Изоляция ключей cng что это за служба
Перейти к содержимому

Изоляция ключей cng что это за служба

  • автор:

Что такое «изоляция ключей cng» в windows?

Изоляция ключей CNG — это служба, связанная с хранением ключей для процессов пользователя. Причем эти ключи должны быть созданы криптографией, сама служба их только изолирует, а процессы, для которых создаются эти ключи, у большинства пользователей не работают.

Многие считают, что службу Изоляция ключей можно полностью отключить, если вы не используете свой компьютер для раздачи интернета на другие устройства. И тут уже зависит от того, насколько сильно вам надо освободить систему. Если система не загружена критически, то Изоляция ключей пусть себе работает, она не мешает. Если вам кровь из носу надо минимизировать загрузку системы — можете отключить службу Изоляция ключей, или хот бы поставить режим «вручную».

Хранение и извлечение ключей

CNG предоставляет модель для хранения закрытых ключей, которая позволяет адаптироваться к текущим и будущим требованиям создания приложений, использующих функции шифрования, такие как шифрование с открытым или закрытым ключом, а также требования к хранению материала ключа. Маршрутизатор хранилища ключей является центральной процедурой в этой модели и реализуется в Ncrypt.dll. Приложение обращается к поставщикам хранилища ключей (KSP) в системе через маршрутизатор хранилища ключей, который скрывает такие сведения, как изоляция ключа, как от приложения, так и от самого поставщика хранилища. На следующем рисунке показана архитектура изоляции ключа CNG и ее функции.

Поставщик хранилища ключей cng

В соответствии с общими требованиями (CC) долгоживущие ключи должны быть изолированы, чтобы они никогда не присутствовали в процессе приложения. В настоящее время CNG поддерживает хранение асимметричных закрытых ключей с помощью программного KSP Майкрософт, который входит в состав Windows Server 2008 и Windows Vista и устанавливается по умолчанию.

Изоляция ключей включена по умолчанию в Windows Server 2008 и Windows Vista. Функция изоляции ключей недоступна на платформах, предшествующих этим. Кроме того, сторонние поставщики KSP не загружаются в службу изоляции ключей (процесс LSA). В службу изоляции ключей загружается только поставщик ключей Microsoft KSP.

Процесс LSA используется в качестве процесса изоляции ключа для повышения производительности. Весь доступ к закрытым ключам осуществляется через маршрутизатор хранилища ключей, который предоставляет полный набор функций для управления закрытыми ключами и их использования.

CNG хранит открытую часть хранимого ключа отдельно от частной части. Открытая часть пары ключей также поддерживается в службе изоляции ключей, и доступ к ней осуществляется с помощью локального вызова удаленной процедуры (LRPC). Маршрутизатор хранилища ключей использует LRPC при вызове в процессе изоляции ключа. Весь доступ к закрытым ключам проходит через маршрутизатор закрытых ключей и проверяется CNG.

Как описано выше, можно поддерживать широкий спектр устройств хранения оборудования. В каждом случае интерфейс для всех этих устройств хранения идентичен. Она включает функции для выполнения различных операций с закрытым ключом, а также функции, относящиеся к хранению ключей и управлению ими.

CNG предоставляет набор API, которые используются для создания, хранения и извлечения криптографических ключей. Список этих API см. в разделе Функции хранилища ключей CNG.

Типы ключей

CNG поддерживает следующие типы ключей:

  • Diffie-Hellman открытый и закрытый ключи.
  • Алгоритм цифровой подписи (DSA, FIPS 186-2) открытый и закрытый ключи.
  • Открытый и закрытый ключи RSA (PKCS No 1).
  • Несколько устаревших открытых и закрытых ключей (CryptoAPI).
  • Открытый и закрытый ключи шифрования на эллиптических кривых.

Поддерживаемые алгоритмы

CNG поддерживает следующие алгоритмы ключей.

Алгоритм Длина ключа/хэша (биты)
RSA От 512 до 16384 с шагом 64 бита
DH От 512 до 16384 с шагом 64 бита
DSA От 512 до 1024 с шагом 64 бита
ECDSA P-256, P-384, P-521 (кривые NIST)
ECDH P-256, P-384, P-521 (кривые NIST)
MD2 128
MD4 128
MD5 128
SHA-1 160
SHA-256 256
SHA-384 384
SHA-512 512

Каталоги и файлы ключей

Устаревшие CSP CryptoAPI корпорации Майкрософт хранят закрытые ключи в следующих каталогах.

