Исправление процесса LSAISO с высокой загрузкой ЦП в Windows 10

Некоторые пользователи могут столкнуться с проблемой, из-за которой процесс LSAISO.exe (изолированный LSA) сильно загружает ЦП(high CPU usage) на компьютере с Windows 10 . Процесс связан с Credential Guard и Key Guard(Credential Guard & Key Guard) . В этом посте мы рассмотрим возможную причину и рекомендуемое решение этой проблемы.

Процесс LSAISO с высокой загрузкой ЦП

Процесс LSAISO с высокой загрузкой ЦП

VSM использует режимы изоляции, известные как виртуальные уровни доверия(Virtual Trust Levels) ( VTL ), для защиты процессов IUM (также известных как трастлеты). Процессы IUM(IUM) , такие как LSAISO , выполняются в VTL1 , а другие процессы — в VTL0 . Страницы памяти процессов, работающих в VTL1 , защищены от любого вредоносного кода, работающего в VTL0 .

Процесс службы подсистемы локального органа безопасности (LSASS) отвечает за управление политикой локальной системы, аутентификацию пользователей и аудит, а также обрабатывает конфиденциальные данные безопасности, такие как хэши паролей и ключи Kerberos .

Чтобы использовать преимущества безопасности VSM , трастлет(LSAISO) LSAISO, работающий в VTL1 , взаимодействует через канал RPC с процессом (RPC)LSAISO , работающим в VTL0 . Секреты LSAISO(LSAISO) шифруются перед отправкой в ​​LSASS , а страницы LSAISO защищены от любого вредоносного кода, работающего в VTL0 .

Возможная причина высокой загрузки ЦП процессом LSAISO(Possible cause of LSAISO process high CPU usage)

В Windows 10 процесс LSAISO(LSAISO process) выполняется как процесс изолированного пользовательского режима(Isolated User Mode) ( IUM ) в новой среде безопасности, известной как виртуальный безопасный режим(Virtual Secure Mode) (VSM).

Приложения и драйверы, пытающиеся загрузить DLL (библиотеку динамической компоновки)(DLL (Dynamic Link Library)) в процесс IUM , внедрить поток или доставить (IUM)APC пользовательского режима, могут дестабилизировать всю систему. Эта дестабилизация может вызвать высокую загрузку ЦП LSAISO(LSAISO CPU) в Windows 10 .

Как исправить проблему высокой загрузки ЦП процессом LSAISO(How to fix LSAISO process high CPU usage issue)

Чтобы решить эту проблему, Microsoft рекомендует использовать один из следующих методов.

  1. Используйте процесс исключения.
  2. Проверьте наличие APC в очереди.

Теперь давайте углубимся в детали двух рекомендуемых решений.

1] Используйте процесс исключения(1] Use the process of elimination)

Некоторые приложения (например, антивирусные программы) часто внедряют библиотеки DLL(DLLs) или помещают в очередь APC(APCs) в процесс LSAISO . Это приводит к высокой загрузке ЦП(CPU) процессом LSAISO .

В этом сценарии метод устранения неполадок « процесс устранения(process of elimination) » требует, чтобы вы отключили приложения и драйверы до тех пор, пока всплеск ЦП(CPU) не будет смягчен. После того, как вы определите, какое программное обеспечение вызывает проблему, обратитесь к поставщику за обновлением программного обеспечения.

2] Проверьте наличие APC в очереди(2] Check for queued APCs)

В этом случае вам необходимо сначала загрузить бесплатное средство отладки Windows (WinDbg) . Инструмент также включен(tool is also included) в комплект драйверов Windows(Windows Driver Kit) (WDK).

После загрузки инструмента WinDbg вы можете выполнить шаги, описанные ниже, чтобы определить, какой драйвер ставит (WinDbg)APC в очередь на LSAISO .

NotMyFault.exe

Примечание.(Note:) Полный дамп памяти делать не рекомендуется, поскольку для этого потребуется расшифровка, если в системе включен VSM .

Чтобы включить дамп ядра, сделайте следующее:

  • Нажмите клавишу Windows + R. В диалоговом окне « Выполнить » введите (Run)control system , нажмите Enter, чтобы открыть апплет « Система» на (System)панели управления(Control Panel) , а затем выберите « Дополнительные параметры системы»(Advanced system settings) .
  • На  вкладке «  Дополнительно(Advanced) »  диалогового окна  « Свойства системы » выберите « (System Properties)Параметры (Settings ) » в области «  Запуск и восстановление(Startup and Recovery) »  .
  • В диалоговом окне « Запуск и восстановление(Startup and Recovery)  » выберите  « Дамп памяти ядра(Kernel memory dump) »  в  раскрывающемся списке « Запись отладочной информации ».(Write debugging information)
  • Запишите местоположение файла дампа(Dump File)  , который будет использоваться на  шаге 5(step 5) , и нажмите кнопку ОК(OK) .

2. Нажмите кнопку « Пуск(Start) », найдите и щелкните пункт Windows Kits(Windows Kits) в меню « Пуск(Start) », затем выберите WinDbg(x64/x86) , чтобы запустить инструмент.

File Symbol File Path Symbol path OK.

https://msdl.microsoft.com/download/symbols

4. Затем в меню « Файл(File)  » нажмите  « Открыть аварийный дамп(Open Crash Dump) » .

5. Перейдите(Browse) к местоположению файла дампа ядра, которое вы отметили на шаге 1, а затем выберите Открыть(Open) . Проверьте дату в файле .dmp , чтобы убедиться, что он был заново создан во время этого сеанса устранения неполадок.

6. В командном(Command)  окне введите  !apc и нажмите Enter.

Вы получите аналогичный вывод, как показано ниже.

7. Найдите в результатах поиск LsaIso.exe . Если драйвер с именем « <ProblemDriver>.sys » указан в списке LsaIso.exe , как показано в выходных данных выше, обратитесь к поставщику, а затем обратитесь к этому документу Microsoft(Microsoft document) за рекомендуемыми мерами по устранению последствий для режима изолированного пользователя(Isolated User Mode) ( IUM ) процессы.

Если в списке Lsaiso.exe(Lsaiso.exe) нет драйверов , это означает, что процесс LSAISO не имеет очереди APC(APCs) .

That’s it!



About the author

Я компьютерный техник с более чем 10-летним опытом, в том числе 3 года в качестве 店員. У меня есть опыт работы с устройствами Apple и Android, и я особенно хорошо разбираюсь в ремонте и обновлении компьютеров. Я также люблю смотреть фильмы на своем компьютере и использовать свой iPhone для съемки фотографий и видео.



Related posts