Apa itu: CNG Key Isolation (lsass.exe)
Layanan Isolasi Kunci CNG (Cryptographic Next Generation) menyediakan isolasi proses kunci untuk kunci privat dan sejumlah operasi kriptografi terkait seperti yang dipersyaratkan oleh Kriteria Umum . Jalur default ke executable yang terkait dengan layanan Isolasi Kunci CNG adalah C: \ windows \ system32 \ lsass.exe.
Penjelasan Kunci CNG Dijelaskan
Layanan isolasi kunci CNG berjalan sebagai LocalSystem dalam proses bersama (di-host dalam proses LSA ). Layanan menyimpan kunci berumur panjang untuk mengotentikasi pengguna di layanan Winlogon. Sebagai contoh, layanan Isolasi Kunci CNG akan menyimpan kunci jaringan nirkabel atau informasi kriptografi yang diperlukan untuk kartu pintar. Semua operasi yang dilakukan oleh layanan Isolasi Kunci CNG dilakukan dengan mengikuti persyaratan Common Criteria .
Dalam hal layanan Isolasi Kunci CNG gagal memuat atau menginisialisasi, perilaku dicatat dalam Log Peristiwa . Sebagian besar waktu, layanan gagal untuk memulai karena layanan Remote Procedure Call (RPC) dihentikan atau dinonaktifkan secara paksa. Jika layanan Isolasi Kunci CNG dihentikan, Protokol Otentikasi Extensible (EAP) akan gagal untuk memulai dan menginisialisasi saat startup.
Seperti yang akan Anda lihat di bawah ini, layanan isolasi kunci CNG berbagi file executable ( lsass.exe ) dengan beberapa layanan lain.
Apa itu Lsass.exe?
LSASS adalah singkatan dari Local Security Authority Subsystem Service . The lsass.exe asli adalah bagian komponen perangkat lunak yang sah dari lingkungan Windows. Eksekusi dianggap sebagai proses sistem otoritas lokal inti yang dibangun ke Windows. Lokasi default os lsass.exe ada di C: \ Windows \ System 32 .
Proses Lass.exe menangani empat layanan otentikasi utama di Windows:
- KeyIso (CNG Key Isolation) - Layanan otentikasi paling penting yang di-host dalam proses LSA. Ini menyediakan isolasi proses kunci untuk kunci pribadi dan operasi kriptografi terkait.
- EFS (Encrypting File System) - Teknologi enkripsi file inti terutama digunakan untuk menyimpan file terenkripsi pada volume sistem file NTFS. Menghentikan layanan ini akan mencegah sistem Anda mengakses file yang dienkripsi.
- SamSS (Security Accounts Manager) - Tujuan utama layanan ini adalah bertindak sebagai suar dan sinyal layanan lain ketika Security Account Manager (SAM) siap menerima permintaan. Menghentikan layanan ini akan mencegah layanan lain yang mengandalkan Pengelola Akun Keamanan agar tidak diberitahukan. Ini akan menciptakan efek bola salju yang akan menyebabkan banyak layanan tergantung gagal atau mulai salah.
- Kebijakan IPSEC Lokal - Mengatur dan menjalankan ISAKMP / Oakley (IKE) dan berbagai driver keamanan IP di Windows Server .
Potensi Keamanan Risiko dengan lsass.exe
Beberapa pengguna Windows menemukan bahwa Lsass executable mengkonsumsi banyak sumber daya sistem dan mencurigai lsass.exe sebagai virus atau jenis malware lainnya. Meskipun ini mungkin, kemungkinan hal ini terjadi sangat tipis.
Namun, ada virus copy-cat yang dikenal telah menginfeksi sistem dengan menyamar menjadi executable Lsass. Prosesnya serupa, tetapi tidak identik dengan Layanan Subsistem Otoritas Keamanan Lokal yang asli. Proses malitious bernama isass.exe, sebagai lawan dari proses yang sah yang bernama lsass.exe . Jika Anda menemukan bahwa prosesnya dimulai dengan modal saya bukannya L huruf kecil, sistem Anda mungkin terinfeksi.
