CNG (Cryptographic Next Generation) Key Isolation là một dịch vụ quan trọng trong Windows, đảm bảo an toàn cho các khóa mật mã. Bài viết này sẽ giải thích chi tiết về CNG Key Isolation, cách nó hoạt động, và những rủi ro bảo mật tiềm ẩn liên quan đến tiến trình lsass.exe.
Mục Lục
CNG Key Isolation Hoạt Động Như Thế Nào?
Dịch vụ CNG Key Isolation (còn gọi là KeyIso) chạy dưới quyền LocalSystem trong một tiến trình chia sẻ (được lưu trữ trong tiến trình LSA – Local Security Authority). Dịch vụ này lưu trữ các khóa dài hạn để xác thực người dùng trong dịch vụ Winlogon. Ví dụ: CNG Key Isolation có thể lưu trữ khóa mạng không dây hoặc thông tin mật mã cần thiết cho thẻ thông minh. Mọi hoạt động do CNG Key Isolation thực hiện đều tuân thủ các yêu cầu của Common Criteria.
Trong trường hợp dịch vụ CNG Key Isolation không tải hoặc khởi tạo được, thông tin sẽ được ghi lại trong Event Log. Thông thường, dịch vụ này không khởi động được vì dịch vụ Remote Procedure Call (RPC) bị dừng hoặc tắt. Nếu CNG Key Isolation bị dừng, Extensible Authentication Protocol (EAP) sẽ không khởi động và khởi tạo được khi khởi động.
Như bạn sẽ thấy bên dưới, dịch vụ CNG Key Isolation chia sẻ một tệp thực thi (lsass.exe) với một số dịch vụ khác.
lsass.exe Là Gì?
LSASS là viết tắt của Local Security Authority Subsystem Service. Tệp lsass.exe hợp lệ là một thành phần phần mềm hợp pháp của môi trường Windows. Tệp thực thi này được coi là một tiến trình cơ quan cục bộ hệ thống cốt lõi được tích hợp vào Windows. Vị trí mặc định của lsass.exe là trong C:WindowsSystem32.
Tiến trình lsass.exe xử lý bốn dịch vụ xác thực chính trong Windows:
- KeyIso (CNG Key Isolation): Dịch vụ xác thực quan trọng nhất được lưu trữ trong tiến trình LSA. Nó cung cấp khả năng cách ly tiến trình khóa cho các khóa riêng tư và các hoạt động mật mã liên quan.
- EFS (Encrypting File System): Một công nghệ mã hóa tệp tin cốt lõi chủ yếu được sử dụng để lưu trữ các tệp được mã hóa trên các ổ đĩa định dạng NTFS. Việc dừng dịch vụ này sẽ ngăn hệ thống của bạn truy cập các tệp được mã hóa.
- SamSS (Security Accounts Manager): Mục đích chính của dịch vụ này là hoạt động như một đèn hiệu và báo hiệu cho các dịch vụ khác khi Security Account Manager (SAM) sẵn sàng nhận yêu cầu. Việc dừng dịch vụ này sẽ ngăn các dịch vụ khác dựa vào Security Account Manager nhận được thông báo. Điều này sẽ tạo ra hiệu ứng domino khiến nhiều dịch vụ phụ thuộc bị lỗi hoặc khởi động không chính xác.
- Local IPSEC Policy: Quản lý và khởi động ISAKMP/Oakley (IKE) và các trình điều khiển bảo mật IP khác nhau trong Windows Server.
:max_bytes(150000):strip_icc()/what-is-lsass-exe-5c8c6251c97e7700016f15a8.png)
Rủi Ro Bảo Mật Tiềm Ẩn với lsass.exe
Một số người dùng Windows nhận thấy rằng tệp thực thi lsass.exe tiêu thụ rất nhiều tài nguyên hệ thống và nghi ngờ lsass.exe là virus hoặc một loại phần mềm độc hại khác. Mặc dù điều này chắc chắn có thể xảy ra, nhưng khả năng xảy ra điều này là rất nhỏ.