Тип ключа Каталоги
Пользователь частный %APPDATA%\Microsoft\Crypto\RSA\User SID\
%APPDATA%\Microsoft\Crypto\DSS\User SID\
Локальная система private %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\S-1-5-18\
%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\S-1-5-18\
Локальная служба частная %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\S-1-5-19\
%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\S-1-5-19\
Частная сетевая служба %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\S-1-5-20\
%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\S-1-5-20\
Общий частный %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys
%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\DSS\MachineKeys

CNG хранит закрытые ключи в следующих каталогах.

Тип ключа Directory
Пользователь частный %APPDATA%\Microsoft\Crypto\Keys
Локальная система private %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\SystemKeys
Локальная служба частная %WINDIR%\ServiceProfiles\LocalService
Частная сетевая служба %WINDIR%\ServiceProfiles\NetworkService
Общий частный %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys

Ниже приведены некоторые различия между контейнерами ключей CryptoAPI и CNG.

  • CNG использует разные имена файлов ключей, чем файлы ключей, созданные Rsaenh.dll и Dssenh.dll устаревшими CSP. Устаревшие файлы ключей также имеют расширение .key, но файлы ключей CNG не имеют расширения .key.
  • CNG полностью поддерживает имена контейнеров ключей Юникода; CNG использует хэш имени контейнера Юникода, а CryptoAPI — хэш имени контейнера ANSI.
  • CNG является более гибким по отношению к парам ключей RSA. Например, CNG поддерживает общедоступные экспоненты, превышающие 32 бита в длину, а также ключи, в которых p и q имеют разную длину.
  • В CryptoAPI файл контейнера ключей хранится в каталоге, имя которого является текстовым эквивалентом идентификатора безопасности пользователя. Это больше не относится к CNG, что устраняет трудности при перемещении пользователей из одного домена в другой без потери всех закрытых ключей.
  • KSP CNG и имена ключей ограничены MAX_PATH символами Юникода. CSP CryptoAPI и имена ключей ограничены MAX_PATH символами ANSI.
  • CNG предлагает возможность определяемых пользователем ключевых свойств. Пользователи могут создавать и связывать пользовательские свойства с ключами, а также сохранять их с помощью сохраненных ключей.

При сохранении ключа CNG может создать два файла. Первый файл содержит закрытый ключ в новом формате CNG и всегда создается. Этот файл не используется устаревшими CSP CryptoAPI. Второй файл содержит тот же закрытый ключ в контейнере ключей CryptoAPI прежних версий. Второй файл соответствует формату и расположению, используемым Rsaenh.dll. Создание второго файла происходит только в том случае, если флаг NCRYPT_WRITE_KEY_TO_LEGACY_STORE_FLAG указан при вызове функции NCryptFinalizeKey для завершения ключа RSA. Эта функция не поддерживается для ключей DSA и DH.

Когда приложение пытается открыть существующий сохраненный ключ, CNG сначала пытается открыть собственный CNG-файл. Если этот файл не существует, CNG пытается найти соответствующий ключ в устаревшем контейнере ключей CryptoAPI.

При перемещении или копировании ключей CryptoAPI с исходного компьютера на целевой компьютер с помощью средства миграции пользовательской среды Windows (USMT) CNG не сможет получить доступ к ключам на целевом компьютере. Для доступа к таким перенесенным ключам необходимо использовать CryptoAPI.

Обратная связь

Были ли сведения на этой странице полезными?

Службы Windows 7. Отключаем неиспользуемые службы

Предупреждение: данный процесс подразумевает некоторую степень риска, а потому желательно иметь хотя бы общее представление о том, что мы собираемся сделать. Если надо вернуть все службы в состояние по умолчанию, то загрузить готовые рег-файлы можно здесь . Выбираете свою систему и загружаете архив. После закачки архив распаковываете и запускаете рег-файл.

Полное описание служб, а также название и отображаемое имя можно посмотреть и изменить состояние по этому пути: Пуск — Панель управления — Администрирование — Службы.

Но не все службы необходимы для нормальной работы компьютера. Ниже приводиться список служб, которые отключены или включены в моей конфигурации. Пользователь один (с правами администратора), к сети не подключен. Для выхода в Интернет я использую сотовый телефон в качестве модемного соединения.

AST Service (Nalpeiron Licensing Service) — Отключена.

BranchCache (Эта служба кэширует сетевое содержимое, полученное от кэширующих узлов локальной подсети) — Вручную.

DHCP-клиент (Регистрирует и обновляет IP-адреса и DNS-записи для этого компьютера) — Авто

DNS-клиент (Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера.) — Отключено. При наличии сети — Авто

KtmRm для координатора распределенных транзакций (Координирует транзакции между MS DTC и диспетчером транзакций ядра (KTM).) — Вручную.

Microsoft .NET Framework NGEN v2.0.50727_X86 (Microsoft .NET Framework NGEN) — Вручную.

Parental Controls (Эта служба является заглушкой для функциональных возможностей службы родительского контроля Windows, которая существовала в ОС Vista.) — Вручную.

Plug-and-Play (Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму) — Авто

Quality Windows Audio Video Experience (Quality Windows Audio Video Experience (qWave) — сетевая платформа для потоковой передачи аудио и видео в домашних сетях на основе IP-протокола) — Вручную.

Remote Desktop Configuration (Remote Desktop Configuration) — Вручную.

Superfetch (Поддерживает и улучшает производительность системы.) — Авто

Windows Audio (Управление средствами работы со звуком для программ Windows.) — Авто.

Windows CardSpace (Это обеспечивает надежную возможность создания, управления и раскрытия цифровых удостоверений.) — Вручную

Windows Driver Foundation — User-mode Driver Framework (Управление хост-процессами драйверов пользовательского режима.) — Вручную.

Windows Search (Индексирование контента, кэширование свойств и результатов поиска для файлов, электронной почты и другого контента.) — Авто. Если не пользуетесь поиском на компьютере, то можно и Отключить.

WMI Performance Adapter (Provides performance library information from Windows Management Instrumentation (WMI) providers to clients on the network.) — Вручную.

Автонастройка WWAN (Эта служба управляет мобильными широкополосными (GSM и CDMA) карточками данных и встроенными модульными адаптерами, а также подключениями и автоматической настройкой сетей.) — Вручную.

Автономные файлы (Служба автономных файлов выполняет работу по обслуживанию кэша автономных файлов, ) — Вручную.

Агент защиты сетевого доступа (Агент службы защиты доступа к сети собирает и управляет сведениями о работоспособности клиентских компьютеров в сети) — Вручную.

Агент политики IPsec (Безопасность протокола IP (IPsec) поддерживает проверку подлинности кэширующих узлов на сетевом уровне) — Вручную.

Адаптивная регулировка яркости (Предназначена для наблюдения за датчиком внешнего освещения и корректировки яркости монитора в соответствии с изменениями освещенности.) — Вручную.

Архивация Windows (Поддержка архивации и восстановления в Windows.) — Вручную.

Биометрическая служба Windows (Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях без получения непосредственного доступа к биометрическим образцам или оборудованию) — Вручную.

Брандмауэр Windows (Брандмауэр Windows помогает предотвратить несанкционированный доступ к вашему компьютеру через Интернет или сеть.) — Отключено. Используется Брандмауэр от стороннего производителя.

Веб-клиент (Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете) — Вручную.

Виртуальный диск (Предоставление служб управления дисками, томами, файловыми системами и массивами запоминающих устройств.) — Вручную.

Вспомогательная служба IP (Provides tunnel connectivity using IPv6 transition technologies) — Вручную.

Вторичный вход в систему (Позволяет запускать процессы от имени другого пользователя) — Вручную.

Группировка сетевых участников (Включает многосторонние взаимодействия с помощью группировки одноранговой сети.) — Вручную.

Дефрагментация диска (Предоставляет возможность дефрагментации дисков.) — Вручную. Можно оставить и Авто, задав расписание для запуска.

Диспетчер автоматических подключений удаленного доступа (Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу.) — Вручную.

Диспетчер печати (Загрузка файлов в память, чтобы напечатать позже) — Авто. Если нет принтера, то Отключено.

Диспетчер подключений удаленного доступа (Управляет подключениями удаленного доступа и виртуальной частной сети (VPN) с данного компьютера к Интернету или другим удаленным сетям.) — Вручную.

Диспетчер сеансов диспетчера окон рабочего стола (Обеспечивает запуск и обслуживание диспетчера окон рабочего стола) — Авто.

Диспетчер удостоверения сетевых участников (Предоставляет службы идентификации для протокола однорангового разрешения имен (PNRP) и группировки одноранговой сети) — Вручную.

Диспетчер учетных данных (Обеспечивает защищенное хранение и извлечение учетных данных пользователей,) — Вручную.

Диспетчер учетных записей безопасности (Запуск этой службы служит для других служб сигналом о том, что диспетчер учетных записей безопасности (SAM) готов к приему запросов.) — Авто.

Доступ к HID-устройствам (Обеспечивает универсальный доступ к HID-устройствам ) — Вручную.

Журнал событий Windows (Эта служба управляет событиями и журналами событий) — Авто.

Журналы и оповещения производительности (Служба журналов производительности и оповещений собирает данные с локальных и удаленных компьютеров соответственно заданным параметрам расписания, а затем записывает данные в журнал или выдает оповещение.) — Вручную.

Защита программного обеспечения (Разрешает загрузку, установку и принудительное применение цифровых лицензий для Windows и приложений Windows) — Авто.

Защитник Windows (Защита от шпионских и потенциально опасных программ) — Авто. Но все же рекомендуется использовать продукты от сторонних производителей для защиты своего компьютера от вирусов.

Изоляция ключей CNG (Служба изоляции ключей CNG размещается в процессе LSA) — Вручную.

Инструментарий управления Windows (Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами.) — Авто.

Информация о совместимости приложений (Обработка запросов на проверку совместимости для приложений по мере их запуска) — Вручную.

Клиент групповой политики (Данная служба ответственна за применение параметров, определенных администраторами для компьютеров и пользователей через компонент групповой политики.) — Авто.

Клиент отслеживания изменившихся связей (Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в сети.) — Авто.

Координатор распределенных транзакций (Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы.) — Вручную.

Кэш шрифтов Windows Presentation Foundation (Оптимизирует производительность приложений Windows Presentation Foundation (WPF) путем кэширования обычно используемых данных шрифтов.) — Вручную.

Ловушка SNMP (Принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP и пересылает их программам управления SNMP, запущенными на этом компьютере.) — Вручную.

Локатор удаленного вызова процедур (RPC) (В Windows 2003 и более ранних версиях Windows служба «Локатор удаленного вызова процедур (RPC)» управляла базой данных службы имен RPC.) — Вручную.

Маршрутизация и удаленный доступ (Предлагает услуги маршрутизации организациям в локальной и глобальной сетя) — Отключена.

Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности (Служба IKEEXT содержит модули для работы с ключами в Интернете (IKE) и по протоколу IP с проверкой подлинности (AuthIP).) — Авто.

Модуль запуска процессов DCOM-сервера (Служба DCOMLAUNCH запускает серверы COM и DCOM в ответ на запросы активации объектов) — Авто.

Модуль поддержки NetBIOS через TCP/IP (Осуществляет поддержку NetBIOS через службу TCP/IP (NetBT) и разрешение имен NetBIOS для клиентов в сети) — Вручную.

Немедленные подключения Windows — регистратор настройки (Служба WCNCSVC содержит конфигурацию Windows Connect Now (реализация протокола WPS от Майкрософт)) — Вручную

Обнаружение SSDP (Обнаруживает сетевые устройства и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP) — Вручную.

Обнаружение интерактивных служб (Включает уведомление пользователя о необходимости пользовательского ввода для интерактивных служб, которое предоставляет доступ к диалоговым окнам, созданным интерактивными службами, по мере их появления.) — Вручную

Обозреватель компьютеров (Обслуживает список компьютеров в сети и выдает его программам по запросу) — Вручную.

Общий доступ к подключению к Интернету (ICS) (Предоставляет службы трансляции сетевых адресов, адресации, разрешения имен и службы предотвращения вторжения для домашней сети или сети небольшого офиса.) — Отключена.

Определение оборудования оболочки (Предоставляет уведомления для событий автозапуска на различных устройствах.) — Авто.

Основные службы доверенного платформенного модуля (Разрешает доступ к доверенному платформенному модулю (TPM), который предоставляет услуги криптографии на основе оборудования компонентам системы и приложениям.) — Вручную

Похожие публикации

  • Создание точки восстановления системы в ручную
  • Проверка целостности системных файлов Windows 8
  • Важность установки Windows 7, 8 на mac, macbook pro

Работа с компьютером

Dmwappushservice. Нужна для маршрутизации push-сообщений WAP. Функция телеметрии, отключаем по желанию.

Machine Debug Manager. Используется профессиональными программистами. Если вы не программист – отключаем.

NVIDIA Stereoscopic 3D Driver Service. Служба видеокарт NVIDIA, можно отключить, если не используете 3D стерео изображения.

