Phenquestions
Sommige gebruikers kunnen worden geconfronteerd met het probleem waarbij de LSAISO.exe (LSA-geïsoleerd) proces ervaart een hoog CPU-gebruik op een Windows 10-computer. Het proces is gekoppeld aan: Credential Guard & Key Guard. In dit bericht bekijken we de mogelijke oorzaak en de aanbevolen oplossing voor dit probleem.
LSAISO-proces hoog CPU-gebruik
VSM gebruikt isolatiemodi die bekend staan als: Virtuele vertrouwensniveaus (VTL) om IUM-processen te beschermen (ook bekend als trustlets). IUM-processen zoals LSAISO lopen in VTL1 terwijl andere processen inlopen VTL0. De geheugenpagina's van processen die in VTL1 worden uitgevoerd, zijn beschermd tegen schadelijke code die in VTL0 wordt uitgevoerd.
Het Local Security Authority Subsystem Service (LSASS)-proces is verantwoordelijk voor het beheer van het lokale systeembeleid, gebruikersauthenticatie en auditing, terwijl het ook gevoelige beveiligingsgegevens verwerkt, zoals wachtwoordhashes en Kerberos-sleutels.
Om gebruik te maken van de beveiligingsvoordelen van VSM, de LSAISO-trustlet die wordt uitgevoerd in VTL1 communiceert via een RPC-kanaal met het LSAISO-proces dat wordt uitgevoerd VTL0. De LSAISO-geheimen worden versleuteld voordat ze naar LSASS worden verzonden, en de pagina's van LSAISO worden beschermd tegen kwaadaardige code die in VTL0 wordt uitgevoerd.
Mogelijke oorzaak van hoog CPU-gebruik in LSAISO-proces
In Windows 10, de LSAISO-proces loopt als een Geïsoleerde gebruikersmodus (IUM)-proces in een nieuwe beveiligingsomgeving die bekend staat als Virtuele veilige modus (VSM).
Toepassingen en stuurprogramma's die proberen een DLL (Dynamic Link Library) in een IUM-proces te laden, een thread te injecteren of een APC in gebruikersmodus te leveren, kunnen het hele systeem destabiliseren. Deze destabilisatie kan het hoge LSAISO-CPU-gebruik in Windows 10 veroorzaken.
Hoe LSAISO-proces een hoog CPU-gebruiksprobleem op te lossen?
Om dit probleem op te lossen, raadt Microsoft aan een van de volgende methoden te gebruiken:.
- Gebruik het proces van eliminatie.
- Controleren op APC's in de wachtrij.
Laten we nu ingaan op de details van de twee aanbevolen oplossingen.
1] Gebruik het eliminatieproces
Het is gebruikelijk voor sommige toepassingen (zoals antivirusprogramma's) om DLL's te injecteren of APC's in de wachtrij te plaatsen in het LSAISO-proces. Dit zorgt ervoor dat het LSAISO-proces een hoog CPU-gebruik ervaart.
In dit scenario is de “proces van eliminatieDe methode voor het oplossen van problemen vereist dat u toepassingen en stuurprogramma's uitschakelt totdat de CPU-piek is verholpen. Nadat u hebt vastgesteld welke software het probleem veroorzaakt, neemt u contact op met de leverancier voor een software-update.
2] Controleer op APC's in de wachtrij
In dit scenario moet u eerst het gratis hulpprogramma Windows Debugging (WinDbg) downloaden. De tool is ook opgenomen in de Windows Driver Kit (WDK).
Nadat u de WinDbg-tool hebt gedownload, kunt u doorgaan met de onderstaande stappen om te bepalen welk stuurprogramma een APC in de wachtrij zet naar LSAISO.De procedure is als volgt:. Terwijl u de CPU-piek reproduceert, genereert u een kernelgeheugendump met behulp van NotMyFault.exe - een tool gebundeld in de Sysinternals-suite.
Opmerking: Een volledige geheugendump wordt niet aanbevolen, omdat deze ontsleuteld zou moeten worden als VSM op het systeem is ingeschakeld.
Ga als volgt te werk om de kerneldump in te schakelen:
- Druk op Windows-toets + R. Typ in het dialoogvenster Uitvoeren controle systeem, druk op Enter om de . te openen Systeem applet in het Configuratiescherm en selecteer vervolgens Geavanceerde systeeminstellingen.
- Op de Geavanceerd tabblad van de Systeem eigenschappen dialoogvenster, selecteer Instellingen in de Opstarten en herstellen Oppervlakte.
- In de Opstarten en herstellen dialoogvenster, selecteer Kernelgeheugendump in de Foutopsporingsinformatie schrijven keuzelijst.
- Noteer de Dumpbestand locatie om in te gebruiken stap 5, en klik vervolgens op OK.
2. Klik op de Begin knop, zoek en klik Windows-kits item in het menu Start en selecteer vervolgens WinDbg(x64/x86) om de tool te starten.3. Op de het dossier menu, klik op Symbool Bestandspad, voeg het onderstaande adrespad voor de Microsoft Symbol Server toe aan de Symbool pad veld, en klik op OK.
https://msdl.microsoft.com/download/symbolen
4. Volgende, op de het dossier menu, klik op Crashdump openen.
5. Blader naar de locatie van het kerneldumpbestand dat u in stap 1 hebt genoteerd en selecteer vervolgens Open. Check de datum op de .dmp bestand om te controleren of het nieuw is gemaakt tijdens deze sessie voor probleemoplossing.
6. In de Opdracht venster, typ !apc, druk op Enter.
U ontvangt een vergelijkbare uitvoer zoals hieronder weergegeven:.
7. Zoek de resultaten voor LsaIso.exe. Als een stuurprogramma met de naam "
Als er geen stuurprogramma's worden vermeld onder Lsaiso.exe, dit betekent dat het LSAISO-proces geen APC's in de wachtrij heeft.
Dat is het!
