رفع مصرف بالای پردازنده LSAISO در ویندوز 10

برخی از کاربران ممکن است با مشکلی مواجه شوند که در آن فرآیند LSAISO.exe (LSA Isolated) استفاده از CPU بالایی(high CPU usage) را در رایانه ویندوز 10(Windows 10) تجربه می کند. این فرآیند با Credential Guard & Key Guard مرتبط است. در این پست نگاهی داریم به علت احتمالی و راه حل پیشنهادی برای این موضوع.

پردازش LSAISO با استفاده از CPU بالا

پردازش LSAISO با استفاده از CPU بالا

VSM از حالت‌های جداسازی استفاده می‌کند که به عنوان سطوح اعتماد مجازی(Virtual Trust Levels) ( VTL ) شناخته می‌شوند تا از فرآیندهای (VTL)IUM محافظت کنند (همچنین به عنوان Trustlets شناخته می‌شوند). فرآیندهای IUM(IUM) مانند LSAISO در VTL1 (LSAISO)اجرا(VTL1) می شوند در حالی که سایر فرآیندها در VTL0 اجرا می شوند . صفحات حافظه فرآیندهایی که در VTL1 اجرا می(VTL1) شوند از هر کد مخربی که در VTL0 اجرا می شود محافظت می شوند .

فرآیند سرویس زیرسیستم مرجع امنیتی محلی (LSASS) مسئول مدیریت خط‌مشی سیستم محلی، احراز هویت کاربر و ممیزی است در حالی که داده‌های امنیتی حساس مانند هش رمز عبور و کلیدهای Kerberos را نیز مدیریت می‌کند.(Kerberos)

برای استفاده از مزایای امنیتی VSM ، Trustlet(LSAISO) LSAISO که در VTL1 اجرا می شود ، از طریق یک کانال RPC با فرآیند LSAISO که در (LSAISO)VTL0 اجرا می شود، ارتباط برقرار می کند . اسرار LSAISO قبل از ارسال به LSASS رمزگذاری می شوند و صفحات LSAISO از هر کد مخربی که در VTL0 اجرا می شود محافظت می شود .

علت احتمالی استفاده زیاد از CPU در فرآیند LSAISO(Possible cause of LSAISO process high CPU usage)

در ویندوز 10، فرآیند LSAISO(LSAISO process) به عنوان یک فرآیند حالت کاربر ایزوله(Isolated User Mode) ( IUM ) در یک محیط امنیتی جدید که به عنوان حالت امن مجازی(Virtual Secure Mode) (VSM) شناخته می شود، اجرا می شود.

برنامه‌ها و درایورهایی که سعی می‌کنند یک DLL (کتابخانه پیوند پویا)(DLL (Dynamic Link Library)) را در یک فرآیند IUM بارگذاری کنند، یک رشته را تزریق کنند یا یک (IUM)APC در حالت کاربر تحویل دهند، ممکن است کل سیستم را بی‌ثبات کنند. این بی ثباتی می تواند باعث استفاده زیاد از CPU LSAISO(LSAISO CPU) در ویندوز 10(Windows 10) شود.

نحوه رفع مشکل استفاده زیاد از CPU در فرآیند LSAISO(How to fix LSAISO process high CPU usage issue)

برای حل این مشکل، مایکروسافت(Microsoft) استفاده از یکی از روش های زیر را توصیه می کند.

  1. از فرآیند حذف استفاده کنید.
  2. APCهای در صف را بررسی کنید.

اکنون، بیایید جزئیات دو راه حل توصیه شده را بررسی کنیم.

1] از فرآیند حذف استفاده کنید(1] Use the process of elimination)

برای برخی از برنامه‌ها (مانند برنامه‌های آنتی ویروس) تزریق DLL(DLLs) یا صف‌بندی APC(APCs) به فرآیند LSAISO معمول(LSAISO) است. این باعث می شود که فرآیند LSAISO مصرف بالای CPU را تجربه کند .

در این سناریو، روش عیب‌یابی « فرایند حذف(process of elimination) » مستلزم آن است که برنامه‌ها و درایورها را تا زمانی که جهش پردازنده کاهش یابد غیرفعال کنید. (CPU)پس از اینکه مشخص کردید کدام نرم افزار مشکل را ایجاد کرده است، برای به روز رسانی نرم افزار با فروشنده تماس بگیرید.

2] APCهای در صف را بررسی کنید(2] Check for queued APCs)

در این سناریو، ابتدا باید ابزار رایگان Windows Debugging (WinDbg) را دانلود کنید. این ابزار همچنین(tool is also included) در کیت درایور ویندوز(Windows Driver Kit) (WDK) گنجانده شده است.

هنگامی که ابزار WinDbg را دانلود کردید، می توانید مراحل زیر را ادامه دهید تا مشخص کنید کدام درایور یک APC را در LSAISO در صف قرار داده است.

NotMyFault.exe

توجه:(Note:) تخلیه کامل حافظه توصیه نمی شود زیرا اگر VSM در سیستم فعال باشد نیاز به رمزگشایی دارد.

برای فعال کردن kernel dump، موارد زیر را انجام دهید:

  • کلید Windows(Windows) + R را فشار دهید. در کادر محاوره‌ای Run ، عبارت (Run)control system را(control system) تایپ کنید، Enter را فشار دهید تا applet System در (System)Control Panel باز شود و سپس Advanced system settings را(Advanced system settings) انتخاب کنید .
  • در  تب  Advanced  کادر محاوره‌ای  System Properties ، تنظیمات (Settings ) را در قسمت  Startup and Recovery انتخاب کنید  .
  • در  کادر گفتگوی  Startup and Recovery ،  در  لیست کشویی Write debugging information dump را انتخاب کنید.(Kernel memory dump)
  • مکان Dump File(Dump File)  را برای استفاده در  مرحله 5(step 5) یادداشت کنید و سپس روی OK کلیک کنید .

2. روی دکمه Start کلیک کنید، در منوی (Start)Start ، ورودی Windows Kits را پیدا کرده و روی آن کلیک کنید ، سپس WinDbg(x64/x86) را انتخاب کنید تا ابزار راه اندازی شود.

File Symbol File Path Symbol path OK.

https://msdl.microsoft.com/download/symbols

4. سپس، در  منوی  File ، روی (File)Open Crash Dump کلیک کنید .

5. به محل فایل(Browse) dump هسته که در مرحله 1 اشاره کردید بروید و سپس Open را انتخاب کنید . تاریخ روی فایل .dmp را بررسی کنید تا مطمئن شوید که در این جلسه عیب‌یابی به تازگی ایجاد شده است.

6. در  پنجره  Command ، !apc را تایپ کنید ، Enter را بزنید.

خروجی مشابهی مانند شکل زیر دریافت خواهید کرد.

7. نتایج را برای LsaIso.exe جستجو کنید . اگر درایوری با نام « <ProblemDriver>.sys » در زیر LsaIso.exe فهرست شده است ، همانطور که در خروجی بالا نشان داده شده است - با فروشنده تماس بگیرید و سپس آنها را برای کاهش توصیه شده برای حالت کاربر ایزوله(Isolated User Mode) ( IUM ) به این (IUM)سند مایکروسافت(Microsoft document) ارجاع دهید. ) فرآیندها

اگر هیچ درایوری در زیر Lsaiso.exe فهرست نشده باشد ، به این معنی است که فرآیند LSAISO هیچ APC(APCs) در صفی ندارد .

That’s it!



پیوند پازوکی

About the author

من یک کارشناس باتجربه ویندوز 10 و 11/10 هستم که هم در مرورگرها و هم در برنامه های گوشی های هوشمند تجربه دارم. من بیش از 15 سال مهندس نرم افزار هستم و با تعدادی از شرکت های بزرگ از جمله مایکروسافت، گوگل، اپل، یوبی سافت و غیره کار کرده ام. من همچنین توسعه ویندوز 10/11 را در سطح کالج تدریس کرده ام.


Related posts