Einige Benutzer könnten mit dem Problem konfrontiert sein, dass der Prozess LSAISO.exe (LSA Isolated) auf einem Windows 10 -Computer eine hohe CPU-Auslastung erfährt. ^{(high CPU usage)}Der Prozess ist mit Credential Guard & Key Guard verknüpft . In diesem Beitrag sehen wir uns die mögliche Ursache und die empfohlene Lösung für dieses Problem an.

LSAISO verarbeitet hohe CPU-Auslastung

VSM verwendet Isolationsmodi, die als Virtual Trust Levels ( VTL ) bekannt sind, um IUM -Prozesse (auch bekannt als Trustlets) zu schützen. IUM - Prozesse wie LSAISO werden in VTL1 ausgeführt,^(VTL1) während andere Prozesse in VTL0 ausgeführt werden^(VTL0) . Die Speicherseiten von Prozessen, die in VTL1 ausgeführt^(VTL1) werden, sind vor bösartigem Code geschützt, der in VTL0 ausgeführt wird^(VTL0) .

Der Local Security Authority Subsystem Service (LSASS) -Prozess ist für die Verwaltung der lokalen Systemrichtlinie, Benutzerauthentifizierung und Überwachung verantwortlich, während er auch vertrauliche Sicherheitsdaten wie Kennwort-Hashes und Kerberos - Schlüssel verarbeitet.

Um die Sicherheitsvorteile von VSM zu nutzen , kommuniziert das in VTL1 ausgeführte LSAISO- ^(LSAISO)Trustlet^(VTL1) über einen RPC -Kanal mit dem in VTL0 ausgeführten ^(LSAISO)LSAISO^(VTL0) - Prozess . Die LSAISO- Geheimnisse werden verschlüsselt, bevor sie an LSASS gesendet werden , und die Seiten von LSAISO sind vor bösartigem Code geschützt, der in VTL0 ausgeführt wird^(VTL0) .

Mögliche Ursache für die hohe CPU-Auslastung des LSAISO-Prozesses^{(Possible cause of LSAISO process high CPU usage)}

In Windows 10 wird der LSAISO-Prozess^{(LSAISO process)} als Isolated User Mode ( IUM )-Prozess in einer neuen Sicherheitsumgebung ausgeführt, die als Virtual Secure Mode (VSM) bezeichnet wird.

Anwendungen und Treiber, die versuchen, eine DLL (Dynamic Link Library) in einen IUM - Prozess zu laden, einen Thread einzuschleusen oder eine APC im Benutzermodus bereitzustellen, können das gesamte System destabilisieren. Diese Destabilisierung kann die hohe LSAISO-CPU- Auslastung in Windows 10 auslösen .

So beheben Sie das Problem mit der hohen CPU-Auslastung des LSAISO-Prozesses^{(How to fix LSAISO process high CPU usage issue)}

Um dieses Problem zu beheben, empfiehlt Microsoft die Verwendung einer der folgenden Methoden.

1. Verwenden Sie das Ausschlussverfahren.
2. Suchen Sie nach APCs in der Warteschlange.

Lassen Sie uns nun in die Details der beiden empfohlenen Lösungen eintauchen.

1] Verwenden Sie das Ausschlussverfahren^{(1] Use the process of elimination)}

Es ist üblich, dass einige Anwendungen (z. B. Antivirenprogramme) DLLs injizieren oder APCs in den LSAISO- Prozess einreihen. Dadurch kommt es beim LSAISO- Prozess zu einer hohen CPU - Auslastung.

In diesem Szenario erfordert die Fehlerbehebungsmethode „ Prozess der Eliminierung “, dass Sie Anwendungen und Treiber deaktivieren, bis die ^{(process of elimination)}CPU -Spitze abgeschwächt ist. Nachdem Sie festgestellt haben, welche Software das Problem verursacht, wenden Sie sich an den Hersteller, um ein Softwareupdate zu erhalten.

2] Suchen Sie nach APCs in der Warteschlange^{(2] Check for queued APCs)}

In diesem Szenario müssen Sie zuerst das kostenlose Windows-Debugging-Tool (WinDbg) herunterladen . Das Tool ist auch^{(tool is also included)} im Windows Driver Kit (WDK) enthalten.

