ما هو: CNG Key Isolation (lsass.exe)

ال CNG (الجيل القادم للتشفير) عزل المفتاح توفر الخدمة عزل العملية الرئيسية للمفاتيح الخاصة وعددًا من عمليات التشفير المرتبطة بها كما هو مطلوب بواسطة معايير مشتركة . المسار الافتراضي للملف التنفيذي المرتبط بخدمة CNG Key Isolation هو C: windows system32 lsass.exe.

شرح عزل مفتاح CNG

ال عزل مفتاح CNG تعمل الخدمة كنظام محلي في عملية مشتركة (مستضافة في ملف LSA معالجة). تخزن الخدمة مفاتيح طويلة العمر لمصادقة المستخدمين في خدمة Winlogon. على سبيل المثال ، ستقوم خدمة CNG Key Isolation بتخزين مفتاح شبكة لاسلكية أو معلومات التشفير المطلوبة لبطاقة ذكية. يتم تنفيذ جميع العمليات التي يتم إجراؤها بواسطة خدمة CNG Key Isolation باتباع معايير مشتركة المتطلبات.

في حالة فشل تحميل خدمة CNG Key Isolation أو تهيئتها ، يتم تسجيل السلوك في ملف سجل الأحداث . في معظم الأحيان ، تفشل الخدمة في البدء لأن ملف استدعاء الإجراء البعيد (RPC) تم إيقاف الخدمة أو تعطيلها بالقوة. إذا توقفت خدمة CNG Key Isolation ، فإن ملف بروتوكول المصادقة الموسعة (EAP) ستفشل في البدء والتهيئة عند بدء التشغيل.

كما ستأتي لترى أدناه ، فإن خدمة عزل المفتاح CNG يشارك في ملف قابل للتنفيذ ( lsass.exe ) مع العديد من الخدمات الأخرى.

ما هو Lsass.exe؟

LSASS تمثل خدمة النظام الفرعي لسلطة الأمان المحلية . الأصيل lsass.exe هو أحد مكونات البرامج الشرعية في بيئة Windows. يعتبر الملف القابل للتنفيذ بمثابة عملية سلطة محلية للنظام الأساسي مضمنة في Windows. الموقع الافتراضي نظام التشغيل lsass.exe في داخل ج: Windows النظام 32 .

ال Lass.exe تتعامل العملية مع أربع خدمات مصادقة رئيسية في Windows:

• KeyIso (عزل مفتاح CNG) - أهم خدمة مصادقة مستضافة في عملية LSA. يوفر عزل العملية الرئيسية للمفاتيح الخاصة وعمليات التشفير المرتبطة بها.
• EFS (نظام تشفير الملفات) - تقنية تشفير ملفات أساسية تستخدم بشكل أساسي لتخزين الملفات المشفرة على وحدات تخزين نظام ملفات NTFS. سيؤدي إيقاف هذه الخدمة إلى منع نظامك من الوصول إلى الملفات المشفرة.
• SamSS (مدير حسابات الأمان) - الغرض الرئيسي من هذه الخدمة هو العمل كمنارة وإشارة للخدمات الأخرى عندما يكون مدير حساب الأمان (سام) جاهز لتلقي الطلبات. سيؤدي إيقاف هذه الخدمة إلى منع إخطار الخدمات الأخرى التي تعتمد على مدير حساب الأمان. سيؤدي هذا إلى إنشاء تأثير كرة الثلج الذي سيؤدي إلى فشل الكثير من الخدمات التابعة أو البدء بشكل غير صحيح.
• سياسة IPSEC المحلية - يدير ويبدأ ملف ISAKMP / أوكلي (IKE) والعديد من برامج تشغيل أمان IP في مشغل برامج وندوز .

مخاطر الأمان المحتملة مع lsass.exe

يجد بعض مستخدمي Windows أن ملف Lsass القابل للتنفيذ يستهلك الكثير من موارد النظام ويشتبه فيه lsass.exe من الفيروسات أو أي نوع آخر من البرامج الضارة. في حين أن هذا ممكن بالتأكيد ، فإن فرص حدوث ذلك ضئيلة.

