CNG(Cryptographic Next Generation) 키 격리 서비스는 공통 기준에서 요구하는 대로 개인 키 및 여러 관련 암호화 작업에 대한 키 프로세스 격리를 제공합니다. . CNG 키 격리 서비스와 연결된 실행 파일의 기본 경로는 C:\ windows \ system32 \ lsass.exe입니다.
CNG 키 분리 설명
CNG 키 격리 서비스는 공유 프로세스(LSA에서 호스팅됨)에서 LocalSystem으로 실행됩니다. 프로세스). 이 서비스는 Winlogon 서비스에서 사용자를 인증하기 위해 수명이 긴 키를 저장합니다. 예를 들어 CNG 키 격리 서비스는 무선 네트워크 키 또는 스마트 카드에 필요한 암호화 정보를 저장합니다. CNG 키 격리 서비스에서 수행하는 모든 작업은 공통 기준에 따라 수행됩니다. 요구 사항.
CNG 키 격리 서비스가 로드 또는 초기화되지 않는 경우 동작이 이벤트 로그에 기록됩니다. . 대부분의 경우 원격 프로시저 호출(RPC) 때문에 서비스가 시작되지 않습니다. 서비스가 강제로 중지되거나 비활성화됩니다. CNG 키 격리 서비스가 중지되면 확장 가능한 인증 프로토콜 (EAP) 시작 시 시작 및 초기화에 실패합니다.
아래에서 볼 수 있듯이 CNG 키 격리 서비스 실행 파일(lsass.exe ) 다른 여러 서비스와 함께 사용할 수 있습니다.
Lsass.exe란 무엇입니까?
LSASS 로컬 보안 기관 하위 시스템 서비스를 나타냅니다. . 정품 lsass.exe Windows 환경의 합법적인 소프트웨어 구성 요소입니다. 실행 파일은 Windows에 내장된 핵심 시스템 로컬 권한 프로세스로 간주됩니다. 기본 위치 os lsass.exe C:\ Windows \ System 32에 있습니다. .
Lass.exe 프로세스는 Windows에서 네 가지 주요 인증 서비스를 처리합니다.
- KeyIso(CNG 키 격리) – LSA 프로세스에서 호스팅되는 가장 중요한 인증 서비스입니다. 개인 키 및 관련 암호화 작업에 대한 키 프로세스 격리를 제공합니다.
- EFS(파일 시스템 암호화) – 암호화된 파일을 NTFS 파일 시스템 볼륨에 저장하는 데 주로 사용되는 핵심 파일 암호화 기술입니다. 이 서비스를 중지하면 시스템이 암호화된 파일에 액세스하지 못하게 됩니다.
- SamSS(보안 계정 관리자) – 이 서비스의 주요 목적은 보안 계정 관리자 (SAM) 요청을 받을 준비가 되었습니다. 이 서비스를 중지하면 보안 계정 관리자에 의존하는 다른 서비스에 알림이 전송되지 않습니다. 이로 인해 많은 종속 서비스가 실패하거나 잘못 시작되는 눈덩이 효과가 생성됩니다.
- 로컬 IPSEC 정책 – ISAKMP/Oakley(IKE) 관리 및 시작 Windows Server의 다양한 IP 보안 드라이버 .
lsass.exe의 잠재적인 보안 위험
일부 Windows 사용자는 Lsass 실행 파일이 시스템 리소스를 많이 소비한다는 것을 알고 lsass.exe를 의심합니다. 바이러스 또는 다른 유형의 맬웨어입니다. 이것은 확실히 가능하지만 이런 일이 일어날 가능성은 희박합니다.
그러나 Lsass 실행 파일로 위장하여 시스템을 감염시키는 것으로 알려진 복제 고양이 바이러스가 있습니다. 프로세스는 유사하지만 정품 로컬 보안 기관 하위 시스템 서비스와 동일하지 않습니다. . 악성 프로세스의 이름은 isass.exe,입니다. lsass.exe라는 합법적인 프로세스와 대조 . 프로세스가 대문자로 시작하는 경우 I 소문자 L 대신 , 시스템이 감염되었을 수 있습니다.
lsass.exe의 위치를 확인하면 이 이론을 확인할 수 있습니다. 일반적으로 Lsass 실행 파일은 C:\ Windows \ System 32에 있습니다. , 합법적인 Local Security Authority Subsystem Service라고 안전하게 가정할 수 있습니다. . 이렇게 하려면 작업 관리자를 엽니다(Ctrl + Shift + Esc ) 프로세스 목록에서 아래로 스크롤하여 로컬 보안 기관 프로세스로 이동합니다. 마우스 오른쪽 버튼으로 클릭하고 파일 위치 열기를 선택합니다. . 프로세스가 System 32에 없으면 맬웨어 감염을 처리하고 있음을 확신할 수 있습니다.
"Isass.exe" Sasser 웜으로 알려진 키로깅 속성을 가진 트로이 목마 바이러스입니다. 가족. 주요 목적은 시스템에서 조용히 데이터를 수집하는 것입니다. 입력하는 모든 키 입력을 등록함으로써 바이러스는 계정 사용자 이름, 비밀번호, 신용 카드 번호 및 궁극적으로 불법적인 금전적 이득을 위해 사용되는 기타 민감한 데이터를 추적하도록 구성됩니다.
이 바이러스는 몇 년 동안 존재했으며 Microsoft는 이미 이에 대한 조치를 취했습니다. 감염된 것으로 확인되면 Microsoft 맬웨어 제거 도구를 사용하여 Sasser 웜 흔적을 제거할 수 있습니다. . 수개월 동안 수많은 Windows 7 및 XP 사용자를 감염시킨 후 Microsoft는 바이러스가 Windows 시스템을 감염시킬 수 있는 취약점을 패치했습니다. 현재로서는 최신 Windows 보안 업데이트가 있는 경우 더 이상 Sasser 웜에 감염될 수 없습니다.
CNG 키 격리 서비스를 비활성화해야 하나요?
아니요. CNG 키 격리 서비스는 암호화 정보를 안전하게 저장하는 데 필요한 중요한 시스템 프로세스입니다. 어떠한 경우에도 합법적인 CNG 키 격리(KeyISO) 서비스는 영구적으로 비활성화되어야 합니다.
작업 관리자에서 lsass.exe 프로세스를 종료하면 CNG 키 격리 서비스도 중지됩니다. 그러나 이렇게 하면 시스템이 강제로 종료될 수 있습니다. 로그온 보안의 가장 중요한 부분을 제어하기 때문에 CNG 키 격리는 Windows의 필수 기능입니다.
그러나 CNG 키 격리 서비스 가 의심되는 경우 제대로 작동하지 않거나 시스템에 문제를 일으키는 경우 서비스를 다시 시작할 수 있습니다. 이렇게 하려면 실행 창(Windows 키 + R ) services.msc를 입력합니다. . 그런 다음 Enter 키를 누릅니다. 서비스 열기 창.
서비스에서 창에서 CNG 키 격리까지 아래로 스크롤합니다. 서비스. 서비스를 마우스 오른쪽 버튼으로 클릭한 다음 다시 시작을 선택합니다. 강제로 다시 시작합니다.
참고: CNG 키 격리 서비스가 현재 사용 중인지 여부에 따라 예기치 않은 시스템 재부팅이 발생할 수 있습니다. 정당한 이유가 없는 한 이 서비스를 다시 시작하지 마십시오.