Nachdem Sie das WinDbg- Tool heruntergeladen haben, können Sie mit den unten beschriebenen Schritten fortfahren, um festzustellen, welcher Treiber einen APC in die Warteschlange von LSAISO stellt^(LSAISO) .

Hinweis:^(Note:) Ein vollständiges Speicherabbild wird nicht empfohlen, da es eine Entschlüsselung erfordern würde, wenn VSM auf dem System aktiviert ist.

Gehen Sie wie folgt vor, um den Kernel-Dump zu aktivieren:

• Drücken Sie die Windows - Taste + R. Geben Sie im Dialogfeld Ausführen den Befehl ^(Run)control system ein^{(control system)} , drücken Sie die Eingabetaste, um das System- Applet in der Systemsteuerung^{(Control Panel)} zu öffnen , und wählen Sie dann Erweiterte Systemeinstellungen aus^{(Advanced system settings)} .
• Wählen Sie auf der  Registerkarte  „ Erweitert^(Advanced) “ des  Dialogfelds „  Systemeigenschaften “ die Option „ ^{(System Properties)}Einstellungen ^(Settings ) “ im  Bereich „ Starten und Wiederherstellen^{(Startup and Recovery)} “  .
• Wählen Sie im  Dialogfeld  Starten und Wiederherstellen^{(Startup and Recovery)}  in der  Dropdown-Liste Debugging-Informationen schreiben die Option ^{(Write debugging information)}Kernel-Speicherabbild aus.^{(Kernel memory dump)}
• Notieren Sie sich den Speicherort der Dump-Datei^{(Dump File)} , die Sie  in  Schritt 5^{(step 5)} verwenden möchten , und klicken Sie dann auf OK .

2. Klicken Sie auf die Schaltfläche Start , suchen Sie den Eintrag Windows Kits im ^{(Windows Kits)}Startmenü^(Start) und klicken Sie darauf , und wählen Sie dann WinDbg(x64/x86) aus, um das Tool zu starten.

https://msdl.microsoft.com/download/symbols

4.  Klicken Sie anschließend im Menü  Datei auf ^(File)Crash Dump öffnen^{(Open Crash Dump)} .

5. Navigieren^(Browse) Sie zum Speicherort der Kernel-Dump-Datei, die Sie sich in Schritt 1 notiert haben, und wählen Sie dann Öffnen^(Open) aus . Überprüfen Sie das Datum der .dmp -Datei, um sicherzustellen, dass sie während dieser Fehlerbehebungssitzung neu erstellt wurde.

6. Geben Sie im Befehlsfenster ^(Command)!apc ein  und  drücken Sie die Eingabetaste.

Sie erhalten eine ähnliche Ausgabe wie unten gezeigt.

7. Suchen Sie in den Ergebnissen nach LsaIso.exe . Wenn ein Treiber mit dem Namen „ <ProblemDriver>.sys “ unter LsaIso.exe aufgeführt ist , wie in der obigen Ausgabe gezeigt, wenden Sie sich an den Anbieter und verweisen Sie ihn dann auf dieses Microsoft-Dokument^{(Microsoft document)} für die empfohlene Risikominderung für den isolierten Benutzermodus^{(Isolated User Mode)} ( IUM ) Prozesse.

Wenn unter Lsaiso.exe^(Lsaiso.exe) keine Treiber aufgelistet sind , bedeutet dies, dass der LSAISO- Prozess keine APCs in der Warteschlange hat .

That’s it!

Fix LSAISO process high CPU usage in Windows 10

Some users might be faced with the problem in which the LSAISO.exe (LSA Isolated) process experiences high CPU usage on a Windows 10 computer. The process is associated with Credential Guard & Key Guard. In this post, we have a look at the possible cause and the recommended solution to this issue.

LSAISO process high CPU usage

VSM uses isolation modes that are known as Virtual Trust Levels (VTL) to protect IUM processes (also known as trustlets). IUM processes such as LSAISO run in VTL1 while other processes run in VTL0. The memory pages of processes that run in VTL1 are protected from any malicious code that is running in VTL0.

The Local Security Authority Subsystem Service (LSASS) process is responsible for managing the local system policy, user authentication, and auditing while it also handled sensitive security data such as password hashes and Kerberos keys.

To use the security benefits of VSM, the LSAISO trustlet that runs in VTL1 communicates through an RPC channel with the LSAISO process that is running in VTL0. The LSAISO secrets are encrypted before they are sent to LSASS, and the pages of LSAISO are protected from any malicious code that is running in VTL0.

