Nedir: CNG Anahtar İzolasyonu (lsass.exe)

CNG (Kriptografik Yeni Nesil) Anahtar İzolasyon hizmeti, Özel Kriterler tarafından gereken özel anahtarlara ve ilişkili kriptografik işlemlere anahtar işlem yalıtımı sağlar. CNG Anahtar Yalıtım hizmetiyle ilişkili yürütülebilir dosyanın varsayılan yolu C: \ windows \ system32 \ lsass.exe'dir.

CNG Anahtar İzolasyon Açıklaması

CNG anahtar izolasyon hizmeti, paylaşılan bir süreçte ( LSA işleminde barındırılan) bir LocalSystem olarak çalışır. Hizmet, Winlogon hizmetindeki kullanıcıların kimliğini doğrulamak için uzun ömürlü anahtarları depolar. Örneğin, CNG Key Isolation servisi bir kablosuz ağ anahtarı veya bir akıllı kart için gerekli şifreleme bilgilerini depolar. CNG Anahtar İzolasyon hizmeti tarafından gerçekleştirilen tüm işlemler Ortak Kriterler gerekliliklerine göre gerçekleştirilir.

CNG Anahtar Yalıtım hizmetinin yüklenmemesi veya başlatılmaması durumunda, davranış Olay Günlüğüne kaydedilir. Uzaktan Prosedür Çağrısı (RPC) hizmeti zorla durdurulduğu veya devre dışı bırakıldığı için çoğu zaman hizmet başlamaz. CNG Anahtar Yalıtım Hizmeti durdurulmuşsa, Genişletilebilir Kimlik Doğrulama Protokolü (EAP) başlangıçta başlatılamıyor ve başlatılamıyor.

Aşağıda göreceğiniz gibi, CNG anahtar izolasyon hizmeti birkaç başka hizmet ile bir yürütülebilir ( lsass.exe ) paylaşır.

Lsass.exe dosyası nedir?

LSASS, Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti anlamına gelir. Orijinal lsass.exe, Windows ortamının yasal bir yazılım bileşeni parçasıdır. Yürütülebilir dosya, Windows'a yerleşik bir çekirdek sistem yerel yönetim süreci olarak kabul edilir. Varsayılan konum os lsass.exe, C: \ Windows \ System 32'dir .

Lass.exe işlemi Windows'daki dört ana kimlik doğrulama hizmetini işler:

  • KeyIso (CNG Key Isolation) - LSA işleminde barındırılan en önemli kimlik doğrulama hizmeti. Özel anahtarlara ve ilişkili kriptografik işlemlere anahtar işlem yalıtımı sağlar.
  • EFS (Şifreleme Dosya Sistemi) - Temel olarak, şifrelenmiş dosyaları NTFS dosya sistemi birimlerinde depolamak için kullanılan bir çekirdek dosya şifreleme teknolojisi. Bu hizmeti durdurmak, sisteminizin şifreli dosyalara erişmesini engeller.
  • SamSS (Güvenlik Hesapları Yöneticisi) - Bu servisin temel amacı, Güvenlik Hesap Yöneticisi (SAM) istekleri almaya hazır olduğunda bir işaret olarak hareket etmek ve diğer hizmetleri işaret etmektir. Bu hizmetin durdurulması, Güvenlik Hesap Yöneticisine güvenilen diğer hizmetlerin bildirilmesini engeller. Bu, birçok bağımlı hizmetin başarısız olmasına veya yanlış başlatılmasına neden olacak bir kartopu efekti yaratacaktır.
  • Yerel IPSEC İlkesi - Windows Server'da ISAKMP / Oakley (IKE) ve çeşitli IP güvenlik sürücülerini yönetir ve başlatır.

Lsass.exe ile Potansiyel Güvenlik Riski

Bazı Windows kullanıcıları, Lsass uygulamasının çok fazla sistem kaynağı tükettiğini ve lsass.exe dosyasını virüs veya başka türde bir kötü amaçlı yazılım olduğundan şüpheleniyor. Bu kesinlikle mümkün olsa da, bu olmanın şansı zayıftır.

Bununla birlikte, Lsass uygulamasına gizlenerek sistemleri enfekte ettiği bilinen bir kopya-kedi virüsü vardır. Süreç benzerdir, ancak gerçek Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti ile aynı değildir. Kötü işlem, lsass.exe adlı meşru işlemin aksine isass.exe olarak adlandırılır. Eğer işlemin, küçük harf L yerine bir başkent I ile başladığını görürseniz, sisteminiz muhtemelen enfekte olur.

