Исправить высокую загрузку ЦП процессом LSAISO в Windows 10

Некоторые пользователи могут столкнуться с проблемой, при которой LSAISO.exe (Изолированный LSA) процесс сильно загружает ЦП на компьютере с Windows 10. Процесс связан с Credential Guard и Key Guard. В этом посте мы рассмотрим возможную причину и рекомендуемое решение этой проблемы.

LSAISO процесс высокой загрузки ЦП

LSAISO процесс высокой загрузки ЦП

VSM использует режимы изоляции, известные как Уровни виртуального доверия (VTL) для защиты процессов IUM (также известных как трастлеты). Процессы IUM, такие как LSAISO, выполняются в VTL1 в то время как другие процессы работают в VTL0. Страницы памяти процессов, выполняемых в VTL1, защищены от любого вредоносного кода, выполняемого в VTL0.

Процесс службы подсистемы локального администратора безопасности (LSASS) отвечает за управление локальной системной политикой, аутентификацию пользователей и аудит, а также за обработку конфиденциальных данных безопасности, таких как хэши паролей и ключи Kerberos.

Чтобы использовать преимущества безопасности VSM, трастлет LSAISO, который запускается в VTL1 связывается через канал RPC с процессом LSAISO, который выполняется в VTL0. Секреты LSAISO зашифровываются перед отправкой в ​​LSASS, а страницы LSAISO защищены от любого вредоносного кода, работающего в VTL0.

Возможная причина высокой загрузки ЦП процессом LSAISO

В Windows 10 LSAISO процесс работает как Изолированный пользовательский режим (IUM) в новой среде безопасности, известной как Виртуальный безопасный режим (VSM).

Приложения и драйверы, которые пытаются загрузить DLL (библиотеку динамической компоновки) в процесс IUM, внедрить поток или доставить APC пользовательского режима, могут дестабилизировать всю систему. Эта дестабилизация может вызвать высокую загрузку ЦП LSAISO в Windows 10.

Как исправить проблему высокой загрузки ЦП процессом LSAISO

Чтобы решить эту проблему, Microsoft рекомендует использовать один из следующих методов.

  1. Используйте процесс исключения.
  2. Проверьте наличие APC в очереди.

Теперь давайте подробно рассмотрим два рекомендуемых решения.

1]Используйте процесс исключения

Некоторые приложения (например, антивирусные программы) часто внедряют библиотеки DLL или ставят APC в очередь в процесс LSAISO. Это приводит к высокой загрузке ЦП процессом LSAISO.

В этом сценарии «процесс устранения”Метод устранения неполадок требует, чтобы вы отключили приложения и драйверы до тех пор, пока скачок ЦП не будет уменьшен. После того, как вы определите, какое программное обеспечение вызывает проблему, обратитесь к поставщику за обновлением программного обеспечения.

2]Проверить наличие APC в очереди

В этом случае вам необходимо сначала загрузить бесплатный инструмент отладки Windows (WinDbg). В инструмент также включен в Комплект драйверов Windows (WDK).

После загрузки инструмента WinDbg вы можете продолжить действия, описанные ниже, чтобы определить, какой драйвер ставит APC в очередь на LSAISO.

Порядок действий следующий:

1. Пока вы воспроизводите скачок ЦП, сгенерируйте дамп памяти ядра, используя NotMyFault.exe — инструмент, входящий в комплект Sysinternals.
Примечание: Полный дамп памяти не рекомендуется, поскольку он потребует дешифрования, если в системе включен VSM.

Чтобы включить дамп ядра, сделайте следующее:

  • Нажмите клавишу Windows + R. В диалоговом окне «Выполнить» введите система контроля, нажмите Enter, чтобы открыть Система апплет на панели управления, а затем выберите Расширенные настройки системы.
  • На Передовой вкладка Свойства системы диалоговое окно выберите Настройки в Запуск и восстановление площадь.
  • в Запуск и восстановление диалоговое окно выберите Дамп памяти ядра в Напишите отладочную информацию выпадающий список.
  • Обратите внимание на Файл дампа место для использования в шаг 5, а затем щелкните Ok.

2. Щелкните значок Начинать кнопку, найдите и щелкните Комплекты Windows в меню «Пуск», затем выберите WinDbg (x64 / x86) для запуска инструмента.

3. О Файл меню, щелкните Путь к файлу символа, добавьте адресный путь ниже для Microsoft Symbol Server в Путь к символу поле и щелкните OK.

https://msdl.microsoft.com/download/symbols

4. Далее на Файл меню, щелкните Открыть аварийный дамп.

5. Перейдите в папку с файлом дампа ядра, отмеченную на шаге 1, и выберите Открыть. Проверьте дату на .dmp файл, чтобы убедиться, что он был создан заново во время этого сеанса устранения неполадок.

6. В Командование окно, тип ! apc, нажмите Enter.

Вы получите результат, аналогичный показанному ниже.

7. Найдите результаты для LsaIso.exe. Если драйвер с именем «<Драйвер проблемы> .sys»Указан в LsaIso.exe, как показано в выходных данных выше — обратитесь к поставщику, а затем отсылайте его к этому Документ Microsoft для рекомендуемого смягчения последствий для процессов изолированного режима пользователя (IUM).

Если в Lsaiso.exe нет драйверов, это означает, что процесс LSAISO не имеет APC в очереди.

Вот и все!

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.