Неки корисници би се могли суочити са проблемом у којем процес ЛСАИСО.еке^{(LSAISO.exe )} (ЛСА изолован) доживљава велику употребу ЦПУ-а^{(high CPU usage)} на рачунару са оперативним системом Виндовс 10^{(Windows 10)} . Процес је повезан са Цредентиал Гуард & Кеи Гуард^{(Credential Guard & Key Guard)} . У овом посту ћемо погледати могући узрок и препоручено решење овог проблема.

ЛСАИСО процес високе потрошње ЦПУ-а

ВСМ^(VSM) користи режиме изолације који су познати као Виртуелни нивои поверења^{(Virtual Trust Levels)} ( ВТЛ^(VTL) ) да заштити ИУМ^(IUM) процесе (познате и као поуздани програми). ИУМ^(IUM) процеси као што је ЛСАИСО^(LSAISO) се покрећу у ВТЛ1^(VTL1) док се други процеси покрећу у ВТЛ0^(VTL0) . Меморијске странице процеса који се покрећу у ВТЛ1^(VTL1) су заштићене од било каквог злонамерног кода који се покреће у ВТЛ0^(VTL0) .

Процес локалног безбедносног ауторитета подсистемске услуге (ЛСАСС) је одговоран за управљање политиком локалног система, аутентификацију корисника и ревизију, док је такође управљао осетљивим безбедносним подацима као што су хешови лозинки и Керберос^(Kerberos) кључеви.

Да би користио безбедносне предности ВСМ^(VSM) -а, ЛСАИСО^(LSAISO) трустлет који ради у ВТЛ1^(VTL1) комуницира преко РПЦ^(RPC) канала са ЛСАИСО^(LSAISO) процесом који је покренут у ВТЛ0^(VTL0) . ЛСАИСО тајне^(LSAISO) су шифроване пре него што се пошаљу у ЛСАСС^(LSASS) , а странице ЛСАИСО-^(LSAISO) а су заштићене од било каквог злонамерног кода који се покреће у ВТЛ0^(VTL0) .

Могући узрок високе потрошње ЦПУ-а ЛСАИСО процеса^{(Possible cause of LSAISO process high CPU usage)}

У оперативном систему Виндовс 10, ЛСАИСО процес^{(LSAISO process)} ради као процес изолованог корисничког режима^{(Isolated User Mode)} ( ИУМ^(IUM) ) у новом безбедносном окружењу које је познато као виртуелни безбедни режим^{(Virtual Secure Mode)} (ВСМ).

Апликације и драјвери који покушавају да учитају ДЛЛ (Динамиц Линк Либрари)^{(DLL (Dynamic Link Library))} у ИУМ процес, уведу нит или испоруче ^(IUM)АПЦ^(APC) у корисничком режиму могу дестабилизовати цео систем. Ова дестабилизација може изазвати високу употребу ЛСАИСО ЦПУ^{(LSAISO CPU)} -а у оперативном систему Виндовс 10^{(Windows 10)} .

Како да поправите проблем са високом употребом ЦПУ-а ЛСАИСО процеса^{(How to fix LSAISO process high CPU usage issue)}

Да бисте решили овај проблем, Мицрософт^(Microsoft) препоручује коришћење једне од следећих метода.

1. Користите процес елиминације.
2. Проверите да ли су АПЦ-ови у реду чекања.

Сада, хајде да се удубимо у детаље за два препоручена решења.

1] Користите процес елиминације^{(1] Use the process of elimination)}

Уобичајено је да неке апликације (као што су антивирусни програми) убризгавају ДЛЛ^(DLLs) -ове или АПЦ-ове у ред чекања у^(APCs) ЛСАИСО процес^(LSAISO) . Ово узрокује да ЛСАИСО^(LSAISO) процес доживи велику употребу ЦПУ^(CPU) -а.

У овом сценарију, метод за решавање проблема „ процес елиминације^{(process of elimination)} “ захтева да онемогућите апликације и драјвере док се не ублажи скок ЦПУ- а. ^(CPU)Након што утврдите који софтвер узрокује проблем, контактирајте продавца за ажурирање софтвера.

2] Проверите да ли су АПЦ-ови у реду чекања^{(2] Check for queued APCs)}

У овом сценарију, прво ћете морати да преузмете бесплатну Виндовс алатку за отклањање грешака (ВинДбг) . Алат је такође укључен^{(tool is also included)} у Виндовс комплет управљачких^{(Windows Driver Kit)} програма (ВДК).

Када преузмете алатку ВинДбг^(WinDbg) , можете наставити са доле наведеним корацима да бисте утврдили који драјвер ставља АПЦ^(APC) у ред чекања на ЛСАИСО^(LSAISO) .

Напомена:^(Note:) Не препоручује се потпуни думп меморије јер би захтевао дешифровање ако је ВСМ^(VSM) омогућен на систему.

Да бисте омогућили думп кернела, урадите следеће:

• Притисните тастер Виндовс + Р. У дијалогу ^(Windows)Покрени^(Run) откуцајте цонтрол систем^{(control system)} , притисните Ентер да бисте отворили системски^(System) аплет на контролној табли^{(Control Panel)} , а затим изаберите Напредне поставке система^{(Advanced system settings)} .
• На картици Напредно^(Advanced)  у оквиру  за дијалог Систем Пропертиес^{(System Properties)}  изаберите  Сеттингс ^(Settings ) у области  Покретање и опоравак^{(Startup and Recovery)}  .
• У оквиру за дијалог Стартуп анд Рецовери^{(Startup and Recovery)}  изаберите  Думп меморије кернела^{(Kernel memory dump)}  на  падајућој листи Врите дебуггинг информатион .^{(Write debugging information)}
• Забележите локацију Думп датотеке^{(Dump File)}  коју ћете користити у  кораку 5^{(step 5)} , а затим кликните на ОК^(OK) .

2. Кликните на дугме Старт^(Start) , пронађите и кликните на ставку Виндовс Китс^{(Windows Kits)} у менију Старт^(Start) , а затим изаберите WinDbg(x64/x86) да бисте покренули алатку.

https://msdl.microsoft.com/download/symbols

4. Затим, у  менију  Датотека , кликните на ^(File)Опен Црасх Думп^{(Open Crash Dump)} .

5. Дођите^(Browse) до локације датотеке думп-а језгра коју сте забележили у кораку 1, а затим изаберите Отвори^(Open) . Проверите датум на .дмп^(.dmp) датотеци да бисте се уверили да је ново креирана током ове сесије за решавање проблема.

6. У командном^(Command)  прозору откуцајте  !apc , притисните Ентер.

Добићете сличан излаз као што је приказано у наставку.

7. Претражите резултате за ЛсаИсо.еке^(LsaIso.exe) . Ако је управљачки програм под називом „ <ProblemDriver>.sys ” наведен под ЛсаИсо.еке^(LsaIso.exe) , као што је приказано у излазу изнад – контактирајте продавца, а затим га упутите на овај Мицрософт документ^{(Microsoft document)} за препоручено ублажавање за изоловани кориснички режим^{(Isolated User Mode)} ( ИУМ^(IUM) ) процеси.

Ако ниједан драјвер није наведен под Лсаисо.еке^(Lsaiso.exe) , то значи да ЛСАИСО^(LSAISO) процес нема АПЦ^(APCs) -ове у реду чекања .

That’s it!

Fix LSAISO process high CPU usage in Windows 10

Some users might be faced with the problem in which the LSAISO.exe (LSA Isolated) process experiences high CPU usage on a Windows 10 computer. The process is associated with Credential Guard & Key Guard. In this post, we have a look at the possible cause and the recommended solution to this issue.

LSAISO process high CPU usage

VSM uses isolation modes that are known as Virtual Trust Levels (VTL) to protect IUM processes (also known as trustlets). IUM processes such as LSAISO run in VTL1 while other processes run in VTL0. The memory pages of processes that run in VTL1 are protected from any malicious code that is running in VTL0.

The Local Security Authority Subsystem Service (LSASS) process is responsible for managing the local system policy, user authentication, and auditing while it also handled sensitive security data such as password hashes and Kerberos keys.

To use the security benefits of VSM, the LSAISO trustlet that runs in VTL1 communicates through an RPC channel with the LSAISO process that is running in VTL0. The LSAISO secrets are encrypted before they are sent to LSASS, and the pages of LSAISO are protected from any malicious code that is running in VTL0.

Possible cause of LSAISO process high CPU usage

In Windows 10, the LSAISO process runs as an Isolated User Mode (IUM) process in a new security environment that is known as Virtual Secure Mode (VSM).

Applications and drivers that try to load a DLL (Dynamic Link Library) into an IUM process, inject a thread, or deliver a user-mode APC may destabilize the entire system. This destabilization can trigger the high LSAISO CPU usage in Windows 10.

How to fix LSAISO process high CPU usage issue

To resolve this issue, Microsoft recommends using one of the following methods.

1. Use the process of elimination.
2. Check for queued APCs.

Now, let’s delve into details for the two recommended solutions.

1] Use the process of elimination

It is common for some applications (such as antivirus programs) to inject DLLs or queue APCs to the LSAISO process. This causes the LSAISO process to experience high CPU usage.

In this scenario, the “process of elimination” troubleshooting method requires that you disable applications and drivers until the CPU spike is mitigated. After you determine which software is causing the problem, contact the vendor for a software update.

2] Check for queued APCs

In this scenario, you’ll need to first download the free Windows Debugging (WinDbg) tool. The tool is also included in the Windows Driver Kit (WDK).

Once you have the WinDbg tool downloaded, you can then proceed with the steps outlined below to determine which driver is queuing an APC to LSAISO.

Note: A complete memory dump is not recommended because it would require decryption if VSM is enabled on the system.

To enable the kernel dump, do the following:

• Press Windows key + R. In the Run dialog box, type control system, hit Enter to open the System applet in Control Panel, and then select Advanced system settings.
• On the Advanced tab of the System Properties dialog box, select Settings in the Startup and Recovery area.
• In the Startup and Recovery dialog box, select Kernel memory dump in the Write debugging information drop-down list.
• Make a note of the Dump File location to use in step 5, and then click OK.

2. Click the Start button, locate and click Windows Kits entry on the Start menu, then select WinDbg(x64/x86) to launch the tool.

https://msdl.microsoft.com/download/symbols

4. Next, on the File menu, click Open Crash Dump.

5. Browse to the location of the kernel dump file that you noted in step 1, and then select Open. Check the date on the .dmp file to make sure that it was newly created during this troubleshooting session.

6. In the Command window, type !apc, hit Enter.

You’ll receive a similar output as shown below.

7. Search the results for LsaIso.exe. If a driver that is named “<ProblemDriver>.sys” is listed under LsaIso.exe, as shown in the output above – contact the vendor, and then refer them to this Microsoft document for the recommended mitigation for the Isolated User Mode (IUM) processes.

If no drivers are listed under Lsaiso.exe, this means that the LSAISO process has no queued APCs.

That’s it!

Related posts

• Како да решите проблем високе употребе ЦПУ-а ГСвр.еке у оперативном систему Виндовс 10

• Како променити приоритет процеса процесора у оперативном систему Виндовс 10

• 7 начина да се поправи критични процес који је умро у оперативном систему Виндовс 10

• Поправите МоУСО Цоре Воркер процес у оперативном систему Виндовс 10

• Како поправити високу употребу ЦПУ-а у оперативном систему Виндовс 10

• Исправите грешку „ЦПУ вашег рачунара није компатибилан са Виндовс 8/10“

• Како да поправите „иастордатасвц“ високу употребу ЦПУ-а у оперативном систему Виндовс 10

• Поправи грешку ИД-а догађаја 454 – Проблеми са перформансама корисничког профила у оперативном систему Виндовс 10

• Поправите отказ апликације ИоуТубе Мусиц у Виндовс 10

• Решите проблем са високом употребом ЦПУ-а и диска у оперативном систему Виндовс 10

• Поправи грешку ИД догађаја 7031 или 7034 када се корисник одјави са Виндовс 10 рачунара

• Шта је извршни процес услуге антималвера и да ли је безбедан?

• Поправите високу употребу ЦПУ-а у процесу сервисирања ДИСМ хоста

• Поправите велику употребу ЦПУ-а СофтТхинкс Агент Сервице-а у оперативном систему Виндовс 10

• Поправите грешку плавог екрана аксфридге.сис у оперативном систему Виндовс 10

• Шта је Схелл инфраструктурни хост процес и да ли је безбедан?

• Поправите високу употребу ЦПУ-а од стране КсбокСтат.еке у оперативном систему Виндовс 11/10

• Поправи спор приступ мрежном диску из Виндовс 10

• Како користити Процесс Монитор и Процесс Екплорер

• Шта је процес сплвов64.еке у оперативном систему Виндовс 10 и могу ли да га онемогућим?