Tuy nhiên, có một loại virus “copy-cat” (bắt chước) đã được biết là lây nhiễm vào các hệ thống bằng cách ngụy trang thành tệp thực thi lsass.exe. Tiến trình này tương tự, nhưng không giống hệt với Local Security Authority Subsystem Service chính hãng. Tiến trình độc hại được đặt tên là Isass.exe, trái ngược với tiến trình hợp pháp có tên là lsass.exe (chữ “L” thường). Nếu bạn thấy rằng tiến trình bắt đầu bằng chữ I viết hoa thay vì chữ l viết thường, thì hệ thống của bạn có thể bị nhiễm.
Bạn có thể xác nhận điều này bằng cách kiểm tra vị trí của lsass.exe. Nói chung, nếu tệp thực thi Lsass nằm trong C:WindowsSystem32, bạn có thể yên tâm rằng đó là Local Security Authority Subsystem Service hợp pháp. Để thực hiện việc này, hãy mở Task Manager (Ctrl + Shift + Esc) và cuộn xuống trong danh sách Processes đến Local Security Authority Process. Nhấp chuột phải vào nó và chọn Open file location. Nếu tiến trình không nằm trong System32, bạn có thể chắc chắn rằng bạn đang đối phó với một sự lây nhiễm phần mềm độc hại.
Tệp “Isass.exe” là một loại virus Trojan có thuộc tính keylogging (ghi lại thao tác gõ phím), được biết đến với tên gọi là dòng họ Sasser worm. Mục đích chính của nó là thu thập dữ liệu một cách lặng lẽ từ hệ thống của bạn. Bằng cách ghi lại mọi thao tác gõ phím bạn nhập, virus được cấu hình để tìm kiếm tên người dùng tài khoản, mật khẩu, số thẻ tín dụng và bất kỳ dữ liệu nhạy cảm nào khác mà cuối cùng được sử dụng cho mục đích tài chính bất hợp pháp.
Virus này đã xuất hiện được vài năm và Microsoft đã thực hiện các biện pháp chống lại nó. Nếu bạn thấy rằng bạn đã bị nhiễm, bạn có thể sử dụng Microsoft Malware Removal tool để loại bỏ mọi dấu vết của Sasser worm. Sau nhiều tháng lây nhiễm cho vô số người dùng Windows 7 và XP, Microsoft đã vá lỗ hổng cho phép virus lây nhiễm vào các máy Windows. Tính đến thời điểm hiện tại, bạn không thể bị nhiễm Sasser worm nếu bạn có các bản cập nhật bảo mật Windows mới nhất.
Có Nên Tắt Dịch Vụ CNG Key Isolation?
Không. Dịch vụ CNG Key Isolation là một tiến trình hệ thống quan trọng cần thiết để lưu trữ thông tin mật mã một cách an toàn. Trong bất kỳ trường hợp nào, dịch vụ CNG Key Isolation (KeyISO) Service hợp pháp cũng không nên bị tắt vĩnh viễn.
Việc kết thúc tiến trình lsass.exe trong Task Manager cũng sẽ dừng dịch vụ CNG Key Isolation. Nhưng hãy nhớ rằng điều này có thể khiến hệ thống của bạn tắt một cách cưỡng bức. Vì nó kiểm soát phần quan trọng nhất của bảo mật đăng nhập, CNG Key Isolation là một chức năng thiết yếu của Windows.
Tuy nhiên, nếu bạn nghi ngờ rằng dịch vụ CNG Key Isolation không hoạt động đúng cách hoặc đang gây ra sự cố với hệ thống của bạn, bạn có thể thử khởi động lại dịch vụ. Để thực hiện việc này, hãy mở cửa sổ Run (Windows key + R) và nhập services.msc. Sau đó, nhấn Enter để mở cửa sổ Services.
Trong cửa sổ Services, cuộn xuống dịch vụ CNG Key Isolation. Nhấp chuột phải vào dịch vụ, sau đó chọn Restart để buộc khởi động lại.
Lưu ý: Hãy nhớ rằng tùy thuộc vào việc dịch vụ CNG Key Isolation có đang được sử dụng hay không, bạn có thể gặp phải việc hệ thống khởi động lại bất ngờ. Không khởi động lại dịch vụ này trừ khi bạn có lý do chính đáng để làm như vậy.