Lsalso exe что это
Перейти к содержимому

Lsalso exe что это

  • автор:

High CPU usage in the LSAISO process on Windows

This article provides resolutions of a problem in which the LSAISO process experiences high CPU usage on a computer that’s running Windows.

Applies to: Windows 10 — all editions, Windows Server 2016, Windows Server 2019
Original KB number: 4032786

Symptoms

The LSAISO (LSA Isolated) process experiences high CPU usage on a computer that’s running Windows 10, Windows Server 2016, or later versions.

Cause

In Windows, the LSAISO process runs as an Isolated User Mode (IUM) process in a new security environment that is known as Virtual Secure Mode (VSM).

Applications and drivers that try to load a DLL into an IUM process, inject a thread, or deliver a user-mode APC may destabilize the entire system. This destabilization can include the high LSAISO CPU scenario that is mentioned in the «Symptoms» section.

Resolution 1: Use the process of elimination

It’s common for some applications (such as antivirus programs) to inject DLLs or queue APCs to the LSAISO process. This causes the LSAISO process to experience high CPU usage.

For troubleshooting, it’s not possible to attach tools to a IUM process. This prevents you from using the Windows Debugging Tools or WPA\XPERF to capture stack traces during the LSAISO CPU spiking. So the best troubleshooting method in this scenario is to use the «process of elimination» methodology. To do this, disable applications and drivers until the CPU spike is mitigated. After you determine which software is causing the problem, contact the vendor for a software update. You can reference the ISV recommendations that are listed in the following MSDN topic:

This method may require a reboot after you disable the suspected software and drivers as you test for the CPU spike.

Resolution 2: Check for queued APCs

Download the free Debugging Tools for Windows (WinDbg, KD, CDB, NTSD). These tools are included in both the Windows Driver Kit (WDK) and the Windows Driver Kit (WDK). Then, follow these steps to determine which driver is queuing an APC to LSAISO:

    While you reproduce the CPU spike, generate a kernel memory dump by using a tool such as NotMyFault.exe from the following Sysinternals website: Sysinternals Suite

Note A complete memory dump isn’t recommended because it would require decryption if VSM is enabled on the system. To enable the kernel dump, follow these steps:

  1. Open the System item in Control Panel, and then select Advanced system settings.
  2. On the Advanced tab of the System Properties dialog box, select Settings in the Startup and Recovery area.
  3. In the Startup and Recovery dialog box, select Kernel memory dump in the Write debugging information list.
  4. Note the Dump File location to use in step 5, and then select OK.
  • Open the WinDbg.exe tool from the Debugging Tools for Windows.
  • On the File menu, click Symbol File Path, add the following path for the Microsoft Symbol Server to the Symbol path box, and then select OK:
    https://msdl.microsoft.com/download/symbols
  • On the File menu, click Open Crash Dump.
  • Browse to the location of the kernel dump file that you noted in step 1d, and then select Open. Check the date on the .dmp file to make sure that it was newly created during this troubleshooting session.
  • In the Command window, type !apc, and then press Enter. Screenshot of the command box of the kernel dump file which shows !apc.The output should resemble the following screenshot. Screenshot of the output of the !apc command. In this example, a driver that is named ProblemDriver.sys is listed under LsaIso.exe.
  • Search the results for LsaIso.exe. If a driver that is named .sys is listed under LsaIso.exe (as shown in the example screenshot of output in step 6), contact the vendor, and then refer them to the recommended mitigation that is listed in the Isolated User Mode (IUM) Processes topic.

    Note If no drivers are listed under Lsaiso.exe, this means that the LSAISO process has no queued APCs.

    More information

    VSM uses isolation modes that are known as Virtual Trust Levels (VTL) to protect IUM processes (also known as trustlets). IUM processes such as LSAISO run in VTL1 while other processes run in VTL0. The memory pages of processes that run in VTL1 are protected from any malicious code that is running in VTL0.

    Prior to Windows 10 and Windows Server 2016, the Local Security Authority Subsystem Service (LSASS) process was solely responsible for managing the local system policy, user authentication, and auditing while it also handled sensitive security data such as password hashes and Kerberos keys.