ومع ذلك ، هناك فيروس نسخ معروف معروف بإصابة الأنظمة عن طريق التمويه في ملف Lsass القابل للتنفيذ. العملية مماثلة ، لكنها ليست مطابقة للعملية الحقيقية خدمة النظام الفرعي لسلطة الأمان المحلية . يتم تسمية العملية الخبيثة isass.exe ، على عكس العملية الشرعية التي تم تسميتها lsass.exe . إذا وجدت أن العملية تبدأ برأس مال أنا بدلاً من الأحرف الصغيرة إل ، من المحتمل أن يكون نظامك مصابًا.

يمكنك تأكيد هذه النظرية عن طريق التحقق من موقع lsass.exe. بشكل عام ، إذا كان لساس يقع الملف التنفيذي في ج: Windows النظام 32 ، يمكنك أن تفترض بأمان أنها شرعية خدمة النظام الفرعي لسلطة الأمان المحلية . للقيام بذلك ، افتح مدير المهام ( Ctrl + Shift + Esc ) وانتقل لأسفل في قائمة العمليات إلى عملية سلطة الأمان المحلية. انقر بزر الماوس الأيمن فوقه واختر افتح مكان ملف . إذا لم تكن العملية موجودة في النظام 32 ، فيمكنك التأكد من أنك تتعامل مع إصابة بالبرامج الضارة.

ال 'Isass.exe' هو فيروس طروادة بخصائص تدوين المفاتيح المعروفة باسم دودة ساسر أسرة. والغرض الرئيسي منه هو جمع البيانات بهدوء من نظامك. من خلال تسجيل كل ضغطة مفتاح تكتبها ، يتم تكوين الفيروس لملاحقة أسماء مستخدمي الحساب وكلمات المرور وأرقام بطاقات الائتمان وأي بيانات حساسة أخرى تُستخدم في النهاية لتحقيق مكاسب مالية غير مشروعة.

كان الفيروس موجودًا منذ عدة سنوات وقد اتخذت Microsoft بالفعل إجراءات ضده. إذا وجدت أنك مصاب ، يمكنك استخدام أداة إزالة البرامج الضارة من Microsoft لإزالة أي آثار من دودة ساسر . بعد أشهر من إصابة عدد لا يحصى من مستخدمي Windows 7 و XP ، قامت Microsoft بتصحيح الثغرة الأمنية التي سمحت للفيروس بإصابة أجهزة Windows. اعتبارًا من الآن ، لم يعد من الممكن الإصابة بفيروس Sasser إذا كان لديك آخر تحديثات أمان Windows.

هل يجب علي تعطيل خدمة عزل المفتاح CNG؟

لا ، إن خدمة عزل المفاتيح CNG هي عملية نظام مهمة ضرورية لتخزين معلومات التشفير بشكل آمن. لا يجوز تحت أي ظرف من الظروف الشرعية خدمة عزل المفتاح CNG (KeyISO) يجب تعطيله بشكل دائم.

سيؤدي إنهاء عملية lsass.exe في 'إدارة المهام' أيضًا إلى إيقاف خدمة عزل المفتاح CNG. لكن ضع في اعتبارك أن هذا قد يتسبب في إغلاق نظامك بالقوة. نظرًا لأنه يتحكم في الجزء الأكثر أهمية في أمان تسجيل الدخول ، فإن عزل مفتاح CNG يعد وظيفة أساسية لنظام Windows.

ومع ذلك ، إذا كنت تشك في أن ملف خدمة عزل المفتاح CNG لا يعمل بشكل صحيح أو يسبب مشاكل في نظامك ، يمكنك محاولة إعادة تشغيل الخدمة. للقيام بذلك ، افتح نافذة Run ( مفتاح Windows + R. ) واكتب services.msc . ثم اضغط أدخل لفتح ملف خدمات نافذة او شباك.

في ال خدمات نافذة ، قم بالتمرير لأسفل إلى ملف عزل مفتاح CNG الخدمات. انقر بزر الماوس الأيمن فوق الخدمة ثم اختر إعادة بدء لفرض إعادة التهيئة.

ملحوظة: ضع في اعتبارك أنه بناءً على ما إذا كانت خدمة CNG Key Isolation قيد الاستخدام حاليًا ، فقد تواجه إعادة تشغيل غير متوقعة للنظام. لا تقم بإعادة تشغيل هذه الخدمة إلا إذا كانت لديك أسباب مشروعة للقيام بذلك.