art von Malware zu sein. Obwohl dies sicherlich möglich ist, sind die Chancen, dass dies geschieht, gering.
Es ist jedoch ein Copy-Cat-Virus bekannt, von dem bekannt ist, dass er Systeme durch Tarnung in die ausführbare Datei von Lsass infiziert. Der Prozess ist ähnlich, aber nicht identisch mit dem Original Subsystemdienst der lokalen Sicherheitsbehörde. Der böswillige Prozess wird benannt isass.exe, im Gegensatz zu dem legitimen Prozess, der benannt wird lsass.exe. Wenn Sie feststellen, dass der Prozess mit einem Kapital beginnt ich anstelle von Kleinbuchstaben L.Ihr System ist wahrscheinlich infiziert.
Sie können diese Theorie bestätigen, indem Sie den Speicherort von lsass.exe überprüfen. Im Allgemeinen, wenn die Lsass Die ausführbare Datei befindet sich in C: Windows System 32können Sie sicher annehmen, dass es das legitime ist Subsystemdienst der lokalen Sicherheitsbehörde. Öffnen Sie dazu den Task-Manager (Strg + Umschalt + Esc) und scrollen Sie in der Liste Prozesse nach unten zu Prozess der lokalen Sicherheitsbehörde. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Öffnen Sie den Dateispeicherort. Wenn sich der Prozess nicht in System 32 befindet, können Sie sicher sein, dass es sich um eine Malware-Infektion handelt.
Das “Isass.exe” ist ein Trojaner-Virus mit bekannten Keylogging-Eigenschaften Sasser Wurm Familie. Der Hauptzweck besteht darin, Daten aus Ihrem System leise zu sammeln. Durch die Registrierung jedes von Ihnen eingegebenen Tastenanschlags wird der Virus so konfiguriert, dass er nach Benutzernamen, Passwörtern, Kreditkartennummern und anderen vertraulichen Daten des Kontos sucht, die letztendlich für einen illegitimen finanziellen Gewinn verwendet werden.
Der Virus gibt es schon seit mehreren Jahren und Microsoft hat bereits Maßnahmen dagegen ergriffen. Wenn Sie feststellen, dass Sie infiziert sind, können Sie die verwenden Microsoft-Tool zum Entfernen von Malware Spuren der Sasser Wurm. Nach Monaten der Infektion unzähliger Windows 7- und XP-Benutzer hat Microsoft die Sicherheitsanfälligkeit behoben, durch die der Virus Windows-Computer infizieren konnte. Ab sofort ist es nicht mehr möglich, sich mit dem Sasser-Wurm zu infizieren, wenn Sie über die neuesten Windows-Sicherheitsupdates verfügen.
Sollte ich den CNG-Schlüsselisolationsdienst deaktivieren?
Nein. Der CNG-Schlüsselisolationsdienst ist ein kritischer Systemprozess, der zum sicheren Speichern kryptografischer Informationen erforderlich ist. Unter keinen Umständen sollte das legitim sein CNIS Key Isolation (KeyISO) -Dienst sollte dauerhaft deaktiviert sein.
Durch Beenden des Prozesses lsass.exe im Task-Manager wird auch der CNG-Schlüsselisolationsdienst gestoppt. Beachten Sie jedoch, dass Ihr System dadurch möglicherweise gewaltsam heruntergefahren wird. Da es den wichtigsten Teil der Anmeldesicherheit steuert, ist die CNG-Schlüsselisolierung eine wesentliche Funktion von Windows.
Wenn Sie jedoch den Verdacht haben, dass die CNG-Schlüsselisolationsdienst funktioniert nicht richtig oder verursacht Probleme mit Ihrem System. Sie können versuchen, den Dienst neu zu starten. Öffnen Sie dazu ein Run-Fenster (Windows-Taste + R.) und Typ services.msc. Dann schlagen Sie Eingeben zu öffnen Dienstleistungen Fenster.
In dem Dienstleistungen Fenster, scrollen Sie nach unten zu CNG-Schlüsselisolation Bedienung. Klicken Sie mit der rechten Maustaste auf den Dienst und wählen Sie Neu starten eine Wiedereinweihung erzwingen.
Hinweis: Beachten Sie, dass je nachdem, ob der CNG Key Isolation-Dienst derzeit verwendet wird, möglicherweise ein unerwarteter Systemneustart auftritt. Starten Sie diesen Dienst nur neu, wenn Sie berechtigte Gründe dafür haben.