Beheben Sie die hohe CPU-Auslastung des LSAISO-Prozesses in Windows 10

Einige Benutzer haben möglicherweise das Problem, dass die LSAISO.exe (LSA isoliert) Prozess weist eine hohe CPU-Auslastung auf einem Windows 10-Computer auf. Der Prozess ist verbunden mit Credential Guard & Key Guard. In diesem Beitrag schauen wir uns die mögliche Ursache und die empfohlene Lösung für dieses Problem an.

LSAISO verarbeitet hohe CPU-Auslastung

VSM verwendet Isolationsmodi, die als . bekannt sind Virtuelle Vertrauensstufen (VTL) zum Schutz von IUM-Prozessen (auch Trustlets genannt). IUM-Prozesse wie LSAISO laufen in VTL1 während andere Prozesse laufen VTL0. Die Speicherseiten von Prozessen, die in VTL1 ausgeführt werden, sind vor schädlichem Code geschützt, der in VTL0 ausgeführt wird.

Der Local Security Authority Subsystem Service (LSASS)-Prozess ist für die Verwaltung der lokalen Systemrichtlinie, die Benutzerauthentifizierung und das Auditing verantwortlich, während er auch sensible Sicherheitsdaten wie Passwort-Hashes und Kerberos-Schlüssel verarbeitet.

Um die Sicherheitsvorteile von VSM zu nutzen, dem LSAISO-Trustlet, das in VTL1 kommuniziert über einen RPC-Kanal mit dem LSAISO-Prozess, der in läuft VTL0. Die LSAISO-Geheimnisse werden verschlüsselt, bevor sie an LSASS gesendet werden, und die Seiten von LSAISO sind vor bösartigem Code geschützt, der in VTL0 ausgeführt wird.

Mögliche Ursache für die hohe CPU-Auslastung des LSAISO-Prozesses

In Windows 10 ist die LSAISO-Prozess läuft als ein Isolierter Benutzermodus (IUM)-Prozess in einer neuen Sicherheitsumgebung, die als . bekannt ist Virtueller sicherer Modus (VSM).

Anwendungen und Treiber, die versuchen, eine DLL (Dynamic Link Library) in einen IUM-Prozess zu laden, einen Thread einzufügen oder eine APC im Benutzermodus bereitzustellen, können das gesamte System destabilisieren. Diese Destabilisierung kann die hohe LSAISO-CPU-Auslastung in Windows 10 auslösen.

So beheben Sie das Problem mit der hohen CPU-Auslastung des LSAISO-Prozesses

Um dieses Problem zu beheben, empfiehlt Microsoft, eine der folgenden Methoden zu verwenden.

1. Verwenden Sie das Eliminierungsverfahren.
2. Auf APCs in der Warteschlange prüfen.

Lassen Sie uns nun in die Details der beiden empfohlenen Lösungen eingehen.

1] Verwenden Sie das Eliminierungsverfahren

Bei einigen Anwendungen (z. B. Antivirenprogrammen) ist es üblich, DLLs zu injizieren oder APCs in die Warteschlange des LSAISO-Prozesses zu stellen. Dies führt zu einer hohen CPU-Auslastung des LSAISO-Prozesses.

In diesem Szenario ist die „Prozess der EliminierungDie Fehlerbehebungsmethode erfordert, dass Sie Anwendungen und Treiber deaktivieren, bis die CPU-Spitze abgeschwächt ist. Nachdem Sie festgestellt haben, welche Software das Problem verursacht, wenden Sie sich an den Anbieter, um ein Software-Update zu erhalten.

2] Auf APCs in der Warteschlange prüfen

In diesem Szenario müssen Sie zuerst das kostenlose Windows Debugging (WinDbg)-Tool herunterladeng. Das Tool ist auch im Lieferumfang enthalten Windows-Treiberkit (WDK).

Nachdem Sie das WinDbg-Tool heruntergeladen haben, können Sie mit den unten beschriebenen Schritten fortfahren, um festzustellen, welcher Treiber einen APC in die Warteschlange für LSAISO stellt.Das Verfahren ist wie folgt: 1. Während Sie die CPU-Spitze reproduzieren, erstellen Sie mit NotMyFault . einen Kernel-Speicherabzug.exe - ein Tool, das in der Sysinternals-Suite enthalten ist.

Hinweis: Ein vollständiger Speicherabzug wird nicht empfohlen, da er eine Entschlüsselung erfordern würde, wenn VSM auf dem System aktiviert ist.

Um den Kernel-Dump zu aktivieren, gehen Sie wie folgt vor:

• Drücken Sie die Windows-Taste + R. Geben Sie im Dialogfeld Ausführen ein Kontrollsystem, Drücken Sie die Eingabetaste, um die zu öffnen System Applet in der Systemsteuerung und wählen Sie dann Erweiterte Systemeinstellungen.
• Auf der Fortgeschritten Registerkarte des Systemeigenschaften Dialogfeld, wählen Sie die Einstellungen in dem Start und Wiederherstellung Bereich.
• In dem Start und Wiederherstellung Dialogfeld, wählen Sie Kernel-Speicher-Dump in dem Debugging-Informationen schreiben Dropdown-Liste.
• Notieren Sie sich die Dump-Datei Standort zu verwenden in Schritt 5, und dann klick OK.

2. Drücke den Start klicken, suchen und klicken Windows-Kits Eintrag im Startmenü, dann wählen Sie WinDbg(x64/x86) um das Tool zu starten.3. Auf der Datei Menü, klick Symboldateipfad, fügen Sie den unten stehenden Adresspfad für den Microsoft Symbol Server zu dem Symbolpfad Feld und klicken Sie auf OK.

https://msdl.Microsoft.com/download/symbole

4. Als nächstes auf der Datei Menü, klick Crash Dump öffnen.

5. Navigieren Sie zum Speicherort der Kernel-Dump-Datei, die Sie in Schritt 1 notiert haben, und wählen Sie dann Öffnen. Überprüfen Sie das Datum auf der .dmp Datei, um sicherzustellen, dass sie während dieser Fehlerbehebungssitzung neu erstellt wurde.

6. In dem Befehl Fenster, Typ !apc, drücke Enter.

Sie erhalten eine ähnliche Ausgabe wie unten gezeigt.

7. Suche in den Ergebnissen für LsaIso.exe. Wenn ein Treiber mit dem Namen „.sys” ist unter LsaIso . aufgeführt.exe, wie in der obigen Ausgabe gezeigt - wenden Sie sich an den Anbieter und verweisen Sie ihn dann auf dieses Microsoft-Dokument, um die empfohlene Risikominderung für die Prozesse im isolierten Benutzermodus (IUM) zu erfahren.

Wenn unter Lsaiso . keine Treiber aufgeführt sind.exe bedeutet dies, dass der LSAISO-Prozess keine APCs in der Warteschlange hat.

Das ist es!