Wat is: CNG Key Isolation (lsass.exe)
De CNG (Cryptographic Next Generation) Key Isolation- service biedt de belangrijkste procesisolatie voor privésleutels en een aantal bijbehorende cryptografische bewerkingen zoals vereist door de Common Criteria . Het standaardpad naar het uitvoerbare bestand dat is gekoppeld aan de CNG Key Isolation-service is C: \ windows \ system32 \ lsass.exe.
CNG Key Isolation Explained
De CNG-sleutelisoleringsservice wordt als een LocalSystem uitgevoerd in een gedeeld proces (gehost in het LSA- proces). De service bewaart sleutels met een lange levensduur om gebruikers te authenticeren in de Winlogon-service. De CNG Key Isolation-service slaat bijvoorbeeld een draadloze netwerksleutel of de vereiste cryptografische informatie voor een smartcard op. Alle bewerkingen die door de CNG Key Isolation-service worden uitgevoerd, worden uitgevoerd volgens de Common Criteria- vereisten.
In het geval dat de CNG Key Isolation-service niet wordt geladen of geïnitialiseerd, wordt het gedrag vastgelegd in het gebeurtenislogboek . Meestal kan de service niet worden gestart omdat de Remote Procedure Call-service (RPC) met geweld wordt gestopt of uitgeschakeld. Als de CNG Key Isolation-service wordt gestopt, kan het Extensible Authentication Protocol (EAP) niet starten en initialiseren bij het opstarten.
Zoals je hieronder zult zien, deelt de CNG-sleutelisolatieservice een uitvoerbaar bestand ( lsass.exe ) met verschillende andere services.
Wat is Lsass.exe?
LSASS staat voor Local Security Authority Subsystem Service . De echte lsass.exe is een legitiem softwarecomponent onderdeel van de Windows-omgeving. Het uitvoerbare bestand wordt beschouwd als een kernsysteem van de lokale overheid dat is ingebouwd in Windows. De standaardlocatie os lsass.exe bevindt zich in C: \ Windows \ System 32 .
Het Lass.exe- proces verwerkt vier hoofdverificatieservices in Windows:
- KeyIso (CNG Key Isolation) - De belangrijkste verificatieservice die wordt gehost in het LSA-proces. Het biedt de belangrijkste procesisolatie voor privésleutels en bijbehorende cryptografische bewerkingen.
- EFS (Encrypting File System) - Een coderingstechnologie voor kernbestanden die voornamelijk wordt gebruikt om gecodeerde bestanden op NTFS-volumes van het bestandssysteem op te slaan. Als u deze service stopt, kan uw systeem geen toegang krijgen tot gecodeerde bestanden.
- SamSS (Security Accounts Manager) - Het belangrijkste doel van deze service is om te fungeren als een baken en andere services te signaleren wanneer de Security Account Manager (SAM) klaar is om verzoeken te ontvangen. Als u deze service stopt, kunnen andere services die afhankelijk zijn van de Security Account Manager, niet worden aangemeld. Dit zal een sneeuwbaleffect veroorzaken dat ervoor zorgt dat veel afhankelijke services falen of niet juist beginnen.
- Lokaal IPSEC-beleid : beheert en start de ISAKMP / Oakley (IKE) en verschillende IP-beveiligingsstuurprogramma's in Windows Server .
Potentieel beveiligingsrisico met lsass.exe
Sommige Windows-gebruikers vinden dat het uitvoerbare bestand van Lsass veel systeembronnen verbruikt en vermoedt dat lsass.exe een virus of een ander type malware is. Hoewel dit zeker mogelijk is, is de kans groot dat dit gebeurt.
Er is echter een bekend copy-cat-virus waarvan bekend is dat het systemen infecteert door te camoufleren in het uitvoerbare bestand Lsass. Het proces is vergelijkbaar, maar niet identiek aan de echte subsysteemservice van de lokale beveiligingsautoriteit . Het malitious proces heet isass.exe, in tegenstelling tot het legitieme proces dat lsass.exe heet. Als je merkt dat het proces begint met een hoofdletter I in plaats van een kleine letter L, is je systeem waarschijnlijk geïnfecteerd.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikkenU kunt deze theorie bevestigen door de locatie van lsass.exe te controleren. Over het algemeen kunt u, als het uitvoerbare bestand van Lsass zich bevindt in C: \ Windows \ System 32, ervan uitgaan dat dit de legitieme Subsysteemservice voor lokale beveiligingsautoriteiten is . Hiertoe opent u Taakbeheer ( Ctrl + Shift + Esc ) en bladert u omlaag in de lijst Processen naar Lokaal beveiligingsbeheer. Klik er met de rechtermuisknop op en kies Open bestandslocatie . Als het proces zich niet in Systeem 32 bevindt, kunt u er zeker van zijn dat u te maken krijgt met een malware-infectie.
De Isass.exe is een trojan-virus met keylogging-eigenschappen, de Sasser- wormfamilie. Het belangrijkste doel is om stilletjes gegevens van uw systeem te oogsten. Door elke toetsaanslag die u typt te registreren, wordt het virus geconfigureerd om gebruikersaccounts, wachtwoorden, creditcardnummers en andere gevoelige gegevens te gebruiken die uiteindelijk worden gebruikt voor onwettig financieel gewin.
Het virus bestaat al een aantal jaar en Microsoft heeft er al tegen opgetreden. Als u merkt dat u geïnfecteerd bent, kunt u de tool Microsoft Malware Removal gebruiken om sporen van de Sasser-worm te verwijderen. Na maandenlang talloze gebruikers van Windows 7 en XP te hebben geïnfecteerd, heeft Microsoft het beveiligingslek hersteld waardoor het virus Windows-computers kon infecteren. Vanaf nu is het niet langer mogelijk om besmet te raken met de Sasser-worm als je de nieuwste beveiligingsupdates voor Windows hebt.
Moet ik de CNG-sleutelisolatieservice uitschakelen?
Nee. De CNG-sleutelisolatieservice is een kritiek systeemproces dat nodig is om cryptografische informatie veilig op te slaan. In geen geval mag de legitieme CNG Key Isolation (KeyISO) -service permanent worden uitgeschakeld.
Het beëindigen van het lsass.exe-proces in Taakbeheer zal ook de CNG-sleutelisolatieservice stoppen. Maar houd er rekening mee dat dit ertoe kan leiden dat je systeem met geweld wordt afgesloten. Omdat het het belangrijkste onderdeel van de aanmeldingsbeveiliging bestuurt, is de CNG-sleutelisolatie een essentiële functie van Windows.
Als u vermoedt dat de CNG-sleutelisolatieservice niet naar behoren werkt of problemen veroorzaakt met uw systeem, kunt u proberen de service opnieuw te starten. Hiertoe opent u een venster Uitvoeren ( Windows-toets + R ) en typt u services.msc . Druk vervolgens op Enter om het venster Services te openen.
Blader in het venster Services omlaag naar de CNG Key Isolation- service. Klik met de rechtermuisknop op de service en kies Opnieuw opstarten om een re- initiatie te forceren.
Opmerking: Houd er rekening mee dat, afhankelijk van het feit of de CNG Key Isolation-service momenteel in gebruik is, u mogelijk onverwacht opnieuw opgestart wordt. Start deze service niet opnieuw op, tenzij u hierom legitieme redenen hebt.
PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken