Opravte vysoké využití procesoru LSAISO v systému Windows 10

Někteří uživatelé se mohou potýkat s problémem, ve kterém LSAISO.exe Proces (LSA Isolated) vykazuje vysoké využití CPU v počítači se systémem Windows 10. Proces je spojen s Credential Guard & Key Guard. V tomto příspěvku se podíváme na možnou příčinu a doporučené řešení tohoto problému.

LSAISO zpracovává vysoké využití CPU

VSM používá režimy izolace, které jsou známé jako Virtuální úrovně důvěryhodnosti (VTL) k ochraně procesů IUM (také známých jako trustlety). Jsou spuštěny procesy IUM, jako je LSAISO VTL1 zatímco ostatní procesy běží VTL0. Paměťové stránky procesů spuštěných ve VTL1 jsou chráněny před jakýmkoli škodlivým kódem spuštěným ve VTL0.

Proces Local Security Authority Subsystem Service (LSASS) je zodpovědný za správu místních systémových zásad, ověřování uživatelů a auditování a zároveň zpracovává citlivá bezpečnostní data, jako jsou hash hesel a klíče Kerberos.

Chcete-li využívat bezpečnostní výhody VSM, důvěryhodnosti LSAISO, která běží VTL1 komunikuje prostřednictvím kanálu RPC s běžícím procesem LSAISO VTL0. Tajemství LSAISO jsou před odesláním do LSASS zašifrována a stránky LSAISO jsou chráněny před jakýmkoli škodlivým kódem spuštěným ve VTL0.

Možná příčina vysokého využití procesoru LSAISO

Ve Windows 10 se Proces LSAISO běží jako Režim izolovaného uživatele (IUM) proces v novém bezpečnostním prostředí, které je známé jako Virtuální zabezpečený režim (VSM).

Aplikace a ovladače, které se pokusí načíst DLL (Dynamic Link Library) do procesu IUM, vložit vlákno nebo dodat APC v uživatelském režimu, mohou destabilizovat celý systém. Tato destabilizace může vyvolat vysoké využití procesoru LSAISO v systému Windows 10.

Jak opravit problém s vysokým využitím procesoru LSAISO

Chcete-li tento problém vyřešit, společnost Microsoft doporučuje použít jednu z následujících metod.

1. Použijte proces eliminace.
2. Zkontrolujte, zda jsou ve frontě APC.

Nyní se podívejme na podrobnosti dvou doporučených řešení.

1] Použijte postup eliminace

U některých aplikací (například antivirových programů) je běžné vkládat do procesu LSAISO soubory DLL nebo zařadit APC do fronty. To způsobí, že proces LSAISO zaznamená vysoké využití procesoru.

V tomto scénáři „proces eliminace„Metoda řešení potíží vyžaduje, abyste deaktivovali aplikace a ovladače, dokud nebude zmírněna špička CPU. Jakmile zjistíte, který software způsobuje problém, požádejte dodavatele o aktualizaci softwaru.

2] Zkontrolujte, zda jsou ve frontě APC

V tomto scénáři budete muset nejprve stáhnout bezplatný nástroj Windows Debugging (WinDbg). Tento nástroj je také součástí Sada ovladačů Windows (WDK).

Jakmile si stáhnete nástroj WinDbg, můžete pokračovat podle níže uvedených kroků a určit, který ovladač zařazuje APC do fronty LSAISO.Postup je následující: 1. Zatímco reprodukujete špičku CPU, vygenerujte výpis paměti jádra pomocí NotMyFault.exe - nástroj dodávaný do sady Sysinternals.

Poznámka: Úplný výpis paměti se nedoporučuje, protože by vyžadoval dešifrování, pokud je v systému povolen VSM.

Chcete-li povolit výpis jádra, postupujte takto:

• Stiskněte klávesu Windows + R. V dialogovém okně Spustit zadejte kontrolní systém, stisknutím klávesy Enter otevřete Systém applet v Ovládacích panelech a poté vyberte Pokročilé systémové nastavení.
• Na Pokročilý záložka Systémové vlastnosti v dialogovém okně vyberte Nastavení v Spuštění a zotavení plocha.
• V Spuštění a zotavení v dialogovém okně vyberte Výpis paměti jádra v Napište informace o ladění rozbalovací seznam.
• Poznamenejte si Vypsat soubor umístění k použití v krok 5, a poté klikněte OK.

2. Klikněte na ikonu Start tlačítko, vyhledejte a klikněte Windows sady položku v nabídce Start a poté vyberte WinDbg (x64 / x86) spustit nástroj.3. Na Soubor v nabídce klikněte na Cesta k souboru symbolu, přidat cestu adresy níže pro Microsoft Symbol Server do Cesta symbolu pole a klikněte na OK.

https: // msdl.Microsoft.com / download / symboly

4. Dále na Soubor v nabídce klikněte na Otevřete Crash Dump.

5. Přejděte do umístění souboru s výpisem jádra, který jste si poznamenali v kroku 1, a poté vyberte Otevřeno. Zkontrolujte datum na .dmp soubor, abyste se ujistili, že byl nově vytvořen během této relace odstraňování problémů.

6. V Příkaz okno, zadejte !apc, stiskněte klávesu Enter.

Obdržíte podobný výstup, jak je znázorněno níže.

7. Hledat výsledky pro LsaIso.exe. Pokud řidič s názvem „.sys”Je uveden pod LsaIso.exe, jak je znázorněno na výstupu výše - kontaktujte dodavatele a poté je odkažte na tento dokument Microsoftu ohledně doporučeného zmírnění procesů v režimu izolovaného uživatele (IUM).

Pokud v seznamu Lsaiso nejsou uvedeny žádné ovladače.exe, to znamená, že proces LSAISO nemá žádné APC ve frontě.

A je to!