Qu’est-ce que: Isolation de clé CNG (lsass.exe)

Le service d’isolation de clé CNG (Cryptographic Next Generation) fournit une isolation de processus de clé aux clés privées et un certain nombre d’opérations cryptographiques associées, comme l’exigent les Critères communs. Le chemin par défaut de l’exécutable associé au service CNG Key Isolation est C: windows system32 lsass.exe.

Explication de l’isolement de la clé CNG

Le service d’isolation de clé CNG s’exécute en tant que système local dans un processus partagé (hébergé dans le processus LSA). Le service stocke des clés de longue durée pour authentifier les utilisateurs dans le service Winlogon. Par exemple, le service CNG Key Isolation stockera une clé de réseau sans fil ou les informations cryptographiques requises pour une carte à puce. Toutes les opérations effectuées par le service CNG Key Isolation sont effectuées en suivant les exigences des Critères Communs.

En cas d’échec du chargement ou de l’initialisation du service CNG Key Isolation, le comportement est enregistré dans le journal des événements. La plupart du temps, le service ne démarre pas car le service d’appel de procédure distante (RPC) est arrêté ou désactivé de force. Si le service d’isolation de clé CNG est arrêté, le protocole EAP (Extensible Authentication Protocol) ne démarre pas et ne s’initialise pas au démarrage.

Comme vous le verrez ci-dessous, le service d’isolation de clé CNG partage un exécutable (lsass.exe) avec plusieurs autres services.

Qu’est-ce que Lsass.exe?

LSASS est l’acronyme de Local Security Authority Subsystem Service. Le véritable lsass.exe est un composant logiciel légitime de l’environnement Windows. L’exécutable est considéré comme un processus d’autorité locale du système central intégré à Windows. L’emplacement par défaut os lsass.exe est dans C: Windows System 32.

Le processus Lass.exe gère quatre principaux services d’authentification dans Windows:

  • KeyIso (CNG Key Isolation) – Le service d’authentification le plus important hébergé dans le processus LSA. Il fournit une isolation des processus clés aux clés privées et aux opérations cryptographiques associées.
  • EFS (Encrypting File System) – Une technologie de cryptage de fichiers de base principalement utilisée pour stocker des fichiers cryptés sur des volumes de système de fichiers NTFS. L’arrêt de ce service empêchera votre système d’accéder aux fichiers cryptés.
  • SamSS (Security Accounts Manager) – L’objectif principal de ce service est de servir de balise et de signaler aux autres services lorsque le Security Account Manager (SAM) est prêt à recevoir des demandes. L’arrêt de ce service empêchera les autres services dépendant du gestionnaire de compte de sécurité d’être notifiés. Cela créera un effet boule de neige qui entraînera l’échec ou le démarrage incorrect de nombreux services dépendants.
  • Stratégie IPSEC locale – Gère et démarre ISAKMP / Oakley (IKE) et divers pilotes de sécurité IP dans Windows Server.

Risque de sécurité potentiel avec lsass.exe

Certains utilisateurs Windows trouvent que l’exécutable Lsass consomme beaucoup de ressources système et soupçonnent lsass.exe d’être un virus ou un autre type de malware. Bien que cela soit certainement possible, les chances que cela se produise sont minces.

Cependant, il existe un virus copy-cat connu qui infecte les systèmes en se camouflant dans l’exécutable Lsass. Le processus est similaire, mais pas identique au véritable service de sous-système de l’autorité de sécurité locale. Le processus malveillant est nommé isass.exe, par opposition au processus légitime nommé lsass.exe. Si vous constatez que le processus commence par un I majuscule au lieu d’un L minuscule, votre système est probablement infecté.

Vous pouvez confirmer cette théorie en vérifiant l’emplacement de lsass.exe. En règle générale, si l’exécutable Lsass se trouve dans C: Windows System 32, vous pouvez supposer en toute sécurité qu’il s’agit du service de sous-système de l’autorité de sécurité locale légitime. Pour ce faire, ouvrez le Gestionnaire des tâches (Ctrl + Maj + Échap) et faites défiler la liste des processus jusqu’à Processus de l’autorité de sécurité locale. Cliquez dessus avec le bouton droit de la souris et choisissez Ouvrir l’emplacement du fichier. Si le processus ne se trouve pas dans le système 32, vous pouvez être sûr que vous avez affaire à une infection par un logiciel malveillant.

Le «Isass.exe» est un virus cheval de Troie avec des propriétés de keylogging connues de la famille des vers Sasser. Son objectif principal est de récolter discrètement les données de votre système. En enregistrant chaque frappe que vous tapez, le virus est configuré pour s’attaquer aux noms d’utilisateur de compte, aux mots de passe, aux numéros de carte de crédit et à toute autre donnée sensible qui est finalement utilisée pour un gain financier illégitime.

Le virus existe depuis plusieurs années et Microsoft a déjà pris des mesures contre lui. Si vous constatez que vous êtes infecté, vous pouvez utiliser le Outil de suppression de logiciels malveillants Microsoft pour éliminer toute trace du ver Sasser. Après des mois d’infection d’innombrables utilisateurs de Windows 7 et XP, Microsoft a corrigé la vulnérabilité qui permettait au virus d’infecter les machines Windows. À partir de maintenant, il n’est plus possible d’être infecté par le ver Sasser si vous disposez des dernières mises à jour de sécurité Windows.

Dois-je désactiver le service d’isolation de clé CNG?

Non. Le service d’isolation de clé CNG est un processus système critique nécessaire pour stocker les informations cryptographiques en toute sécurité. En aucun cas, le service légitime d’isolation de clé CNG (KeyISO) ne doit être désactivé de manière permanente.

La fin du processus lsass.exe dans le Gestionnaire des tâches arrêtera également le service d’isolation de clé CNG. Mais gardez à l’esprit que cela peut entraîner l’arrêt forcé de votre système. Puisqu’il contrôle la partie la plus importante de la sécurité de connexion, l’isolation de la clé CNG est une fonction essentielle de Windows.

Cependant, si vous pensez que le service d’isolation de clé CNG ne fonctionne pas correctement ou pose des problèmes avec votre système, vous pouvez essayer de redémarrer le service. Pour ce faire, ouvrez une fenêtre Exécuter (touche Windows + R) et tapez services.msc. Ensuite, appuyez sur Entrée pour ouvrir la fenêtre Services.

Dans la fenêtre Services, faites défiler jusqu’au service CNG Key Isolation. Cliquez avec le bouton droit sur le service, puis choisissez Redémarrer pour forcer une réinitiation.

Remarque: gardez à l’esprit que, selon que le service d’isolation de clé CNG est actuellement utilisé, vous pouvez rencontrer un redémarrage inattendu du système. Ne redémarrez pas ce service sauf si vous avez des raisons légitimes de le faire.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *