การแยกคีย์ CNG (Cryptographic Next Generation) บริการให้การแยกกระบวนการคีย์ไปยังคีย์ส่วนตัวและการดำเนินการเข้ารหัสที่เกี่ยวข้องจำนวนหนึ่งตามที่เกณฑ์ทั่วไปกำหนด . เส้นทางเริ่มต้นไปยังไฟล์เรียกทำงานที่เกี่ยวข้องกับบริการแยกคีย์ CNG คือ C:\ windows \ system32 \ lsass.exe
อธิบายการแยกคีย์ CNG
การแยกคีย์ CNG บริการทำงานเป็น LocalSystem ในกระบวนการที่ใช้ร่วมกัน (โฮสต์ใน LSA กระบวนการ). บริการจัดเก็บคีย์ที่มีอายุการใช้งานยาวนานเพื่อตรวจสอบสิทธิ์ผู้ใช้ในบริการ Winlogon ตัวอย่างเช่น บริการ CNG Key Isolation จะจัดเก็บคีย์เครือข่ายไร้สายหรือข้อมูลการเข้ารหัสที่จำเป็นสำหรับสมาร์ทการ์ด การดำเนินการทั้งหมดที่ดำเนินการโดยบริการแยกคีย์ CNG จะดำเนินการโดยปฏิบัติตามเกณฑ์ทั่วไป ข้อกำหนด
ในกรณีที่บริการ CNG Key Isolation ไม่สามารถโหลดหรือเริ่มต้นได้ ลักษณะการทำงานจะถูกบันทึกไว้ใน บันทึกเหตุการณ์ . โดยส่วนใหญ่ บริการไม่สามารถเริ่มต้นได้เนื่องจาก การเรียกขั้นตอนระยะไกล (RPC) บริการถูกบังคับให้หยุดหรือปิดใช้งาน หากบริการ CNG Key Isolation หยุดทำงาน Extensible Authentication Protocol (EAP) จะล้มเหลวในการเริ่มต้นและเริ่มต้นเมื่อเริ่มต้น
ดังที่คุณเห็นด้านล่าง บริการแยกคีย์ CNG แชร์ไฟล์ปฏิบัติการ (lsass.exe ) พร้อมบริการอื่นๆ อีกมากมาย
Lsass.exe คืออะไร
LSASS ย่อมาจาก Local Security Authority Subsystem Service . lsass.exe . ของแท้ เป็นส่วนประกอบซอฟต์แวร์ที่ถูกต้องตามกฎหมายของสภาพแวดล้อม Windows ไฟล์เรียกทำงานถือเป็นกระบวนการหลักของหน่วยงานท้องถิ่นซึ่งสร้างไว้ใน Windows ตำแหน่งเริ่มต้น os lsass.exe อยู่ใน C:\ Windows \ System 32 .
Lass.exe กระบวนการจัดการบริการตรวจสอบสิทธิ์หลักสี่ใน Windows:
- KeyIso (การแยกคีย์ CNG) – บริการรับรองความถูกต้องที่สำคัญที่สุดที่โฮสต์ในกระบวนการ LSA โดยให้การแยกกระบวนการคีย์ไปยังคีย์ส่วนตัวและการดำเนินการเข้ารหัสที่เกี่ยวข้อง
- EFS (ระบบไฟล์เข้ารหัส) – เทคโนโลยีการเข้ารหัสไฟล์หลักที่ใช้เป็นหลักในการจัดเก็บไฟล์ที่เข้ารหัสบนโวลุ่มระบบไฟล์ NTFS การหยุดบริการนี้จะป้องกันไม่ให้ระบบของคุณเข้าถึงไฟล์ที่เข้ารหัส
- SamSS (ผู้จัดการบัญชีความปลอดภัย) – วัตถุประสงค์หลักของบริการนี้คือเพื่อทำหน้าที่เป็นสัญญาณและส่งสัญญาณบริการอื่นๆ เมื่อผู้จัดการบัญชีความปลอดภัย (SAM) ก็พร้อมที่จะรับการร้องขอ การหยุดบริการนี้จะป้องกันไม่ให้บริการอื่นๆ ที่อาศัยตัวจัดการบัญชีความปลอดภัยได้รับแจ้ง ซึ่งจะสร้างเอฟเฟกต์ก้อนหิมะซึ่งจะทำให้บริการที่ต้องพึ่งพาอาศัยกันจำนวนมากล้มเหลวหรือเริ่มทำงานอย่างไม่ถูกต้อง
- นโยบาย IPSEC ในพื้นที่ – จัดการและเริ่มต้น ISAKMP/Oakley (IKE) และไดรเวอร์ความปลอดภัย IP ต่างๆ ใน Windows Server .
ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นกับ lsass.exe
ผู้ใช้ Windows บางรายพบว่าไฟล์สั่งการ Lsass ใช้ทรัพยากรระบบจำนวนมากและสงสัยว่า lsass.exe ว่าเป็นไวรัสหรือมัลแวร์ประเภทอื่น แม้ว่าสิ่งนี้จะเป็นไปได้อย่างแน่นอน แต่โอกาสที่สิ่งนี้จะเกิดขึ้นมีน้อย
อย่างไรก็ตาม มีไวรัส copy-cat ที่ทราบกันดีอยู่แล้วว่าทำให้ระบบติดเชื้อโดยการพรางตัวในไฟล์ปฏิบัติการ Lsass กระบวนการนี้คล้ายกัน แต่ไม่เหมือนกันกับ Local Security Authority Subsystem Service . ของแท้ . กระบวนการที่เป็นอันตรายมีชื่อว่า isass.exe ตรงข้ามกับกระบวนการที่ถูกต้องตามกฎหมายที่ชื่อว่า lsass.exe . หากคุณพบว่ากระบวนการเริ่มต้นด้วยทุน ฉัน แทนที่จะเป็นตัวพิมพ์เล็ก L , ระบบของคุณน่าจะติดไวรัส
คุณสามารถยืนยันทฤษฎีนี้ได้โดยตรวจสอบตำแหน่งของ lsass.exe โดยทั่วไป ถ้า Lsass ไฟล์เรียกทำงานอยู่ใน C:\ Windows \ System 32 คุณสามารถสันนิษฐานได้อย่างปลอดภัยว่าเป็นบริการระบบย่อยหน่วยงานความปลอดภัยในพื้นที่ . ในการทำสิ่งนี้ให้เปิด Task Manager (Ctrl + Shift + Esc ) และเลื่อนลงมาในรายการ Processes ไปที่ Local Security Authority Process คลิกขวาและเลือก เปิดตำแหน่งไฟล์ . หากกระบวนการไม่อยู่ในระบบ 32 คุณสามารถมั่นใจได้ว่าคุณกำลังเผชิญกับการติดมัลแวร์
“Isass.exe” เป็นไวรัสโทรจันที่มีคุณสมบัติการล็อกคีย์ที่รู้จักกันในชื่อ เวิร์ม Sasser ตระกูล. จุดประสงค์หลักคือการรวบรวมข้อมูลจากระบบของคุณอย่างเงียบๆ การลงทะเบียนทุก ๆ การกดแป้นที่คุณพิมพ์ ไวรัสได้รับการกำหนดค่าให้ไล่ตามชื่อผู้ใช้บัญชี รหัสผ่าน หมายเลขบัตรเครดิต และข้อมูลสำคัญอื่นๆ ที่ท้ายที่สุดแล้วจะใช้เพื่อผลประโยชน์ทางการเงินที่ผิดกฎหมาย
ไวรัสมีมาหลายปีแล้วและ Microsoft ได้ใช้มาตรการต่อต้านไวรัสแล้ว หากคุณพบว่าคุณติดไวรัส คุณสามารถใช้เครื่องมือกำจัดมัลแวร์ของ Microsoft เพื่อลบร่องรอยของเวิร์ม Sasser . หลังจากหลายเดือนของการแพร่ระบาดผู้ใช้ Windows 7 และ XP นับไม่ถ้วน Microsoft ได้แก้ไขช่องโหว่ที่ทำให้ไวรัสติดเครื่อง Windows ณ ตอนนี้ เป็นไปไม่ได้ที่จะติดเวิร์ม Sasser อีกต่อไป หากคุณมีการอัปเดตความปลอดภัยของ Windows ล่าสุด
ฉันควรปิดใช้บริการแยกคีย์ CNG หรือไม่
ไม่ บริการแยกคีย์ CNG เป็นกระบวนการของระบบที่สำคัญซึ่งจำเป็นต่อการจัดเก็บข้อมูลการเข้ารหัสอย่างปลอดภัย ไม่ควรใช้บริการ CNG Key Isolation (KeyISO) . ที่ถูกต้องตามกฎหมาย ควรปิดการใช้งานอย่างถาวร
การสิ้นสุดกระบวนการ lsass.exe ในตัวจัดการงานจะหยุดบริการแยกคีย์ CNG ด้วย แต่พึงระลึกไว้เสมอว่าสิ่งนี้อาจทำให้ระบบของคุณปิดตัวลงโดยเด็ดขาด เนื่องจากมันควบคุมส่วนที่สำคัญที่สุดของการเข้าสู่ระบบความปลอดภัย การแยกคีย์ CNG จึงเป็นฟังก์ชันที่สำคัญของ Windows
อย่างไรก็ตาม หากคุณสงสัยว่า บริการแยกคีย์ CNG ทำงานไม่ถูกต้องหรือก่อให้เกิดปัญหากับระบบของคุณ คุณสามารถลองเริ่มบริการใหม่ได้ ในการดำเนินการนี้ ให้เปิดหน้าต่างเรียกใช้ (แป้น Windows + R ) และพิมพ์ services.msc . จากนั้นกด Enter เพื่อเปิด บริการ หน้าต่าง
ใน บริการ หน้าต่าง เลื่อนลงไปที่ การแยกคีย์ CNG บริการ. คลิกขวาที่บริการแล้วเลือก รีสตาร์ท เพื่อบังคับให้มีการเริ่มต้นใหม่
หมายเหตุ: โปรดทราบว่าขึ้นอยู่กับว่าใช้บริการ CNG Key Isolation อยู่หรือไม่ คุณอาจพบการรีบูตระบบโดยไม่คาดคิด อย่าเริ่มบริการนี้ใหม่เว้นแต่คุณจะมีเหตุผลที่ถูกต้องในการทำเช่นนั้น