सीएनजी (क्रिप्टोग्राफिक अगली पीढ़ी) कुंजी अलगाव service निजी कुंजियों और सामान्य मानदंड द्वारा आवश्यक के रूप में कई संबद्ध क्रिप्टोग्राफ़िक संचालन के लिए महत्वपूर्ण प्रक्रिया अलगाव प्रदान करती है . सीएनजी कुंजी अलगाव सेवा से जुड़े निष्पादन योग्य के लिए डिफ़ॉल्ट पथ है C:\ windows \ system32 \ lsass.exe.
सीएनजी कुंजी अलगाव समझाया गया
सीएनजी कुंजी अलगाव सेवा एक साझा प्रक्रिया में लोकल सिस्टम के रूप में चलती है (LSA . में होस्ट की जाती है) प्रक्रिया)। Winlogon सेवा में उपयोगकर्ताओं को प्रमाणित करने के लिए सेवा लंबे समय तक चलने वाली कुंजियों को संग्रहीत करती है। उदाहरण के लिए, CNG Key Isolation सेवा एक वायरलेस नेटवर्क कुंजी या स्मार्ट कार्ड के लिए आवश्यक क्रिप्टोग्राफ़िक जानकारी संग्रहीत करेगी। CNG Key Isolation सेवा द्वारा किए गए सभी ऑपरेशन सामान्य मानदंड का पालन करके किए जाते हैं आवश्यकताएँ।
उस स्थिति में जब सीएनजी कुंजी आइसोलेशन सेवा लोड या प्रारंभ करने में विफल हो जाती है, व्यवहार को इवेंट लॉग में रिकॉर्ड किया जाता है . अधिकांश समय, सेवा प्रारंभ करने में विफल रहती है क्योंकि दूरस्थ प्रक्रिया कॉल (RPC) सेवा को जबरन बंद या अक्षम कर दिया गया है। यदि CNG कुंजी आइसोलेशन सेवा रोक दी जाती है, तो एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) स्टार्टअप पर प्रारंभ और प्रारंभ करने में विफल रहेगा।
जैसा कि आप नीचे देखेंगे, सीएनजी कुंजी आइसोलेशन सेवा निष्पादन योग्य साझा करता है (lsass.exe ) कई अन्य सेवाओं के साथ।
Lsass.exe क्या है?
एलएसएएसएस स्थानीय सुरक्षा प्राधिकरण सबसिस्टम सेवा के लिए खड़ा है . असली lsass.exe विंडोज वातावरण का एक वैध सॉफ्टवेयर घटक हिस्सा है। निष्पादन योग्य को कोर सिस्टम स्थानीय प्राधिकरण प्रक्रिया के रूप में माना जाता है जिसे विंडोज़ में बनाया गया है। डिफ़ॉल्ट स्थान ओएस lsass.exe C:\ Windows \ System 32 . में है ।
Lass.exe विंडोज़ में प्रक्रिया चार मुख्य प्रमाणीकरण सेवाओं को संभालती है:
- KeyIso (CNG Key Isolation) - एलएसए प्रक्रिया में होस्ट की जाने वाली सबसे महत्वपूर्ण प्रमाणीकरण सेवा। यह निजी कुंजी और संबंधित क्रिप्टोग्राफ़िक संचालन के लिए महत्वपूर्ण प्रक्रिया अलगाव प्रदान करता है।
- EFS (फाइल सिस्टम को एन्क्रिप्ट करना) - एक कोर फाइल एन्क्रिप्शन तकनीक मुख्य रूप से एनटीएफएस फाइल सिस्टम वॉल्यूम पर एन्क्रिप्टेड फाइलों को स्टोर करने के लिए उपयोग की जाती है। इस सेवा को रोकने से आपका सिस्टम एन्क्रिप्टेड फ़ाइलों तक पहुंचने से रोकेगा।
- सैमएसएस (सुरक्षा खाता प्रबंधक) - इस सेवा का मुख्य उद्देश्य एक बीकन के रूप में कार्य करना और अन्य सेवाओं को संकेत देना है जब सुरक्षा खाता प्रबंधक (एसएएम) अनुरोध प्राप्त करने के लिए तैयार है। इस सेवा को रोकने से सुरक्षा खाता प्रबंधक पर निर्भर अन्य सेवाओं को अधिसूचित होने से रोका जा सकेगा। यह एक स्नोबॉल प्रभाव पैदा करेगा जिससे बहुत सारी निर्भर सेवाएं विफल हो जाएंगी या गलत तरीके से शुरू हो जाएंगी।
- स्थानीय IPSEC नीति - ISAKMP/Oakley (IKE) का प्रबंधन और प्रारंभ करता है और Windows सर्वर . में विभिन्न IP सुरक्षा ड्राइवर ।
lsass.exe के साथ संभावित सुरक्षा जोखिम
कुछ विंडोज़ उपयोगकर्ता पाते हैं कि Lsass निष्पादन योग्य सिस्टम संसाधनों की बहुत अधिक खपत करता है और lsass.exe पर संदेह करता है। वायरस या किसी अन्य प्रकार के मैलवेयर होने के कारण। हालांकि यह निश्चित रूप से संभव है, ऐसा होने की संभावना बहुत कम है।
