Was ist: CNG-Schlüsselisolierung (lsass.exe)
Der Dienst zur Schlüsselisolierung von CNG (Cryptographic Next Generation) stellt eine Schlüsselprozessisolation für private Schlüssel und eine Anzahl damit verbundener kryptografischer Operationen bereit, wie von den Common Criteria gefordert. Der Standardpfad zu der ausführbaren Datei, die dem Dienst CNG Key Isolation zugeordnet ist, lautet C: \ windows \ system32 \ lsass.exe.
CNG Schlüssel Isolation erklärt
Der CNG-Schlüsselisolationsdienst wird als lokales System in einem freigegebenen Prozess ausgeführt (im LSA- Prozess gehostet). Der Dienst speichert langlebige Schlüssel zur Authentifizierung von Benutzern im Winlogon-Dienst. Beispielsweise speichert der CNG-Schlüsselisolierungsdienst einen drahtlosen Netzwerkschlüssel oder die erforderlichen kryptografischen Informationen für eine Smartcard. Alle vom CNG-Schlüsselisolationsdienst ausgeführten Vorgänge werden gemäß den Common Criteria- Anforderungen ausgeführt.
Wenn der CNG Key Isolation Service nicht geladen oder initialisiert wird, wird das Verhalten im Ereignisprotokoll aufgezeichnet. In den meisten Fällen kann der Dienst nicht gestartet werden, da der RPC- Dienst (Remote Procedure Call) zwangsweise angehalten oder deaktiviert wird. Wenn der CNG Key Isolation Service beendet wird, kann das Extensible Authentication Protocol (EAP) beim Start nicht gestartet und initialisiert werden.
Wie Sie im Folgenden sehen werden, teilt der CNG-Schlüsselisolationsdienst eine ausführbare Datei ( lsass.exe ) mit mehreren anderen Diensten.
Was ist Lsass.exe?
LSASS steht für den Subsystemdienst der lokalen Sicherheitsbehörde . Die echte lsass.exe ist eine legitime Softwarekomponente der Windows-Umgebung. Die ausführbare Datei wird als Prozess für den Prozess der lokalen Systemverwaltung betrachtet, der in Windows integriert ist. Der Standardspeicherort os lsass.exe befindet sich in C: \ Windows \ System 32 .
Der Lass.exe- Prozess verarbeitet vier Hauptauthentifizierungsdienste in Windows:
- KeyIso (CNG Key Isolation) - Der wichtigste Authentifizierungsdienst, der im LSA-Prozess gehostet wird. Es bietet Schlüsselprozessisolation für private Schlüssel und zugehörige kryptografische Operationen.
- EFS (Encrypting File System) - Eine Kerndateiverschlüsselungstechnologie, die hauptsächlich zum Speichern von verschlüsselten Dateien auf NTFS-Dateisystemvolumes verwendet wird. Durch das Stoppen dieses Dienstes wird verhindert, dass Ihr System auf verschlüsselte Dateien zugreift.
- SamSS (Security Accounts Manager) - Der Hauptzweck dieses Dienstes besteht darin, als Beacon zu fungieren und andere Dienste zu signalisieren, wenn der Security Account Manager (SAM) bereit ist, Anforderungen zu empfangen. Durch das Stoppen dieses Dienstes wird verhindert, dass andere Dienste, die sich auf den Sicherheitskonto-Manager verlassen, benachrichtigt werden. Dadurch entsteht ein Schneeballeffekt, der dazu führt, dass viele abhängige Dienste fehlschlagen oder falsch starten.
- Lokale IPSEC-Richtlinie - Verwaltet ISAKMP / Oakley (IKE) und verschiedene IP-Sicherheitstreiber in Windows Server .
Mögliches Sicherheitsrisiko mit lsass.exe
Einige Windows-Benutzer stellen fest, dass die Lsass-Programmdatei viele Systemressourcen beansprucht und lsass.exe als Virus oder andere Art von Malware erkennt . Während dies sicherlich möglich ist, sind die Chancen dafür gering.
Es gibt jedoch einen bekannten Kopie-Katzen-Virus, von dem bekannt ist, dass er Systeme infiziert, indem er sich in die ausführbare Lsass-Datei tarnt. Der Prozess ist ähnlich, aber nicht identisch mit dem echten lokalen Sicherheitsautoritätssubsystemdienst . Der bösartige Prozess heißt isass.exe im Gegensatz zu dem legitimen Prozess namens lsass.exe . Wenn Sie feststellen, dass der Prozess mit einem Großbuchstabe I statt einem Kleinbuchstabe L beginnt, ist Ihr System wahrscheinlich infiziert.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klickenSie können diese Theorie bestätigen, indem Sie den Speicherort von lsass.exe überprüfen. Wenn sich die Lsass-Programmdatei in C: \ Windows \ System 32 befindet, können Sie davon ausgehen, dass es sich um den legitimen Subsystemdienst der lokalen Sicherheitsautorität handelt . Um dies zu tun, öffnen Sie den Task-Manager ( Strg + Umschalt + Esc ) und scrollen Sie in der Liste Prozesse nach Local Security Authority Process. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Dateispeicherort öffnen . Wenn sich der Prozess nicht in System 32 befindet, können Sie sicher sein, dass Sie mit einer Malware-Infektion zu tun haben.
Die Isass.exe ist ein Trojaner-Virus mit Keylogging-Eigenschaften, der Sasser- Wurmfamilie. Sein Hauptzweck besteht darin, Daten aus Ihrem System ruhig zu erfassen. Durch die Registrierung jedes von Ihnen eingegebenen Tastendrucks wird der Virus so konfiguriert, dass er Kontonutzernamen, Passwörter, Kreditkartennummern und andere vertrauliche Daten anwendet, die letztendlich für einen illegalen Gewinn verwendet werden.
Das Virus existiert schon seit mehreren Jahren und Microsoft hat bereits Maßnahmen dagegen ergriffen. Wenn Sie feststellen, dass Sie infiziert sind, können Sie das Tool zum Entfernen von Malware von Microsoft verwenden, um alle Spuren des Sasser-Wurms zu entfernen. Nach monatelangen Infizierung unzähliger Benutzer von Windows 7 und XP hat Microsoft die Sicherheitslücke gepatcht, durch die der Virus Windows-Computer infizieren konnte. Ab sofort ist es nicht mehr möglich, sich mit dem Sasser-Wurm zu infizieren, wenn Sie über die neuesten Windows-Sicherheitsupdates verfügen.
Sollte ich den CNG-Schlüsselisolierungsdienst deaktivieren?
Nein. Der CNG-Schlüsselisolierungsdienst ist ein kritischer Systemprozess, der zum sicheren Speichern von kryptografischen Informationen benötigt wird. Unter keinen Umständen sollte der legitime CNG Key Isolation Service (KeyISO) dauerhaft deaktiviert werden.
Durch das Beenden des Prozesses lsass.exe im Task-Manager wird auch der CNG-Schlüsselisolationsdienst beendet. Beachten Sie jedoch, dass dies dazu führen kann, dass Ihr System zwangsweise heruntergefahren wird. Da die CNG-Schlüsselisolation den wichtigsten Teil der Anmeldesicherheit steuert, ist sie eine wichtige Funktion von Windows.
Wenn Sie jedoch vermuten, dass der CNG-Schlüsselisolationsdienst nicht ordnungsgemäß funktioniert oder Probleme mit Ihrem System verursacht, können Sie versuchen, den Dienst neu zu starten. Öffnen Sie dazu ein Ausführungsfenster ( Windows-Taste + R ), und geben Sie services.msc ein . Drücken Sie dann die Eingabetaste, um das Fenster Dienste zu öffnen.
Führen Sie im Fenster Dienste einen Bildlauf zum CNG-Schlüsselisolierungsservice durch . Klicken Sie mit der rechten Maustaste auf den Dienst und wählen Sie Neu starten, um eine Neuinitiierung zu erzwingen.
Hinweis: Beachten Sie, dass abhängig davon, ob der Dienst CNG Key Isolation derzeit verwendet wird, möglicherweise ein unerwarteter Systemneustart auftritt. Starten Sie diesen Dienst nicht neu, es sei denn, Sie haben legitime Gründe dafür.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klicken