Phenquestions
Nogle brugere kan blive stillet over for det problem, hvor LSAISO.exe (LSA Isoleret) proces oplever høj CPU-brug på en Windows 10-computer. Processen er forbundet med Credential Guard & Key Guard. I dette indlæg ser vi på den mulige årsag og den anbefalede løsning på dette problem.
LSAISO behandler høj CPU-brug
VSM bruger isolationstilstande, der er kendt som Virtuelle tillidsniveauer (VTL) for at beskytte IUM-processer (også kendt som trustlets). IUM-processer som LSAISO kører ind VTL1 mens andre processer kører ind VTL0. Hukommelsessiderne for processer, der kører i VTL1, er beskyttet mod enhver ondsindet kode, der kører i VTL0.
LSASS-processen (Local Security Authority Subsystem Service) er ansvarlig for styring af den lokale systempolitik, brugergodkendelse og revision, mens den også håndterer følsomme sikkerhedsdata såsom adgangskodeshash og Kerberos-nøgler.
For at bruge sikkerhedsfordelene ved VSM, LSAISO trustlet, der kører ind VTL1 kommunikerer gennem en RPC-kanal med LSAISO-processen, der kører ind VTL0. LSAISO-hemmelighederne krypteres, før de sendes til LSASS, og siderne i LSAISO er beskyttet mod enhver ondsindet kode, der kører i VTL0.
Mulig årsag til LSAISO-processen med høj CPU-brug
I Windows 10 er LSAISO-proces kører som en Isoleret brugertilstand (IUM) proces i et nyt sikkerhedsmiljø, der er kendt som Virtuel sikker tilstand (VSM).
Applikationer og drivere, der forsøger at indlæse et DLL (Dynamic Link Library) i en IUM-proces, indsprøjte en tråd eller levere en APC i brugertilstand, kan destabilisere hele systemet. Denne destabilisering kan udløse den høje LSAISO CPU-brug i Windows 10.
Sådan løses problemet med LSAISO-proces med høj CPU-brug
For at løse dette problem anbefaler Microsoft at bruge en af følgende metoder.
- Brug eliminationsprocessen.
- Kontroller for APC'er i kø.
Lad os nu gå i detaljer med de to anbefalede løsninger.
1] Brug eliminationsprocessen
Det er almindeligt for nogle applikationer (såsom antivirusprogrammer) at injicere DLL'er eller APC'er i kø til LSAISO-processen. Dette får LSAISO-processen til at opleve høj CPU-brug.
I dette scenarie ereliminationsproces”Fejlfindingsmetode kræver, at du deaktiverer applikationer og drivere, indtil CPU-spidsen er afhjulpet. Når du har fundet ud af, hvilken software der forårsager problemet, skal du kontakte sælgeren for en softwareopdatering.
2] Kontroller for APC'er i kø
I dette scenarie skal du først downloade det gratis Windows Debugging-værktøj (WinDbg). Værktøjet er også inkluderet i Windows Driver Kit (WDK).
Når du har downloadet WinDbg-værktøjet, kan du fortsætte med nedenstående trin for at bestemme, hvilken driver der køer en APC til LSAISO.Fremgangsmåden er som følger: 1. Mens du reproducerer CPU-spidsen, skal du generere en kernehukommelsesdump ved hjælp af NotMyFault.exe - et værktøj samlet i Sysinternals-pakken.
Bemærk: En komplet hukommelsesdump anbefales ikke, da det kræver dekryptering, hvis VSM er aktiveret på systemet.
For at aktivere kernedumpen skal du gøre følgende:
- Tryk på Windows-tasten + R. Skriv i dialogboksen Kør kontrolsystem, tryk Enter for at åbne System applet i Kontrolpanel, og vælg derefter Avancerede systemindstillinger.
- På den Fremskreden fanen i Systemegenskaber dialogboks, vælg Indstillinger i Opstart og gendannelse areal.
- I Opstart og gendannelse dialogboks, vælg Kernehukommelsesdump i Skriv oplysninger om fejlretning rulleliste.
- Skriv et notat af Dump fil placering til brug i trin 5, og klik derefter på Okay.
2. Klik på Start knap, find og klik Windows-sæt i Start-menuen, og vælg derefter WinDbg (x64 / x86) for at starte værktøjet.3. På den Fil menu, skal du klikke Symbolfilsti, tilføj adresse stien nedenfor for Microsoft Symbol Server til Symbolsti felt, og klik på Okay.
https: // msdl.Microsoft.com / download / symboler
4. Dernæst på Fil menu, skal du klikke Åbn Crash Dump.
5. Gennemse placeringen af kernedump-filen, som du bemærkede i trin 1, og vælg derefter Åben. Tjek datoen på .dmp fil for at sikre, at den blev oprettet for nylig under denne fejlfindingssession.
6. I Kommando vindue, skriv !ca, tryk Enter.
Du modtager en lignende output som vist nedenfor.
7. Søg efter resultaterne for LsaIso.exe. Hvis en driver, der hedder “
Hvis ingen chauffører er angivet under Lsaiso.exe betyder det, at LSAISO-processen ikke har APC'er i kø.
Det er det!