NVIDIA Streamer Service. Использует мощность видеокарт GeForce® GTX™, чтобы передавать игры с вашего ПК на устройство SHIELD. Целесообразно отключить, если не используете технологию SHIELD и не играете в ПК игры на экране телевизора.

NVIDIA Streamer Network Service.

Superfetch. Отключайте, если используете SSD диск.

Windows Search. Отвечает за поиск, встроенный в систему. Т.е. помогает по названию отыскать файлы в системе. Если вы поиском не пользуетесь, то отключайте.

Биометрическая служба Windows. Сбор, обработка и хранение биометрических данных.

Брандмауэр. Если вы используете сторонний антивирус, а не брандмауэр Windows, то отключаем.

Браузер компьютеров. Обслуживает список компьютеров в сети и выдает его программам по запросу. Неактуально, если работаете только с одним ПК в сети.

Беспроводная настройка. В случае, если выход в сеть Интернет осуществляется путем подключения кабеля, а не Wi-Fi, то необходимость данной службы отпадает.

Вторичный вход в систему. Отвечает за вход в Windows с нескольких учетных записей. Если у вас одна учетная запись, то можно отключить.

Диспетчер печати. Отвечает за распечатывание файлов посредством принтера. При его отсутствии целесообразно отключить.

Изоляция ключей CNG.

Общий доступ к подключению к Интернету (ICS). Если не используете общий доступ к интернету через этот ПК, например не раздаете через него Wi-Fi на другие устройства.

Рабочие папки. Эта служба синхронизирует файлы с сервером рабочих папок, поэтому их можно использовать на любом устройстве, где настроены рабочие папки. Отключайте, если работаете с одним ПК или синхронизация не нужна.

Сервер. Если вы не используете функции доступа к общим файлам и принтерам, то можно отключить.

Сетевая служба Xbox Live.

Служба географического положения. Отслеживает местоположение системы и управляет геозонами для взаимодействия с приложениями.

Служба данных датчиков.

Служба датчиков.

Служба записи компакт-дисков. Время компакт-дисков уходит в небытие, поэтому при отсутствии дисковода либо необходимости записи информации на компакт-диск отключаем службу.

Служба лицензий клиента (ClipSVC). Отключайте, если не работаете с приложениями из магазина Windows.

Служба загрузки изображений. Отвечает за загрузку изображений со сканера и камеры. Если у вас нет сканера, тоже можно отключить.

Служба маршрутизатора AllJoyn. Перенаправляет сообщения AllJoyn для локальных клиентов AllJoyn. Это популярный протокол взаимодействия приложений, устройств и пользователей через WiFi и Bluetooth (и другие типы сетей) вне зависимости от типа устройства. Не пользуетесь? Отключайте.

Служба обмена данными (Hyper-V). Механизм обмена данными между виртуальной машиной и ОС ПК. Неактульно, если не пользуетесь виртуальной машиной Hyper-V.

Служба завершения работы в качестве гостя (Hyper-V).

Служба пульса (Hyper-V).

Служба сеансов виртуальных машин Hyper-V.

Служба синхронизации времени Hyper-V.

Служба обмена данными (Hyper-V).

Служба виртуализации удаленных рабочих столов Hyper-V.

Служба наблюдения за датчиками. Наблюдение за различными датчиками.

Служба общего доступа к портам Net.Tcp. Обеспечивает диспетчеризацию поступающих сообщений, адресованных службе приложения. По умолчанию служба отключена. Если вы оптимизируете домашний компьютер, проследите чтобы службы была отключена.

Служба перечислителя переносных устройств. Обеспечивает возможность синхронизации и автоматическое воспроизведение файлов с переносных устройств. Также малоприменимая служба и ее можно отключить.

Служба поддержки Bluetooth. Отключайте, если не используете Bluetoth.

Служба помощника по совместимости программ.

Служба регистрации ошибок Windows.

Служба шифрования дисков BitLocker. Если не пользуетесь шифрованием дисков, отключайте.

Службы, запускаемые при установке различных программ. Следует обратить внимание на службы, которые появляются при установке различных программ. Многие из этих служб вам также будут не нужны.

Удаленный реестр. Позволяет удаленным пользователям изменять параметры реестра на этом компьютере.

Удостоверение приложения.

Факс. Позволяет получать и отправлять факсы, используя ресурсы этого компьютера и сетевые ресурсы.

Функциональные возможности для подключенных пользователей и телеметрия. Относится к телеметрии — отключайте по желанию.

Ссылки

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *