การแยกคีย์ CNG (Cryptographic Next Generation) บริการให้การแยกกระบวนการที่สำคัญไปยังคีย์ส่วนตัวและการดำเนินการเข้ารหัสที่เกี่ยวข้องจำนวนหนึ่งตามที่ไฟล์ เกณฑ์ทั่วไป . เส้นทางเริ่มต้นไปยังไฟล์ปฏิบัติการที่เชื่อมโยงกับบริการการแยกคีย์ CNG คือ C: windows system32 lsass.exe
อธิบายการแยกคีย์ CNG
การแยกคีย์ CNG บริการทำงานเป็น LocalSystem ในกระบวนการที่ใช้ร่วมกัน (โฮสต์ในไฟล์ LSA กระบวนการ). บริการจัดเก็บคีย์ที่มีอายุการใช้งานยาวนานเพื่อรับรองความถูกต้องของผู้ใช้ในบริการ Winlogon ตัวอย่างเช่นบริการแยกคีย์ CNG จะจัดเก็บคีย์เครือข่ายไร้สายหรือข้อมูลการเข้ารหัสที่จำเป็นสำหรับสมาร์ทการ์ด การดำเนินการทั้งหมดที่ดำเนินการโดยบริการการแยกคีย์ CNG จะดำเนินการโดยทำตาม เกณฑ์ทั่วไป ข้อกำหนด
ในกรณีที่บริการแยกคีย์ CNG ไม่สามารถโหลดหรือเริ่มต้นได้พฤติกรรมจะถูกบันทึกไว้ในไฟล์ บันทึกเหตุการณ์ . โดยส่วนใหญ่บริการไม่สามารถเริ่มทำงานได้เนื่องจากไฟล์ การเรียกขั้นตอนระยะไกล (RPC) บริการถูกบังคับให้หยุดหรือปิดใช้งาน หากบริการแยกคีย์ CNG หยุดทำงานไฟล์ Extensible Authentication Protocol (EAP) จะไม่สามารถเริ่มต้นและเริ่มต้นเมื่อเริ่มต้น
ดังที่คุณจะได้เห็นด้านล่างนี้ บริการแยกคีย์ CNG แชร์ไฟล์ปฏิบัติการ ( lsass.exe ) พร้อมบริการอื่น ๆ อีกมากมาย
Lsass.exe คืออะไร
LSASS หมายถึง บริการระบบย่อยของ Local Security Authority . ของแท้ lsass.exe เป็นส่วนประกอบซอฟต์แวร์ที่ถูกต้องตามกฎหมายของระบบ Windows ปฏิบัติการถือได้ว่าเป็นกระบวนการหน่วยงานหลักของระบบภายในที่ติดตั้งไว้ใน Windows ระบบปฏิบัติการตำแหน่งเริ่มต้น lsass.exe อยู่ใน C: Windows System 32 .
Lass.exe กระบวนการจัดการบริการรับรองความถูกต้องหลักสี่ประการใน Windows:
- KeyIso (การแยกคีย์ CNG) - บริการตรวจสอบสิทธิ์ที่สำคัญที่สุดที่โฮสต์ในกระบวนการ LSA มีการแยกกระบวนการที่สำคัญไปยังคีย์ส่วนตัวและการดำเนินการเข้ารหัสที่เกี่ยวข้อง
- EFS (ระบบไฟล์การเข้ารหัส) - เทคโนโลยีการเข้ารหัสไฟล์หลักส่วนใหญ่ใช้ในการจัดเก็บไฟล์ที่เข้ารหัสในไดรฟ์ข้อมูลระบบไฟล์ NTFS การหยุดบริการนี้จะป้องกันไม่ให้ระบบของคุณเข้าถึงไฟล์ที่เข้ารหัส
- SamSS (ผู้จัดการบัญชีความปลอดภัย) - จุดประสงค์หลักของบริการนี้คือทำหน้าที่เป็นสัญญาณและส่งสัญญาณบริการอื่น ๆ เมื่อ ผู้จัดการบัญชีรักษาความปลอดภัย (SAM) พร้อมที่จะรับคำขอ การหยุดบริการนี้จะป้องกันไม่ให้บริการอื่น ๆ ที่อาศัย Security Account Manager ได้รับแจ้ง สิ่งนี้จะสร้างเอฟเฟกต์สโนว์บอลที่จะทำให้บริการที่ต้องพึ่งพาจำนวนมากล้มเหลวหรือเริ่มต้นไม่ถูกต้อง
- นโยบาย IPSEC ในพื้นที่ - จัดการและเริ่มไฟล์ ISAKMP / Oakley (IKE) และไดรเวอร์ความปลอดภัย IP ต่างๆใน Windows Server .
ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นกับ lsass.exe
ผู้ใช้ Windows บางรายพบว่าปฏิบัติการ Lsass ใช้ทรัพยากรระบบจำนวนมากและสงสัยว่า lsass.exe เป็นไวรัสหรือมัลแวร์ประเภทอื่น แม้ว่าจะเป็นไปได้อย่างแน่นอน แต่โอกาสที่สิ่งนี้จะเกิดขึ้นก็มีน้อย
อย่างไรก็ตามมีไวรัส Copy-cat ที่รู้จักกันดีว่าติดเชื้อในระบบโดยการพรางตัวเข้าไปในปฏิบัติการ Lsass กระบวนการคล้ายกัน แต่ไม่เหมือนกับของแท้ บริการระบบย่อยของ Local Security Authority . กระบวนการมุ่งร้ายมีชื่อว่า isass.exe, ตรงข้ามกับกระบวนการที่ถูกต้องตามชื่อ lsass.exe . หากคุณพบว่ากระบวนการเริ่มต้นด้วยเงินทุน ผม แทนที่จะเป็นตัวพิมพ์เล็ก ล ระบบของคุณอาจติดเชื้อ
คุณสามารถยืนยันทฤษฎีนี้ได้โดยตรวจสอบตำแหน่งของ lsass.exe โดยทั่วไปถ้าไฟล์ Lsass ปฏิบัติการอยู่ใน C: Windows System 32 คุณสามารถสรุปได้อย่างปลอดภัยว่าถูกต้องตามกฎหมาย บริการระบบย่อยของ Local Security Authority . ในการดำเนินการนี้ให้เปิดตัวจัดการงาน ( Ctrl + Shift + Esc ) และเลื่อนลงในรายการกระบวนการไปที่ กระบวนการรักษาความปลอดภัยในพื้นที่ คลิกขวาแล้วเลือก เปิดตำแหน่งไฟล์ . หากกระบวนการไม่อยู่ในระบบ 32 คุณสามารถมั่นใจได้ว่าคุณกำลังจัดการกับการติดมัลแวร์
“ Isass.exe” เป็นไวรัสโทรจันที่มีคุณสมบัติการล็อกคีย์ที่รู้จักกันในชื่อ หนอน Sasser ครอบครัว. จุดประสงค์หลักคือการเก็บเกี่ยวข้อมูลจากระบบของคุณอย่างเงียบ ๆ โดยการลงทะเบียนทุกการกดแป้นพิมพ์ที่คุณพิมพ์ไวรัสจะถูกกำหนดค่าให้ไปตามชื่อผู้ใช้บัญชีรหัสผ่านหมายเลขบัตรเครดิตและข้อมูลที่ละเอียดอ่อนอื่น ๆ ซึ่งท้ายที่สุดจะถูกใช้เพื่อผลประโยชน์ทางการเงินที่ผิดกฎหมาย
ไวรัสดังกล่าวมีมานานหลายปีแล้วและไมโครซอฟท์ได้ดำเนินมาตรการรับมือแล้ว หากคุณพบว่าคุณติดเชื้อคุณสามารถใช้ไฟล์ เครื่องมือกำจัดมัลแวร์ของ Microsoft เพื่อลบร่องรอยของไฟล์ หนอน Sasser . หลังจากหลายเดือนของการแพร่ระบาดของผู้ใช้ Windows 7 และ XP นับไม่ถ้วน Microsoft ได้แก้ไขช่องโหว่ที่ทำให้ไวรัสสามารถติดเครื่อง Windows ได้ ณ ตอนนี้คุณจะไม่สามารถติดไวรัส Sasser ได้อีกต่อไปหากคุณมีการอัปเดตความปลอดภัยล่าสุดของ Windows
ฉันควรปิดใช้งานบริการแยกคีย์ CNG หรือไม่
ไม่บริการแยกคีย์ CNG เป็นกระบวนการสำคัญของระบบที่จำเป็นในการจัดเก็บข้อมูลการเข้ารหัสอย่างปลอดภัย ภายใต้สถานการณ์ไม่ควรถูกต้องตามกฎหมาย บริการแยกคีย์ CNG (KeyISO) ควรปิดใช้งานอย่างถาวร
การสิ้นสุดกระบวนการ lsass.exe ในตัวจัดการงานจะหยุดบริการแยกคีย์ CNG ด้วย แต่โปรดทราบว่าสิ่งนี้อาจทำให้ระบบของคุณต้องปิดลงโดยการบังคับ เนื่องจากมันควบคุมส่วนที่สำคัญที่สุดของการเข้าสู่ระบบความปลอดภัยการแยกคีย์ CNG จึงเป็นหน้าที่สำคัญของ Windows
อย่างไรก็ตามหากคุณสงสัยว่าไฟล์ บริการแยกคีย์ CNG ทำงานไม่ถูกต้องหรือทำให้เกิดปัญหากับระบบของคุณคุณสามารถลองเริ่มบริการใหม่ได้ ในการดำเนินการนี้ให้เปิดหน้าต่าง Run ( คีย์ Windows + R ) และพิมพ์ services.msc . จากนั้นตี ป้อน เพื่อเปิดไฟล์ บริการ หน้าต่าง.
ใน บริการ เลื่อนลงไปที่ การแยกคีย์ CNG บริการ. คลิกขวาที่บริการจากนั้นเลือก เริ่มต้นใหม่ เพื่อบังคับให้เริ่มต้นใหม่
บันทึก: โปรดทราบว่าขึ้นอยู่กับว่าบริการแยกคีย์ CNG กำลังใช้งานอยู่คุณอาจพบการรีบูตระบบโดยไม่คาดคิด อย่าเริ่มบริการนี้ใหม่เว้นแต่คุณจะมีเหตุผลที่ถูกต้องในการทำเช่นนั้น
อ่าน 4 นาที