    To use the security benefits of VSM, the LSAISO trustlet that runs in VTL1 communicates through an RPC channel with the LSAISO process that’s running in VTL0. The LSAISO secrets are encrypted before they’re sent to LSASS, and the pages of LSAISO are protected from any malicious code that’s running in VTL0.

    Высокая загрузка ЦП в процессе LSAISO в Windows

    В этой статье описано решение проблемы, из-за которой процесс LSAISO обеспечивает высокую загрузку ЦП на компьютере под управлением Windows.

    Область действия: Windows 10 — все выпуски, Windows Server 2016, Windows Server 2019
    Исходный номер базы знаний: 4032786

    Симптомы

    Процесс LSAISO (LSA Isolated) обеспечивает высокую загрузку ЦП на компьютере под управлением Windows 10, Windows Server 2016 или более поздних версий.

    Причина

    В Windows процесс LSAISO выполняется как процесс изолированного пользовательского режима (IUM) в новой среде безопасности, известной как виртуальный безопасный режим (VSM).

    Приложения и драйверы, которые пытаются загрузить библиотеку DLL в процесс IUM, внедрить поток или доставить APC в пользовательском режиме, могут привести к сбою всей системы. Это может включать сценарий высокой загрузки ЦП LSAISO, упомянутый в разделе «Симптомы».

    Решение 1. Использование процесса исключения

    В некоторых приложениях (например, антивирусных программах) часто внедряются библиотеки DLL или API очереди в процесс LSAISO. Это приводит к высокой загрузке ЦП процессом LSAISO.

    Для устранения неполадок невозможно присоединить средства к процессу IUM. Это не позволяет использовать средства отладки Windows или WPA\XPERF для отслеживания трассировок стека во время пикирования ЦП LSAISO. Поэтому лучшим методом устранения неполадок в этом сценарии является использование методологии «процесса устранения». Для этого отключите приложения и драйверы, пока не будет устранен пик загрузки ЦП. Когда вы определите, какое программное обеспечение вызывает проблему, обратитесь к поставщику за обновлением программного обеспечения. Вы можете ссылаться на рекомендации независимых поставщиков программного обеспечения, перечисленные в следующем разделе MSDN:

    Этот метод может потребовать перезагрузки после отключения предполагаемого программного обеспечения и драйверов при проверке на пик загрузки ЦП.

    Решение 2. Проверка на наличие API в очереди

    Скачайте бесплатные средства отладки для Windows (WinDbg, KD, CDB, NTSD). Эти средства включены как в комплект драйверов Windows (WDK), так и в комплект драйверов Windows (WDK). Затем выполните следующие действия, чтобы определить, какой драйвер находится в очереди APC в LSAISO:

      Пока вы воспроизводите пик загрузки ЦП, создайте дамп памяти ядра с помощью такого средства, как NotMyFault.exe на следующем веб-сайте Sysinternals: Sysinternals Suite

    Примечание. Полный дамп памяти не рекомендуется, так как для включения VSM в системе потребуется расшифровка. Чтобы включить дамп ядра, выполните следующие действия.

    1. Откройте системный элемент в панель управления и выберите «Дополнительные параметры системы».
    2. На вкладке «Дополнительно » диалогового окна «Свойства системы» выберите » Параметры» в области «Запуск и восстановление».
    3. В диалоговом окне «Запуск и восстановление» выберите дамп памяти ядра в списке сведений об отладке записи.
    4. Запишите расположение файла дампа , используемого на шаге 5, а затем нажмите кнопку «ОК».
  • Откройте средство WinDbg.exe из средств отладки для Windows.
  • В меню «Файл» щелкните «Путь к файлу символов», добавьте следующий путь к серверу символов Майкрософт в поле «Путь к символам» и нажмите кнопку «ОК»:
    https://msdl.microsoft.com/download/symbols
  • В меню «Файл » щелкните «Открыть аварийный дамп».
  • Перейдите к расположению файла дампа ядра, записанного на шаге 1d, а затем выберите » Открыть». Проверьте дату в DMP-файле, чтобы убедиться, что он был создан во время этого сеанса устранения неполадок.
  • В окне командной строки введите !apc и нажмите клавишу ВВОД. Снимок экрана: окно командной строки файла дампа ядра, в котором отображается !apc.Выходные данные должны выглядеть примерно так, как показано на следующем снимке экрана. Снимок экрана: выходные данные команды !apc. В этом примере драйвер с именем ProblemDriver.sys в списке LsaIso.exe.
  • Выполните поиск по результатам поискаLsaIso.exe. .sys указан в разделе LsaIso.exe (как показано на примере снимка экрана выходных данных на шаге 6), обратитесь к поставщику и ознакомьтесь с рекомендуемой мерой по устранению рисков, указанной в разделе «Процессы изолированного пользовательского режима» (IUM).

    Примечание. Если драйверы не указаны вLsaiso.exe, это означает, что процесс LSAISO не имеет подключенных к очереди API.

    Дополнительные сведения

    VSM использует режимы изоляции, известные как виртуальные уровни доверия (VTL), для защиты процессов IUM (также называемых доверенными сетями). Процессы IUM, такие как LSAISO, выполняются в VTL1, а другие процессы выполняются в VTL0. Страницы памяти процессов, выполняемых в VTL1, защищены от любого вредоносного кода, выполняемого в VTL0.

    До Windows 10 и Windows Server 2016 процесс службы подсистемы локального центра безопасности (LSASS) был исключительно ответственным за управление политикой локальной системы, проверкой подлинности пользователей и аудитом, а также обрабатывал конфиденциальные данные безопасности, такие как хэши паролей и ключи Kerberos.

    Чтобы использовать преимущества безопасности VSM, доверенный объект LSAISO, выполняемый в VTL1, взаимодействует по каналу RPC с процессом LSAISO, который выполняется в VTL0. Секреты LSAISO шифруются перед отправкой в LSASS, а страницы LSAISO защищены от любого вредоносного кода, который выполняется в VTL0.

    Обратная связь

    Были ли сведения на этой странице полезными?

    What Is lsalso.exe and Why Is It Causing High Usage?

    There is a process called lsalso.exe in Windows that is troubling Windows users because of its extremely high CPU usage. This process in the Task Manager is associated with Credential Guard & KeyGuard. Below, we have discussed what exactly this process is and how to fix the high CPU usage issue in detail.

    What is Lsalso.exe?

    Lsalso.exe is an executable file associated with the Credential Guard and KeyGuard process and is developed by Microsoft. The process of this file typically runs in a secure environment called Virtual Secure Mode (VSM) as an Isolated User Mode (IUM) process.

    VSM protects processes like Lsalso.exe by using isolation processes called Virtual Trust Level (VTL). LSAISO.exe runs in VTL1 while other processes run in VTL0.

    Windows 10 and Windows Server 2016 changed the Local Security Authority Subsystem Service (LSASS) process, which managed security policy, user authentication, and auditing while also handling sensitive data such as hashed passwords and Kerberos keys.

    This process is generally considered safe and essential, but can sometimes cause issues like high CPU usage within the system. This is typically caused due to certain drivers and applications that attempt to load a Dynamic Link Library file (DLL) into the IUM process. This can cause the system to destabilize, causing the issue at hand.

    Use the Process of Elimination

    As we just mentioned, certain applications and drivers can load DLL into the IUM process, resulting in a spike in CPU usage associated with lsalso.exe. The simplest solution to this is to eliminate the processes of these problematic applications and drivers and see if that fixes the issue.

    Here is what you need to do:

    end-task-manager

    1. Type Task Manager in the search area of the taskbar and click Open.
    2. Head over to the Processes tab and locate the targeted application.
    3. Then, right-click on it and select End task. Do the same with other potentially problematic applications.
    4. Next, launch Device Manager and locate the targeted drivers.
    5. Right-click on them and choose Uninstall driver from the context menu and see if that makes any difference in the high CPU usage caused by lsalso.exe.

    Check for Queued APCs

    Microsoft has also developed several Debugging Tools for Windows users that you can find in both the Windows Driver Kit (WDK) and the Windows Driver Kit (WDK). If the method mentioned above did not work for you, then you can take the help of these free tools to check for problematic drivers.

    Here is what you need to do:

    1. Install the Windows Debugging (WinDbg) tool from the Windows Driver Kit . lsalso.exe
    2. Then, use NotMyFault.exe from the Sysinternals website to generate a kernel memory dump during the spike.
    3. To enable kernel memory, launch a Run dialog box by pressing Windows + R keys together.
    4. After that, type control system in the text field of the dialog box and hit Enter.
    5. Click Advanced system settings. advanced-system-settings
    6. Head over to the Advanced tab in the System Properties dialog box.
    7. Click on the Settings button associated with Startup and Recovery. advanced-settings-recovery
    8. Next, expand the drop-down menu for Write debugging information and choose Kernel memory dump. kernel-memory-dump
    9. Hit OK. Note the Dump File location here.
    10. Now navigate to the Start menu and click on the Windows Kits entry. Choose WinDbg(x64/x86) to proceed.
    11. Click on File and select Symbol File Path. lsalso.exe
    12. Now, type https://msdl.microsoft.com/download/symbols for the Microsoft Symbol Server in the Symbol path section. msdl-microsoft-com-download-symbols
    13. Click OK and access the File menu again.
    14. Choose Open Crash Dump and browse the location you noted in the 9th step. open-crash-dump
    15. Next, Click Open.
    16. Then, type !apc in the command window and hit Enter.
    17. Once the command is executed, look for .sys under LsaIso.exe. lsalso.exe
    18. Contact your driver vendor now and then refer them to this Microsoft document for mitigation recommendations for Isolated User Mode (IUM).

    Reach Out to Microsoft Support

    In most cases, one of the methods above should fix the high CPU usage problem associated with lsalso.exe. However, if you still encounter the problem even after performing these methods, then we highly recommend that you reach out to the Microsoft support team and explain the issue to them. In cases such as these, they can better assist you on how to move forward without damaging any components of your operating system.

    Another thing that you can try doing before reaching out to the Microsoft team is resetting your Windows to its default state and see if that fixes the problem. There might be a bug or a corruption error within the system causing the high CPU usage. If it is not resolved by performing the conventional troubleshooting methods, then resetting is a good way to go.

    Your operating system will go back to its original, default state when you reset it. This is the state in which the PC was when it arrived. However, doing so will make you lose any personal data or installed applications that you might have on your system.

    Что такое lsalso.exe и почему он вызывает повышенное использование?

    Существует процесс под названием lsalso.exe в Windows, который беспокоит пользователей Windows из-за чрезвычайно высокого использования ЦП. Этот процесс в диспетчере задач связан с Credential Guard & KeyGuard. Ниже мы подробно рассмотрели, что именно представляет собой этот процесс и как устранить проблему высокого использования процессора.

    Что такое Lsalso.exe?

    Lsalso.exe — это исполняемый файл, связанный с процессом Credential Guard и KeyGuard, разработанный компанией Microsoft. Процесс этого файла обычно выполняется в безопасной среде под названием Virtual Secure Mode (VSM) как процесс Isolated User Mode (IUM).

    VSM защищает такие процессы, как Lsalso.exe с помощью процессов изоляции, называемых Virtual Trust Level (VTL). LSAISO.exe работает в VTL1, в то время как другие процессы работают в VTL0.

    В Windows 10 и Windows Server 2016 был изменен процесс Local Security Authority Subsystem Service (LSASS), который управлял политикой безопасности, аутентификацией пользователей и аудитом, а также обрабатывал конфиденциальные данные, такие как хэшированные пароли и ключи Kerberos.

    Этот процесс обычно считается безопасным и необходимым, но иногда может вызвать такие проблемы, как высокая загрузка процессора в системе. Обычно это происходит из-за определенных драйверов и приложений, которые пытаются загрузить файл библиотеки динамических связей (DLL) в процесс IUM. Это может привести к дестабилизации системы, что вызовет рассматриваемую проблему.

    Используйте процесс исключения

    Как мы только что упомянули, некоторые приложения и драйверы могут загружать DLL в процесс IUM, что приводит к скачку использования ЦП, связанному с lsalso.exe. Самое простое решение — удалить процессы этих проблемных приложений и драйверов и посмотреть, устранит ли это проблему.

    Вот что вам нужно сделать:

    end-task-manager

    1. Тип Диспетчер задач в области поиска на панели задач и нажмите Откройте .
    2. Перейдите к пункту Вкладка Процессы и найдите целевое приложение.
    3. Затем щелкните на нем правой кнопкой мыши и выберите Завершить задачу. Проделайте то же самое с другими потенциально проблемными приложениями.
    4. Далее запустите диспетчер устройств и найдите целевые драйверы.
    5. Щелкните на них правой кнопкой мыши и выберите Удалить драйвер из контекстного меню и посмотрите, изменит ли это ситуацию с высоким использованием ЦП, вызванным lsalso.exe.

    Check for Queued APCs

    Microsoft также разработала несколько инструментов отладки для пользователей Windows, которые вы можете найти как в Windows Driver Kit (WDK), так и в Windows Driver Kit (WDK). Если вышеупомянутый метод не сработал, то вы можете воспользоваться помощью этих бесплатных инструментов для проверки проблемных драйверов.

    Вот что вам нужно сделать:

    1. Установите инструмент Windows Debugging (WinDbg) из папки Комплект драйверов Windows .
      lsalso.exe
    2. Затем, используйте NotMyFault.exe с сайта Sysinternals, чтобы сгенерировать дамп памяти ядра во время всплеска.
    3. Чтобы включить память ядра, запустите Запустить диалоговое окно, нажав Windows + клавиши R вместе.
    4. После этого введите система управления в текстовом поле диалогового окна и нажмите кнопку Введите.
    5. Нажмите Дополнительные настройки системы.
      advanced-system-settings
    6. Перейдите к файлу вкладка Дополнительно в диалоговом окне Свойства системы.
    7. Нажмите на кнопку Кнопка Параметры связанные с запуском и восстановлением.
      advanced-settings-recovery
    8. Далее раскройте выпадающее меню для Запись отладочной информации и выберите Дамп памяти ядра.
      kernel-memory-dump
    9. Нажмите OK. Обратите внимание на расположение файла дампа здесь.
    10. Теперь перейдите в меню Пуск и нажмите на кнопку Вход в Windows Kits. Выберите WinDbg(x64/x86) для продолжения.
    11. Нажмите на Файл и выберите Путь к файлу символа.
      lsalso.exe
    12. Теперь введите https://msdl.microsoft.com/download/symbols для Microsoft Symbol Server в разделе Путь к символам.
      msdl-microsoft-com-download-symbols
    13. Нажмите OK и снова откройте меню Файл.
    14. Выберите Open Crash Dump и найдите местоположение, которое вы отметили в 9-м шаге.
      open-crash-dump
    15. Далее, нажмите Откройте.
    16. Затем введите !apc в командном окне и нажмите Enter.
    17. Как только команда будет выполнена, найдите .sys под LsaIso.exe.
      lsalso.exe
    18. Свяжитесь с поставщиком драйверов сейчас, а затем направьте их по адресу этот документ Microsoft для получения рекомендаций по смягчению последствий для режима изолированного пользователя (IUM).

    Обратитесь в службу поддержки Microsoft

    В большинстве случаев один из вышеперечисленных методов должен устранить проблему высокого использования ЦП, связанную с lsalso.exe. Однако если вы все еще сталкиваетесь с проблемой даже после выполнения этих методов, то мы настоятельно рекомендуем вам обратиться в службу поддержки Microsoft и объяснить им суть проблемы. В таких случаях, как этот, они могут лучше помочь вам, как двигаться дальше, не повредив ни одного компонента вашей операционной системы.

    Еще одна вещь, которую вы можете попробовать сделать, прежде чем обращаться к специалистам Microsoft сброс настроек Windows в состояние по умолчанию и посмотрите, устранит ли это проблему. Возможно, в системе есть ошибка или повреждение, вызывающие высокую загрузку процессора. Если проблема не решается обычными методами устранения неполадок, то хорошим выходом будет сброс настроек.

    Ваша операционная система вернется в исходное, стандартное состояние после сброса настроек. Это состояние, в котором находился ПК на момент поступления. Однако, сделав это, вы потеряете все личные данные или установленные приложения, которые могут быть в вашей системе.

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *