El servicio de aislamiento de claves para GNC (Próxima generación de criptografía) proporciona aislamiento de procesos de claves a las claves privadas y una serie de operaciones criptográficas asociadas, tal como lo requiere el Common Criteria . La ruta por defecto del ejecutable asociado con el servicio de aislamiento de claves de GNC es C: windows ~ sistema32 ~ lsass.exe.
Contenido
Explicación del aislamiento de la clave del GNC
El servicio de aislamiento de claves de GNC se ejecuta como un LocalSystem en un proceso compartido (alojado en el proceso LSA ). El servicio almacena claves de larga duración para autentificar a los usuarios en el servicio Winlogon.Por ejemplo, el servicio de Aislamiento de Clave GNC almacenará una clave de red inalámbrica o la información criptográfica requerida para una tarjeta inteligente. Todas las operaciones realizadas por el servicio de Aislamiento de Clave GNC se realizan siguiendo los requisitos de Common Criteria .
En el caso de que el servicio de Aislamiento de Claves para GNC no se cargue o inicialice, el comportamiento se registra en el Event Log . La mayoría de las veces, el servicio no se inicia porque el servicio Remote Procedure Call (RPC) se detiene o desactiva por la fuerza. Si el servicio de Aislamiento de Clave de GNC se detiene, el Protocolo de Autenticación Extensible (EAP) fallará al iniciarse e inicializarse en el arranque.
Como verá más adelante, el servicio de aislamiento de claves de GNC comparte un ejecutable ( lsass.exe ) con varios otros servicios.
¿Qué es Lsass.exe?
LSASS significa Servicio de Subsistema de Autoridad de Seguridad Local .El original lsass.exe es un componente de software legítimo del entorno de Windows. El ejecutable se considera un proceso central de autoridad local del sistema que está incorporado en Windows. La ubicación predeterminada os lsass.exe está en C: Windows N-System 32 .
El proceso Lass.exe maneja cuatro servicios principales de autenticación en Windows:
- KeyIso (Aislamiento de la clave de GNC) – El más importante servicio de autenticación alojado en el proceso de LSA. Proporciona el aislamiento del proceso de claves a las claves privadas y las operaciones criptográficas asociadas.
- EFS (Sistema de cifrado de archivos) – Una tecnología de cifrado de archivos básicos que se utiliza principalmente para almacenar archivos cifrados en volúmenes del sistema de archivos NTFS. Detener este servicio evitará que el sistema acceda a los archivos cifrados.
- SamSS (Security Accounts Manager) – El propósito principal de este servicio es actuar como un faro y señalar otros servicios cuando el Security Account Manager (SAM) está listo para recibir solicitudes. Si se interrumpe este servicio, se impedirá que se notifique a otros servicios que dependen del administrador de la cuenta de seguridad. Esto creará un efecto de bola de nieve que causará que muchos servicios dependientes fallen o comiencen incorrectamente.
- Política local de IPSEC – Gestiona e inicia el ISAKMP/Oakley (IKE) y varios drivers de seguridad IP en Windows Server .
Posible riesgo de seguridad con lsass.exe
Algunos usuarios de Windows encuentran que el ejecutable Lsass consume muchos recursos del sistema y sospechan que lsass.exe es un virus u otro tipo de malware. Aunque esto es ciertamente posible, las posibilidades de que esto ocurra son escasas.
Sin embargo, hay un conocido virus “copy-cat” que se sabe que infecta los sistemas camuflándose en el ejecutable de Lsass. El proceso es similar, pero no idéntico al Servicio de Subsistema de Autoridad de Seguridad Local genuino. El proceso malicioso se denomina isass.exe, en contraposición al proceso legítimo que se denomina lsass.exe . Si encuentra que el proceso comienza con una I mayúscula en lugar de una L minúscula, es probable que su sistema esté infectado.
Puedes confirmar esta teoría comprobando la ubicación de lsass.exe. Generalmente, si el ejecutable de Lsass se encuentra en C: Windows N-Sistema 32 , puedes asumir con seguridad que es el legítimo Servicio de Subsistema de Autoridad de Seguridad Local . Para hacerlo, abre el Administrador de Tareas ( Ctrl + Shift + Esc ) y desplázate hacia abajo en la lista de Procesos hasta Proceso de Autoridad de Seguridad Local. Haga clic con el botón derecho del ratón sobre él y elija Abrir la ubicación del archivo . Si el proceso no está localizado en el Sistema 32, puede estar seguro de que se trata de una infección de malware.
El “Isass.exe” es un virus troyano con propiedades de registro de teclas conocido como la familia de los gusanos Sasser . Su principal propósito es recolectar tranquilamente datos de su sistema. Al registrar cada tecla que se teclea, el virus está configurado para ir tras los nombres de usuario de las cuentas, las contraseñas, los números de las tarjetas de crédito y cualquier otro dato sensible que se utilice en última instancia para obtener un beneficio financiero ilegítimo.
El virus existe desde hace varios años y Microsoft ya ha tomado medidas contra él. Si te encuentras infectado, puedes usar la herramienta de eliminación de malware de Microsoft para eliminar cualquier rastro del gusano Sasser . Después de meses de infectar a innumerables usuarios de Windows 7 y XP, Microsoft ha parcheado la vulnerabilidad que permitió al virus infectar las máquinas de Windows. A partir de ahora, ya no es posible infectarse con el gusano Sasser si se dispone de las últimas actualizaciones de seguridad de Windows.
¿Debo desactivar el servicio de aislamiento de la clave de GNC?
No. El servicio de aislamiento de claves de GNC es un proceso de sistema crítico necesario para almacenar información criptográfica de forma segura. Bajo ninguna circunstancia el legítimo servicio de aislamiento de claves de GNC debe ser desactivado permanentemente.
Terminar el proceso de lsass.exe en el Administrador de Tareas también detendrá el servicio de aislamiento de claves de GNC. Pero tenga en cuenta que esto puede causar que su sistema se apague por la fuerza. Dado que controla la parte más importante de la seguridad del registro, el aislamiento de la clave de GNC es una función esencial de Windows.
Sin embargo, si sospecha que el servicio de aislamiento de claves de GNC no funciona correctamente o está causando problemas en su sistema, puede intentar reiniciar el servicio. Para ello, abre una ventana de ejecución ( clave de Windows + R ) y escribe services.msc . A continuación, pulsa Enter para abrir la ventana Services .
En la ventana Servicios , desplácese hacia abajo hasta el servicio Aislamiento de claves de GNC . Haga clic con el botón derecho del ratón en el servicio y luego elija Reiniciar para forzar una reiniciación.
Nota: Tenga en cuenta que dependiendo de si el servicio de Aislamiento de Claves para GNC está actualmente en uso, podría encontrarse con un reinicio inesperado del sistema. No reinicie este servicio a menos que tenga razones legítimas para hacerlo.