그만큼 CNG (Cryptographic Next Generation) 키 격리 서비스는 개인 키에 대한 키 프로세스 격리 및 여러 관련 암호화 작업을 제공합니다. 공통 기준 . CNG 키 격리 서비스와 연결된 실행 파일의 기본 경로는 다음과 같습니다. C : windows system32 lsass.exe.
CNG 키 격리 설명
그만큼 CNG 키 격리 서비스는 공유 프로세스에서 LocalSystem으로 실행됩니다 ( LSA 방법). 서비스는 Winlogon 서비스에서 사용자를 인증하기 위해 수명이 긴 키를 저장합니다. 예를 들어 CNG 키 격리 서비스는 무선 네트워크 키 또는 스마트 카드에 필요한 암호화 정보를 저장합니다. CNG 키 격리 서비스에서 수행하는 모든 작업은 다음과 같이 수행됩니다. 공통 기준 요구 사항.
CNG 키 격리 서비스가로드 또는 초기화에 실패하는 경우 해당 동작은 이벤트 로그 . 대부분의 경우 서비스가 시작되지 않습니다. 원격 프로 시저 호출 (RPC) 서비스가 강제로 중지되거나 비활성화되었습니다. CNG 키 격리 서비스가 중지되면 확장 가능한 인증 프로토콜 (EAP)는 시작시 시작 및 초기화되지 않습니다.
아래에서 볼 수 있듯이 CNG 키 격리 서비스 실행 파일 ( lsass.exe ) 다른 여러 서비스와 함께.
Lsass.exe 란 무엇입니까?
LSASS 약자 로컬 보안 기관 하위 시스템 서비스 . 정품 lsass.exe Windows 환경의 합법적 인 소프트웨어 구성 요소입니다. 실행 파일은 Windows에 내장 된 핵심 시스템 로컬 권한 프로세스로 간주됩니다. 기본 위치 os lsass.exe 에 C : Windows 시스템 32 .
그만큼 Lass.exe 프로세스는 Windows에서 네 가지 주요 인증 서비스를 처리합니다.
- KeyIso (CNG 키 격리) – LSA 프로세스에서 호스팅되는 가장 중요한 인증 서비스. 개인 키 및 관련 암호화 작업에 키 프로세스 격리를 제공합니다.
- EFS (암호화 파일 시스템) – NTFS 파일 시스템 볼륨에 암호화 된 파일을 저장하는 데 주로 사용되는 핵심 파일 암호화 기술. 이 서비스를 중지하면 시스템에서 암호화 된 파일에 액세스 할 수 없습니다.
- SamSS (보안 계정 관리자) –이 서비스의 주요 목적은 비콘 역할을하고 다른 서비스에 신호를 보내는 것입니다. 보안 계정 관리자 (SAM) 요청을받을 준비가되었습니다. 이 서비스를 중지하면 보안 계정 관리자를 사용하는 다른 서비스가 알림을받지 못합니다. 이렇게하면 많은 종속 서비스가 실패하거나 잘못 시작되는 눈덩이 효과가 생성됩니다.
- 로컬 IPSEC 정책 – 관리 및 시작 ISAKMP / Oakley (IKE) 다양한 IP 보안 드라이버 Windows 서버 .
lsass.exe의 잠재적 보안 위험
일부 Windows 사용자는 Lsass 실행 파일이 많은 시스템 리소스를 소비하고 lsass.exe 바이러스 또는 다른 유형의 멀웨어입니다. 이것이 확실히 가능하지만, 이런 일이 일어날 가능성은 희박합니다.
그러나 Lsass 실행 파일로 위장하여 시스템을 감염시키는 것으로 알려진 복제 고양이 바이러스가 있습니다. 프로세스는 유사하지만 정품과 동일하지는 않습니다. 로컬 보안 기관 하위 시스템 서비스 . 악의적 인 과정은 isass.exe, 명명 된 합법적 인 프로세스와 반대로 lsass.exe . 프로세스가 자본으로 시작되는 경우 나는 소문자 대신 엘 , 시스템이 감염되었을 수 있습니다.
lsass.exe의 위치를 확인하여이 이론을 확인할 수 있습니다. 일반적으로 Lsass 실행 파일은 C : Windows 시스템 32 , 합법적이라고 가정 할 수 있습니다. 로컬 보안 기관 하위 시스템 서비스 . 이렇게하려면 작업 관리자 ( Ctrl + Shift + Esc ) 프로세스 목록에서 아래로 스크롤하여 로컬 보안 기관 프로세스. 마우스 오른쪽 버튼으로 클릭하고 파일 위치 열기 . 프로세스가 System 32에없는 경우 맬웨어 감염을 처리하고 있는지 확인할 수 있습니다.
그만큼 “Isass.exe” 키 로깅 속성이 알려진 트로이 목마 바이러스입니다. Sasser 웜 가족. 주요 목적은 시스템에서 조용히 데이터를 수집하는 것입니다. 입력하는 모든 키 입력을 등록함으로써 바이러스는 궁극적으로 불법적 인 금전적 이득을 위해 사용되는 계정 사용자 이름, 암호, 신용 카드 번호 및 기타 중요한 데이터를 추적하도록 구성됩니다.
이 바이러스는 수년 동안 존재했으며 Microsoft는 이미 이에 대한 조치를 취했습니다. 감염된 것으로 확인되면 다음을 사용할 수 있습니다. Microsoft 맬웨어 제거 도구 흔적을 제거하려면 Sasser 웜 . 수개월 동안 수많은 Windows 7 및 XP 사용자를 감염시킨 후 Microsoft는 바이러스가 Windows 시스템을 감염시킬 수있는 취약점을 패치했습니다. 현재로서는 최신 Windows 보안 업데이트가있는 경우 더 이상 Sasser 웜에 감염 될 수 없습니다.
CNG 키 격리 서비스를 사용 중지해야하나요?
아니요. CNG 키 격리 서비스는 암호화 정보를 안전하게 저장하는 데 필요한 중요한 시스템 프로세스입니다. 어떤 상황에서도 합법적 인 CNG 키 격리 (KeyISO) 서비스 영구적으로 비활성화되어야합니다.
작업 관리자에서 lsass.exe 프로세스를 종료하면 CNG 키 격리 서비스도 중지됩니다. 그러나 이로 인해 시스템이 강제로 종료 될 수 있습니다. 로그온 보안에서 가장 중요한 부분을 제어하므로 CNG 키 격리는 Windows의 필수 기능입니다.
그러나 의심되는 경우 CNG 키 격리 서비스 제대로 작동하지 않거나 시스템에 문제를 일으키는 경우 서비스를 다시 시작할 수 있습니다. 이렇게하려면 실행 창 ( Windows 키 + R ) 및 유형 services.msc . 그런 다음 시작하다 열다 서비스 창문.
에서 서비스 창에서 아래로 스크롤하여 CNG 키 격리 서비스. 서비스를 마우스 오른쪽 버튼으로 클릭 한 다음 재시작 재개를 강요합니다.
노트 : CNG 키 격리 서비스가 현재 사용 중인지 여부에 따라 예기치 않은 시스템 재부팅이 발생할 수 있습니다. 정당한 이유가없는 한이 서비스를 다시 시작하지 마십시오.
4 분 읽기
