[ホーム] - [Windows 10 サービス一覧] - [CNG Key Isolation]

CNG Key Isolation サービスの概要と起動の必要性

このページでは"CNG Key Isolationサービス"とは何かに関して説明します。関連してこのサービスが必要性なのか、起動方法の変更方法、手動の停止や手動の開始方法に関して説明します。

サービス名 KeyIso
表示名 CNG Key Isolation
dll / exe 名 C:\WINDOWS\system32\lsass.exe
説明 (マイクロソフト情報より引用) CNG キー分離サービスは、LSA プロセスでホストされています。このサービスは、Common Criteria による要求に従って秘密キーおよび関連の暗号化操作に対してキー プロセス分離を提供します。このサービスは、寿命の長いキーを Common Criteria の要件に準拠した安全なプロセスに格納して使用します。
セキュアPC上の起動必要性


◎起動を強く推奨、○起動を推奨、△環境による、×停止を推奨、××停止を強く推奨



CNG Key Isolationサービスとは


暗証番号 (PIN) の処理などを行うサービスです。秘密鍵の処理なども行います。リモートデスクトップ接続時の秘密鍵の処理も行います。


このサービスは必要か


リモートデスクトップサーバ側で自己証明書を発行する場合はこのサービスは必要とのことです。よってデフォルトの"手動(トリガー)"とします。
その他の場合でもデフォルトの「手動 (トリガー開始)」のままとすることを推奨します。これで必要時に自動起動されます。通常時にCPUに負荷をかけるサービスではないので無効にすることはないでしょう。私のPCも"手動(トリガー)"のままです。


PIN サインイン画面が表示されない


Windows 10 のサインイン画面で PIN ログインが表示されない場合があります。そのような場合は"CNG Key Isolationサービス"が無効になっていないか確認してください。

KB4012219


KB4012219 をインストールするとリモートデスクトップ接続における自己証明書の作成プロセスでこのサービスが使われる仕様に変更となりました。よって”CNG Key Isolation” サービスが無効化している場合は証明書の作成に失敗しこのエラーが発生します。結果としてリモート デスクトップ接続ができません。

ただしWindows Server 2012 環境においてこのサービスを無効にしてもWindows 10クライアントから接続できてしまいました。詳細は調査中です。

参考:“CNG Key Isolation” サービスが 無効化による RDP 接続不可について (イベント ID 1057/36870)
https://blogs.technet.microsoft.com/askcorejp/2017/10/04/schannel-error/

サービスの起動方法を変更する

サービスの起動方法を変更にする方法を紹介します。サービス管理ツール(services.msc) で設定します。Windows 10 の画面で説明します。

(1)スタートメニューから[管理ツール] - [サービス]を選択します。

(2)以下の画面が表示されるため、"CNG Key Isolation"をダブルクリックします。

(3)「スタートアップの種類」から起動のタイプを設定します。設定が完了したら[OK]をクリックします。

各起動設定の内容は以下の通りです。



自動(延滞開始)・・・・・他の自動起動サービスが全て起動されてから起動されます。
自動・・・・・Windows 起動時に自動で起動されます。
手動・・・・・自動では起動されませんが、手動あるいは他のサービスなどから起動することが可能です。
無効・・・・・自動起動されません。手動でも起動できません。
自動(トリガー)・・・・・Windows 起動時に自動起動されますが、役目が終了したら自動的に停止します。
手動(トリガー)・・・・・他のサービスなどから起動されますが、役目が終了したら自動的に停止します。

sc コマンドでサービスを設定する

次にsc コマンドでコマンドプロンプトより設定する方法を紹介します。

(1)管理者でコマンドプロンプトを開きます。

参考:管理者権限でコマンドプロンプトを開く方法

(2)以下のコマンドを実行します。


自動起動設定



C:\>sc config KeyIso Start= auto

手動



C:\>sc config KeyIso Start= demand

無効



C:\>sc config  KeyIso Start= disabled

自動(延滞開始)



C:\>sc config  KeyIso Start= delayed-auto

sc コマンドで以下のようなエラーが発生する場合はコマンドプロンプトを管理者として実行してください。


C:\>sc stop ServiceName

[SC] OpenService FAILED 5:
アクセスが拒否されました。

サービスを手動起動する

サービスを手動で起動する方法を紹介します。sc コマンドにより起動します。


C:\>sc start KeyIso

他の方法として net コマンドでも停止させることが可能です。


C:\>net start KeyIso


サービスを手動で停止する

サービスを手動で停止する方法を紹介します。sc コマンドにより停止します。


C:\>sc stop KeyIso

他の方法として net コマンドでも停止させることが可能です。


C:\>net stop KeyIso


サービスの設定を確認する

sc コマンドを利用してサービスの設定を確認する方法を紹介します。



c:\>sc queryex KeyIso 

SERVICE_NAME: KeyIso 
        TYPE               : 20  WIN32_SHARE_PROCESS  
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0
        PID                : 960
        FLAGS              : RUNS_IN_SYSTEM_PROCESS

net start コマンドを利用してサービスが起動中か確認することが可能です。findstr の 戻り値 (ERRORLEVEL)で結果の判定が可能です。
サービス起動中なら文字列が存在するはずなので findstr で検索しています。




c:\>net start   | findstr -i /c:"CNG Key Isolation" 
   CNG Key Isolation

sc コマンドを利用してサービスが起動中か確認することが可能です。findstr の 戻り値 (ERRORLEVEL)で結果の判定が可能です。
サービス起動中ならが であるためfindstr で検索しています。




レジストリからサービスの設定を確認する

レジストリから reg コマンドでサービスの設定を確認する方法を紹介します。サービスの設定はレジストリに保存されています。その値を確認します。



c:\>reg query HKLM\System\CurrentControlSet\services\KeyIso   | findstr -i "group ObjectName DependOnService ErrorControl RequiredPrivileges ServiceSidType" 
    DependOnService    REG_MULTI_SZ    RpcSs
    ErrorControl    REG_DWORD    0x1
    ObjectName    REG_SZ    LocalSystem

最終更新日:2019/01/11

[ホーム] - [Windows 10 サービス一覧]




(ご注意)本ページの内容の正当性は保障されません。内容に誤りがある場合も有ります。 本ページの情報は高セキュリティを目指すPCで起動すべきサービスの指針を示していますが、環境に依存するためすべての環境に当てはまることは保障しません。 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)


Copyright(c) TOOLJP.COM 1999-2018