Ayusin ang LSAISO proseso ng mataas na paggamit ng CPU sa Windows 10

Ang ilang mga gumagamit ay maaaring naharap sa problema kung saan ang LSAISO.exe (LSA Isolated) mga karanasan sa proseso mataas na paggamit ng CPU sa isang Windows 10 computer. Ang proseso ay nauugnay sa Credential Guard & Key Guard. Sa post na ito, mayroon kaming pagtingin sa posibleng sanhi at ang inirekumendang solusyon sa isyung ito.

LSAISO proseso ng mataas na paggamit ng CPU

LSAISO proseso ng mataas na paggamit ng CPU

Ang VSM ay gumagamit ng mga mode ng paghihiwalay na kilala bilang Mga Antas ng Virtual Trust (VTL) upang maprotektahan ang mga proseso ng IUM (kilala rin bilang mga trustlet). Ang mga proseso ng IUM tulad ng LSAISO ay tumatakbo VTL1 habang ang iba pang mga proseso ay tumatakbo VTL0. Ang mga pahina ng memorya ng mga proseso na nagpapatakbo sa VTL1 ay protektado mula sa anumang nakahahamak na code na tumatakbo sa VTL0.

Ang Serbisyong Lokalidad ng Ligtas ng Lokal na Lokal Ang proseso ay responsable para sa pamamahala ng lokal na patakaran ng system, pagpapatunay ng gumagamit, at pag-awdit habang hinahawakan din nito ang sensitibong data ng seguridad tulad ng mga hashes ng password at mga pindutan ng Kerberos.

Upang magamit ang mga benepisyo sa seguridad ng VSM, ang trustlet ng LSAISO na tumatakbo VTL1 nakikipag-usap sa pamamagitan ng isang RPC channel na may proseso ng LSAISO na tumatakbo VTL0. Ang LSAISO lihim ay naka-encrypt bago sila maipadala sa LSASS, at ang mga pahina ng LSAISO ay protektado mula sa anumang nakakahamak na code na tumatakbo sa VTL0.

Posibleng sanhi ng proseso ng LSAISO mataas na paggamit ng CPU

In Windows 10, ang Proseso ng LSAISO tumatakbo bilang isang Napababang Mode ng Gumagamit (IUM) proseso sa isang bagong kapaligiran sa seguridad na kilala bilang Virtual Secure Mode (VSM).

Ang mga aplikasyon at driver na sumusubok na mag-load a DLL (Dynamic Link Library) sa isang proseso ng IUM, mag-iniksyon ng isang thread, o maghatid ng isang mode ng gumagamit na APC ay maaaring makapagpapatawad sa buong sistema. Ang pagpapapanatag na ito ay maaaring mag-trigger ng mataas na paggamit ng LSAISO CPU sa Windows 10.

Paano ayusin ang proseso ng LSAISO mataas na isyu sa paggamit ng CPU

Upang malutas ang isyung ito, microsoft inirerekumenda ang paggamit ng isa sa mga sumusunod na pamamaraan.

  1. Gamitin ang proseso ng pag-aalis.
  2. Suriin para sa mga nakapila na mga APC.

Ngayon, suriin natin ang mga detalye para sa dalawang inirekumendang solusyon.

1] Gamitin ang proseso ng pag-aalis

Karaniwan sa ilang mga aplikasyon (tulad ng mga programang antivirus) na mag-iniksyon ng mga DLL o mag-pila ng mga APC sa proseso ng LSAISO. Ito ang nagiging sanhi ng proseso ng LSAISO upang makaranas ng mataas na paggamit ng CPU.

Sa sitwasyong ito, ang "proseso ng pag-aalis"Ang pag-aayos ng pamamaraan ay nangangailangan na hindi mo paganahin ang mga application at driver hanggang sa ang CPU spike ay naliit. Matapos mong alamin kung aling software ang nagdudulot ng problema, makipag-ugnay sa vendor para sa isang pag-update ng software.

2] Suriin ang mga nakapila na mga APC

Sa sitwasyong ito, kailangan mo munang i-download ang libre Windows Debugging (WinDbg) tool. Ang Kasama rin ang tool nasa Windows Driver Kit (WDK).

Kapag na-download ang tool ng WinDbg, maaari mong magpatuloy sa mga hakbang na nakabalangkas sa ibaba upang matukoy kung aling driver ang nakapila sa APC sa LSAISO.

Ang pamamaraan ay ang mga sumusunod:
1. Habang pinaparami mo ang CPU spike, bumuo ng isang kernel memory dump sa pamamagitan ng paggamit NotMyFault.exe - isang tool na naka-bundle sa Sysinternals suite.

tandaan: Ang isang kumpletong pag-alis ng memorya ay hindi inirerekomenda dahil kakailanganin itong mag-decryption kung ang VSM ay pinagana sa system.

Upang paganahin ang kernel dump, gawin ang mga sumusunod:

  • Pindutin ang Windows key + R. Sa kahon ng dialog ng Run, uri control system, pindutin ang Enter upang buksan ang Sistema applet sa Control Panel, at pagkatapos ay piliin ang Mga setting ng advanced na system.
  • Sa Advanced tab ng Ang mga katangian ng sistema dialog box, piliin ang Setting nasa Startup at Pagbawi lugar.
  • Sa Startup at Pagbawi dialog box, piliin ang Kernel memory dump nasa Sumulat ng impormasyon sa pag-debug drop-down na listahan.
  • Gumawa ng tala ng Dump File lokasyon upang magamit sa hakbang 5, At pagkatapos ay i-click ang OK.

2. I-click ang simula pindutan, hanapin at mag-click Mga Windows Kit pagpasok sa Start menu, pagkatapos ay piliin ang WinDbg (x64 / x86) upang ilunsad ang tool.

3. Sa talaksan menu, i-click ang Simbolo ng File ng Simbolo, idagdag ang landas ng address sa ibaba para sa Microsoft Symbol Server sa Landas ng simbolo patlang, at i-click OK.

https://msdl.microsoft.com/download/symbols

4. Susunod, sa talaksan menu, i-click ang Buksan ang Basura.

5. Mag-browse sa lokasyon ng kernel dump file na iyong napuna sa hakbang 1, at pagkatapos ay piliin ang Pagbubukas. Suriin ang petsa sa .dmp file upang matiyak na ito ay bagong nilikha sa session ng pag-aayos.

6. Nasa Utos window, uri ! apc, pindutin ang Enter.

Makakatanggap ka ng isang katulad na output tulad ng ipinapakita sa ibaba.

7. Maghanap ng mga resulta para sa LsaIso.exe. Kung ang isang driver na pinangalanan "<ProblemDriver> .sys"Ay nakalista sa ilalim ng LsaIso.exe, tulad ng ipinapakita sa output sa itaas - makipag-ugnay sa nagbebenta, at pagkatapos ay i-refer ang mga ito sa ito Dokumento ng Microsoft para sa inirekumendang pag-aalis para sa mga proseso ng Isolated User mode (IUM)

Kung walang mga driver na nakalista sa ilalim ng Lsaiso.exe, nangangahulugan ito na ang proseso ng LSAISO ay walang nakapila na mga APC.

Mag-iwan ng komento