Phenquestions
Algunos usuarios pueden enfrentarse al problema en el que el LSAISO.exe El proceso (LSA aislado) experimenta un alto uso de la CPU en una computadora con Windows 10. El proceso está asociado con Credential Guard y Key Guard. En esta publicación, echamos un vistazo a la posible causa y la solución recomendada para este problema.
Alto uso de CPU del proceso LSAISO
VSM utiliza modos de aislamiento que se conocen como Niveles de confianza virtual (VTL) para proteger los procesos IUM (también conocidos como trustlets). Los procesos IUM como LSAISO se ejecutan en VTL1 mientras que otros procesos se ejecutan en VTL0. Las páginas de memoria de los procesos que se ejecutan en VTL1 están protegidas de cualquier código malicioso que se ejecute en VTL0.
El proceso del Servicio de Subsistema de Autoridad de Seguridad Local (LSASS) es responsable de administrar la política del sistema local, la autenticación de usuarios y la auditoría, mientras que también maneja datos de seguridad confidenciales como hashes de contraseñas y claves Kerberos.
Para utilizar los beneficios de seguridad de VSM, el trustlet LSAISO que se ejecuta en VTL1 se comunica a través de un canal RPC con el proceso LSAISO que se ejecuta en VTL0. Los secretos de LSAISO se cifran antes de enviarse a LSASS, y las páginas de LSAISO están protegidas de cualquier código malicioso que se ejecute en VTL0.
Posible causa del uso elevado de CPU del proceso LSAISO
En Windows 10, el Proceso LSAISO corre como un Modo de usuario aislado (IUM) en un nuevo entorno de seguridad que se conoce como Modo seguro virtual (VSM).
Las aplicaciones y controladores que intentan cargar una DLL (biblioteca de vínculos dinámicos) en un proceso de IUM, inyectar un hilo o entregar un APC en modo de usuario pueden desestabilizar todo el sistema. Esta desestabilización puede desencadenar el alto uso de CPU LSAISO en Windows 10.
Cómo solucionar el problema de uso elevado de CPU del proceso LSAISO
Para resolver este problema, Microsoft recomienda utilizar uno de los siguientes métodos.
- Usa el proceso de eliminación.
- Compruebe si hay APC en cola.
Ahora, profundicemos en los detalles de las dos soluciones recomendadas.
1] Utilice el proceso de eliminación
Es común que algunas aplicaciones (como los programas antivirus) inyecten DLL o pongan en cola APC al proceso LSAISO. Esto hace que el proceso LSAISO experimente un alto uso de la CPU.
En este escenario, el "proceso de eliminación”El método de solución de problemas requiere que desactive las aplicaciones y los controladores hasta que se mitigue el pico de CPU. Después de determinar qué software está causando el problema, comuníquese con el proveedor para obtener una actualización de software.
2] Compruebe si hay APC en cola
En este escenario, primero deberá descargar la herramienta gratuita de depuración de Windows (WinDbg). La herramienta también se incluye en el Kit de controladores de Windows (WDK).
Una vez que haya descargado la herramienta WinDbg, puede continuar con los pasos que se describen a continuación para determinar qué controlador está poniendo en cola un APC para LSAISO.El procedimiento es el siguiente: 1. Mientras reproduce el pico de la CPU, genere un volcado de memoria del kernel utilizando NotMyFault.exe: una herramienta incluida en la suite Sysinternals.
Nota: No se recomienda un volcado de memoria completo porque requeriría descifrado si VSM está habilitado en el sistema.
Para habilitar el volcado del kernel, haga lo siguiente:
- Presione la tecla de Windows + R. En el cuadro de diálogo Ejecutar, escriba sistema de control, presione Enter para abrir el Sistema subprograma en el Panel de control y, a continuación, seleccione Configuración avanzada del sistema.
- Sobre el Avanzado pestaña de la Propiedades del sistema cuadro de diálogo, seleccione Ajustes en el Inicio y recuperación área.
- En el Inicio y recuperación cuadro de diálogo, seleccione Volcado de memoria del kernel en el Escribir información de depuración la lista desplegable.
- Anote el Archivo de volcado ubicación para usar en paso 5, y luego haga clic en OK.
2. Haga clic en el Comienzo , localice y haga clic en Kits de Windows entrada en el menú Inicio, luego seleccione WinDbg (x64 / x86) para lanzar la herramienta.3. Sobre el Archivo menú, haga clic en Ruta del archivo de símbolo, agregue la ruta de dirección a continuación para el servidor de símbolos de Microsoft a la Ruta de símbolo campo y haga clic en OK.
https: // msdl.microsoft.com / download / symbols
4. A continuación, en el Archivo menú, haga clic en Volcado de choque abierto.
5. Busque la ubicación del archivo de volcado del kernel que anotó en el paso 1 y luego seleccione Abierto. Verifique la fecha en el .dmp archivo para asegurarse de que fue creado recientemente durante esta sesión de solución de problemas.
6. En el Mando ventana, tipo !apc, Pulsa Enter.
Recibirá un resultado similar al que se muestra a continuación.
7. Buscar los resultados de LsaIso.exe. Si un conductor que se llama "
Si no aparece ningún controlador en Lsaiso.exe, esto significa que el proceso LSAISO no tiene APC en cola.
Eso es!