हालांकि, एक ज्ञात कॉपी-कैट वायरस है जिसे Lsass निष्पादन योग्य में छलावरण करके सिस्टम को संक्रमित करने के लिए जाना जाता है। प्रक्रिया समान है, लेकिन वास्तविक के समान नहीं है स्थानीय सुरक्षा प्राधिकरण सबसिस्टम सेवा . दुर्भावनापूर्ण प्रक्रिया का नाम है isass.exe, lsass.exe . नाम की वैध प्रक्रिया के विपरीत . यदि आप पाते हैं कि प्रक्रिया एक पूंजी से शुरू होती है I लोअर केस के बजाय L , आपका सिस्टम संभवतः संक्रमित है।
आप lsass.exe के स्थान की जाँच करके इस सिद्धांत की पुष्टि कर सकते हैं। आम तौर पर, अगर Lsass निष्पादन योग्य C:\ Windows \ System 32 . में स्थित है , आप सुरक्षित रूप से मान सकते हैं कि यह वैध स्थानीय सुरक्षा प्राधिकरण सबसिस्टम सेवा . है . ऐसा करने के लिए कार्य प्रबंधक खोलें (Ctrl + Shift + Esc ) और प्रक्रियाओं की सूची में स्थानीय सुरक्षा प्राधिकरण प्रक्रिया तक स्क्रॉल करें। उस पर राइट-क्लिक करें और फ़ाइल स्थान खोलें चुनें . यदि प्रक्रिया सिस्टम 32 में स्थित नहीं है, तो आप सुनिश्चित हो सकते हैं कि आप मैलवेयर संक्रमण से निपट रहे हैं।
“Isass.exe” कीलॉगिंग गुणों वाला एक ट्रोजन वायरस है जिसे सैसर वर्म . के नाम से जाना जाता है परिवार। इसका मुख्य उद्देश्य आपके सिस्टम से चुपचाप डेटा प्राप्त करना है। आपके द्वारा टाइप किए जाने वाले प्रत्येक कीस्ट्रोक को पंजीकृत करके, वायरस को खाता उपयोगकर्ता नाम, पासवर्ड, क्रेडिट कार्ड नंबर और किसी भी अन्य संवेदनशील डेटा के बाद जाने के लिए कॉन्फ़िगर किया जाता है जो अंततः एक नाजायज वित्तीय लाभ के लिए उपयोग किया जाता है।
यह वायरस लगभग कई वर्षों से है और Microsoft इसके खिलाफ पहले ही कदम उठा चुका है। यदि आप पाते हैं कि आप संक्रमित हैं, तो आप Sasser worm के किसी भी निशान को हटाने के लिए Microsoft मालवेयर रिमूवल टूल का उपयोग कर सकते हैं। . अनगिनत Windows 7 और XP उपयोगकर्ताओं को महीनों तक संक्रमित करने के बाद, Microsoft ने उस भेद्यता को ठीक कर लिया है जिसने वायरस को Windows मशीनों को संक्रमित करने की अनुमति दी थी। अभी तक, यदि आपके पास नवीनतम Windows सुरक्षा अद्यतन हैं, तो Sasser कृमि से संक्रमित होना संभव नहीं है।
क्या मुझे सीएनजी कुंजी आइसोलेशन सेवा को अक्षम कर देना चाहिए?
नहीं, सीएनजी कुंजी आइसोलेशन सेवा एक महत्वपूर्ण प्रणाली प्रक्रिया है जो क्रिप्टोग्राफ़िक जानकारी को सुरक्षित रूप से संग्रहीत करने के लिए आवश्यक है। किसी भी परिस्थिति में वैध CNG Key Isolation (KeyISO) सेवा . नहीं होनी चाहिए स्थायी रूप से अक्षम किया जाना चाहिए।
टास्क मैनेजर में lsass.exe प्रक्रिया को समाप्त करने से CNG कुंजी आइसोलेशन सेवा भी बंद हो जाएगी। लेकिन ध्यान रखें कि इससे आपका सिस्टम जबरन बंद हो सकता है। चूंकि यह सुरक्षा पर लॉग के सबसे महत्वपूर्ण हिस्से को नियंत्रित करता है, सीएनजी कुंजी अलगाव विंडोज का एक अनिवार्य कार्य है।
हालांकि, अगर आपको संदेह है कि सीएनजी कुंजी आइसोलेशन सेवा ठीक से काम नहीं कर रहा है या आपके सिस्टम में समस्या पैदा कर रहा है, आप सेवा को पुनरारंभ करने का प्रयास कर सकते हैं। ऐसा करने के लिए, एक रन विंडो खोलें (Windows key + R ) और टाइप करें services.msc . फिर, दर्ज करें . दबाएं सेवाएं . खोलने के लिए खिड़की।
सेवाओं . में विंडो, नीचे स्क्रॉल करके CNG Key Isolation . पर जाएं सर्विस। सेवा पर राइट-क्लिक करें और फिर पुनरारंभ करें choose चुनें पुन:आरंभ करने के लिए बाध्य करना।
नोट: ध्यान रखें कि यदि वर्तमान में CNG Key Isolation सेवा उपयोग में है, तो आप एक अनपेक्षित सिस्टम रीबूट का सामना कर सकते हैं। जब तक आपके पास ऐसा करने के लिए वैध कारण न हों, इस सेवा को फिर से शुरू न करें।