TIP PRO: Jika masalahnya ada pada komputer Anda atau laptop / notebook, Anda harus mencoba menggunakan Perangkat Lunak Reimage Plus yang dapat memindai repositori dan mengganti file yang rusak dan hilang. Ini berfungsi dalam banyak kasus, di mana masalah ini berasal karena sistem yang rusak. Anda dapat mengunduh Reimage Plus dengan Mengklik di SiniAnda dapat mengkonfirmasi teori ini dengan memeriksa lokasi lsass.exe. Secara umum, jika eksekusi Lsass terletak di C: \ Windows \ System 32, Anda dapat dengan aman berasumsi bahwa itu adalah Layanan Subsistem Otoritas Keamanan Lokal yang sah. Untuk melakukan ini, buka Task Manager ( Ctrl + Shift + Esc ) dan gulir ke bawah dalam daftar Proses ke Proses Otoritas Keamanan Lokal. Klik kanan padanya dan pilih Buka lokasi file . Jika prosesnya tidak terletak di Sistem 32, Anda dapat yakin bahwa Anda berurusan dengan infeksi malware.
The Isass.exe adalah virus trojan dengan sifat keylogging yang dikenal dengan keluarga cacing Sasser . Tujuan utamanya adalah untuk secara diam-diam memanen data dari sistem Anda. Dengan mendaftarkan setiap ketikan yang Anda ketikkan, virus dikonfigurasikan untuk pergi setelah nama pengguna akun, kata sandi, nomor kartu kredit dan data sensitif lainnya yang pada akhirnya digunakan untuk keuntungan finansial yang tidak sah.
Virus telah ada selama beberapa tahun dan Microsoft telah mengambil langkah-langkah untuk melawannya. Jika Anda menemukan bahwa Anda terinfeksi, Anda dapat menggunakan alat Penghapusan Malware Microsoft untuk menghapus jejak cacing Sasser . Setelah berbulan-bulan menginfeksi pengguna Windows 7 dan XP yang tak terhitung jumlahnya, Microsoft telah menambal kerentanan yang memungkinkan virus menginfeksi komputer Windows. Sampai sekarang, tidak mungkin terinfeksi dengan Sasser worm jika Anda memiliki pembaruan keamanan Windows terbaru.
Haruskah saya menonaktifkan layanan isolasi kunci CNG?
Tidak. Layanan isolasi kunci CNG adalah proses sistem penting yang diperlukan untuk menyimpan informasi kriptografi secara aman. Dalam keadaan apa pun, Layanan Layanan Isolasi Kunci CNG (KeyISO) sah harus dinonaktifkan secara permanen.
Mengakhiri proses lsass.exe di Task Manager juga akan menghentikan layanan isolasi kunci CNG. Namun perlu diingat bahwa ini dapat menyebabkan sistem Anda untuk ditutup secara paksa. Karena ia mengontrol bagian terpenting dari log on security, isolasi kunci CNG adalah fungsi penting dari Windows.
Namun, jika Anda menduga bahwa layanan isolasi kunci CNG tidak berfungsi dengan benar atau menyebabkan masalah dengan sistem Anda, Anda dapat mencoba untuk memulai ulang layanan. Untuk melakukan ini, buka jendela Run ( tombol Windows + R ) dan ketik services.msc . Kemudian, tekan Enter untuk membuka jendela Layanan .
Di jendela Layanan, gulir ke bawah ke layanan Isolasi Kunci CNG . Klik kanan pada layanan dan kemudian pilih Restart untuk memaksa reinitiation.
Catatan: Perlu diingat bahwa tergantung apakah layanan Isolasi Kunci CNG saat ini digunakan, Anda mungkin mengalami reboot sistem yang tidak terduga. Jangan memulai ulang layanan ini kecuali Anda memiliki alasan yang sah untuk melakukannya.
TIP PRO: Jika masalahnya ada pada komputer Anda atau laptop / notebook, Anda harus mencoba menggunakan Perangkat Lunak Reimage Plus yang dapat memindai repositori dan mengganti file yang rusak dan hilang. Ini berfungsi dalam banyak kasus, di mana masalah ini berasal karena sistem yang rusak. Anda dapat mengunduh Reimage Plus dengan Mengklik di Sini