PRO TIP: Sorun bilgisayarınız veya dizüstü bilgisayar / dizüstü bilgisayar ile yapılmışsa, depoları tarayabilen ve bozuk ve eksik dosyaları değiştirebilen Reimage Plus Yazılımı'nı kullanmayı denemeniz gerekir. Bu, çoğu durumda, sorunun sistem bozulmasından kaynaklandığı yerlerde çalışır. Reimage Plus'ı tıklayarak buraya tıklayarak indirebilirsiniz.

Lsass.exe dosyasının yerini kontrol ederek bu teoriyi doğrulayabilirsiniz. Genellikle, Lsass yürütülebilir dosyası C: \ Windows \ System 32'de bulunuyorsa, güvenli bir şekilde Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti olduğunu varsayabilirsiniz. Bunu yapmak için Görev Yöneticisi'ni ( Ctrl + Shift + Esc ) açın ve İşlemler listesinde Yerel Güvenlik Yetkilisi Süreci'ne ilerleyin . Sağ tıklayın ve Dosya konumunu aç'ı seçin. İşlem, Sistem 32'de bulunmuyorsa, kötü amaçlı bir bulaşma ile uğraştığınızdan emin olabilirsiniz.

Isass.exe, Sasser solucanı ailesini bilinen keylogging özelliklerine sahip bir trojan virüsüdür. Ana amacı sisteminizden verileri sessizce toplamaktır. Yazdığınız her tuşa kaydettiğinizde, virüs kullanıcı hesaplarından, parolalardan, kredi kartı numaralarından ve gayri meşru bir mali kazanç için en sonunda kullanılan diğer hassas verilerden sonra hareket edecek şekilde yapılandırılır.

Virüs birkaç yıldan beri var ve Microsoft zaten ona karşı önlemler aldı. Enfekte olduğunu tespit ederseniz, Sasser solucanının izlerini silmek için Microsoft Zararlı Yazılımları Kaldırma aracını kullanabilirsiniz. Aylar, sayısız Windows 7 ve XP kullanıcısına virüs bulaşmasından sonra, virüsün Windows makinelerini etkilemesine izin veren güvenlik açığını kapattı. Şu andan itibaren, en son Windows güvenlik güncellemelerine sahipseniz, Sasser solucanı ile enfekte olmak artık mümkün değil.

CNG anahtar izolasyon hizmetini devre dışı bırakmalı mıyım?

Hayır. CNG anahtar izolasyon hizmeti, kriptografik bilgileri güvenli bir şekilde saklamak için gerekli olan kritik bir sistem işlemidir. Hiçbir koşul altında meşru CNG Anahtar İzolasyonu (KeyISO) Hizmeti kalıcı olarak devre dışı bırakılmalıdır.

Görev Yöneticisi'nde lsass.exe işleminin sonlandırılması da CNG anahtar izolasyon hizmetini durduracaktır. Ancak, bunun sisteminizin zorla kapatılmasına neden olabileceğini unutmayın. Günlüğün güvenlik üzerindeki en önemli bölümünü kontrol ettiğinden, CNG tuş yalıtımı Windows'un önemli bir işlevidir.

Ancak, CNG anahtar izolasyon hizmetinin düzgün çalışmadığından veya sisteminizde sorunlara neden olduğundan şüpheleniyorsanız, hizmeti yeniden başlatmayı deneyebilirsiniz. Bunu yapmak için, bir Çalıştır penceresini ( Windows tuşu + R ) açın ve services.msc yazın . Ardından Hizmetler penceresini açmak için Enter tuşuna basın.

Hizmetler penceresinde, CNG Key Yalıtım hizmetine aşağı kaydırın. Servise sağ tıklayın ve ardından yeniden başlatmayı zorlamak için Yeniden Başlat'ı seçin.

Not: CNG Key Yalıtım hizmetinin şu anda kullanımda olup olmadığına bağlı olarak, beklenmedik bir sistemin yeniden başlatılmasıyla karşılaşabileceğinizi unutmayın. Bunun için geçerli nedenleriniz olmadıkça bu hizmeti yeniden başlatmayın.

PRO TIP: Sorun bilgisayarınız veya dizüstü bilgisayar / dizüstü bilgisayar ile yapılmışsa, depoları tarayabilen ve bozuk ve eksik dosyaları değiştirebilen Reimage Plus Yazılımı'nı kullanmayı denemeniz gerekir. Bu, çoğu durumda, sorunun sistem bozulmasından kaynaklandığı yerlerde çalışır. Reimage Plus'ı tıklayarak buraya tıklayarak indirebilirsiniz.

Facebook Twitter Google Plus Pinterest