内容：CNGキー分離（lsass.exe）

CNG（Cryptographic Next Generation）キーの分離 サービスは、秘密鍵に対する鍵プロセスの分離と、コモンクライテリアで要求されるいくつかの関連する暗号化操作を提供します 。 CNGキー分離サービスに関連付けられている実行可能ファイルへのデフォルトのパスは、 C：\ windows \ system32\lsass.exeです。

CNGキーの分離の説明

CNGキーの分離 サービスは、共有プロセス（ LSA でホストされる）でLocalSystemとして実行されます 処理する）。このサービスは、Winlogonサービスでユーザーを認証するための長期間有効なキーを保存します。たとえば、CNGキー分離サービスは、ワイヤレスネットワークキーまたはスマートカードに必要な暗号化情報を保存します。 CNGキー分離サービスによって実行されるすべての操作は、コモンクライテリアに従って実行されます。 要件。

CNGキー分離サービスの読み込みまたは初期化に失敗した場合、その動作はイベントログに記録されます。 。ほとんどの場合、リモートプロシージャコール（RPC）が原因で、サービスを開始できません。 サービスを強制的に停止または無効にします。 CNGキー分離サービスが停止している場合、拡張認証プロトコル （EAP）は、起動時に起動および初期化に失敗します。

以下に示すように、CNGキー分離サービス 実行可能ファイル（ lsass.exe ）を共有します ）他のいくつかのサービスと一緒に。

Lsass.exeとは何ですか？

LSASS ローカルセキュリティ機関サブシステムサービスの略です 。本物のlsass.exe は、Windows環境の正規のソフトウェアコンポーネント部分です。実行可能ファイルは、Windowsに組み込まれているコアシステムの地方自治体プロセスと見なされます。デフォルトの場所はlsass.exe C：\ Windows \ System 32にあります 。

Lass.exe プロセスは、Windowsで4つの主要な認証サービスを処理します。

• KeyIso（CNGキー分離） –LSAプロセスでホストされる最も重要な認証サービス。秘密鍵および関連する暗号化操作に対する鍵プロセスの分離を提供します。
• EFS（暗号化ファイルシステム） –暗号化されたファイルをNTFSファイルシステムボリュームに保存するために主に使用されるコアファイル暗号化テクノロジ。このサービスを停止すると、システムが暗号化されたファイルにアクセスできなくなります。
• SamSS（セキュリティアカウントマネージャー） –このサービスの主な目的は、セキュリティアカウントマネージャーが他のサービスにビーコンとして機能し、信号を送ることです。 （SAM） リクエストを受信する準備ができています。このサービスを停止すると、セキュリティアカウントマネージャーに依存している他のサービスに通知されなくなります。これにより、雪だるま式の効果が作成され、多くの依存サービスが失敗したり、正しく開始されなかったりします。
• ローカルIPSECポリシー – ISAKMP / Oakley（IKE）を管理および開始します およびWindowsServerのさまざまなIPセキュリティドライバ 。

lsass.exeによる潜在的なセキュリティリスク

一部のWindowsユーザーは、Lsass実行可能ファイルが多くのシステムリソースを消費していることに気付き、 lsass.exeを疑っています。 ウイルスまたは別の種類のマルウェアであるということです。これは確かに可能ですが、これが発生する可能性はわずかです。

ただし、Lsass実行可能ファイルにカモフラージュすることでシステムに感染することが知られている既知のコピーキャットウイルスがあります。プロセスは似ていますが、本物のローカルセキュリティ機関サブシステムサービスと同じではありません。 。悪意のあるプロセスの名前はisass.exe、 lsass.exeという名前の正当なプロセスとは対照的に 。プロセスが大文字の私で始まることがわかった場合 小文字の代わりにL 、システムが感染している可能性があります。

この理論は、lsass.exeの場所を確認することで確認できます。一般的に、 Lsass 実行可能ファイルはC：\ Windows \ System 32にあります 、それが正当なローカルセキュリティ機関サブシステムサービスであると安全に想定できます。 。これを行うには、タスクマネージャーを開きます（ Ctrl + Shift + Esc ）、[プロセス]リストを下にスクロールしてローカルセキュリティ機関プロセスに移動します。 それを右クリックして、ファイルの場所を開くを選択します 。プロセスがSystem32にない場合は、マルウェア感染に対処していることを確認できます。

「Isass.exe」 は、Sasserワームとして知られるキーロガープロパティを持つトロイの木馬ウイルスです。 家族。その主な目的は、システムから静かにデータを収集することです。入力したすべてのキーストロークを登録することにより、ウイルスは、アカウントのユーザー名、パスワード、クレジットカード番号、および最終的に不正な金銭的利益のために使用されるその他の機密データを追跡するように構成されます。

このウイルスは数年前から存在しており、Microsoftはすでに対策を講じています。感染していることがわかった場合は、Microsoftマルウェア除去ツールを使用して、Sasserワームの痕跡をすべて削除できます。 。数え切れないほどのWindows7およびXPユーザーに何ヶ月も感染した後、MicrosoftはウイルスがWindowsマシンに感染することを可能にする脆弱性にパッチを適用しました。現在のところ、最新のWindowsセキュリティアップデートを使用している場合、Sasserワームに感染することはできなくなりました。

CNGキー分離サービスを無効にする必要がありますか？

いいえ。CNGキー分離サービスは、暗号化情報を安全に保存するために必要な重要なシステムプロセスです。いかなる状況においても、合法的な CNGキー分離（KeyISO）サービス 完全に無効にする必要があります。

タスクマネージャでlsass.exeプロセスを終了すると、CNGキー分離サービスも停止します。ただし、これによりシステムが強制的にシャットダウンする可能性があることに注意してください。ログオンセキュリティの最も重要な部分を制御するため、CNGキーの分離はWindowsの重要な機能です。

ただし、CNGキー分離サービスが疑われる場合 が正しく機能していないか、システムに問題が発生している場合は、サービスの再起動を試みることができます。これを行うには、実行ウィンドウを開きます（Windowsキー+R ）と入力し、 services.msc と入力します 。次に、 Enterを押します サービスを開くには ウィンドウ。

サービス ウィンドウで、CNGキーの分離まで下にスクロールします サービス。サービスを右クリックして、再起動を選択します 強制的に再開します。

注： CNGキー分離サービスが現在使用されているかどうかによっては、予期しないシステムの再起動が発生する可能性があることに注意してください。正当な理由がない限り、このサービスを再開しないでください。