Possible cause of LSAISO process high CPU usage

In Windows 10, the LSAISO process runs as an Isolated User Mode (IUM) process in a new security environment that is known as Virtual Secure Mode (VSM).

Applications and drivers that try to load a DLL (Dynamic Link Library) into an IUM process, inject a thread, or deliver a user-mode APC may destabilize the entire system. This destabilization can trigger the high LSAISO CPU usage in Windows 10.

How to fix LSAISO process high CPU usage issue

To resolve this issue, Microsoft recommends using one of the following methods.

1. Use the process of elimination.
2. Check for queued APCs.

Now, let’s delve into details for the two recommended solutions.

1] Use the process of elimination

It is common for some applications (such as antivirus programs) to inject DLLs or queue APCs to the LSAISO process. This causes the LSAISO process to experience high CPU usage.

In this scenario, the “process of elimination” troubleshooting method requires that you disable applications and drivers until the CPU spike is mitigated. After you determine which software is causing the problem, contact the vendor for a software update.

2] Check for queued APCs

In this scenario, you’ll need to first download the free Windows Debugging (WinDbg) tool. The tool is also included in the Windows Driver Kit (WDK).

Once you have the WinDbg tool downloaded, you can then proceed with the steps outlined below to determine which driver is queuing an APC to LSAISO.

Note: A complete memory dump is not recommended because it would require decryption if VSM is enabled on the system.

To enable the kernel dump, do the following:

• Press Windows key + R. In the Run dialog box, type control system, hit Enter to open the System applet in Control Panel, and then select Advanced system settings.
• On the Advanced tab of the System Properties dialog box, select Settings in the Startup and Recovery area.
• In the Startup and Recovery dialog box, select Kernel memory dump in the Write debugging information drop-down list.
• Make a note of the Dump File location to use in step 5, and then click OK.

2. Click the Start button, locate and click Windows Kits entry on the Start menu, then select WinDbg(x64/x86) to launch the tool.

https://msdl.microsoft.com/download/symbols

4. Next, on the File menu, click Open Crash Dump.

5. Browse to the location of the kernel dump file that you noted in step 1, and then select Open. Check the date on the .dmp file to make sure that it was newly created during this troubleshooting session.

6. In the Command window, type !apc, hit Enter.

You’ll receive a similar output as shown below.

7. Search the results for LsaIso.exe. If a driver that is named “<ProblemDriver>.sys” is listed under LsaIso.exe, as shown in the output above – contact the vendor, and then refer them to this Microsoft document for the recommended mitigation for the Isolated User Mode (IUM) processes.

If no drivers are listed under Lsaiso.exe, this means that the LSAISO process has no queued APCs.

That’s it!

Related posts

• So beheben Sie das Problem mit der hohen CPU-Auslastung von GSvr.exe in Windows 10

• So ändern Sie die CPU-Prozesspriorität in Windows 10

• 7 Möglichkeiten zur Behebung eines kritischen Prozesses, der in Windows 10 gestorben ist

• Korrigieren Sie den MoUSO Core Worker Process in Windows 10

• So beheben Sie eine hohe CPU-Auslastung unter Windows 10

• Behebung des Fehlers Ereignis-ID 7031 oder 7034, wenn sich der Benutzer vom Windows 10-Computer abmeldet

• Behebung des Fehlers „Die CPU Ihres PCs ist nicht mit Windows 8/10 kompatibel“.

• Was ist der Prozess splwow64.exe in Windows 10 und kann ich ihn deaktivieren?

• Beheben Sie das Problem der hohen CPU- und Festplattenauslastung von Windows 10

• So legen Sie die Prozesspriorität im Task-Manager unter Windows 10 fest

• Fix Langsamer Zugriff auf Netzlaufwerk von Windows 10

• Schnelle Batterieentladung unter Windows 10 mit Hybrid Graphics beheben

• Fix Access Control Entry ist ein beschädigter Fehler in Windows 10

• Beheben Sie den Ntfs.sys-BSOD-Fehler unter Windows 10

• Was ist atiesrxx.exe im Windows 10 Task-Manager?

• Hohe CPU-Auslastung von MPSigStub in Windows 11/10 behoben

• Verbindung zu Xbox Live nicht möglich; Beheben Sie das Problem mit dem Xbox Live-Netzwerk in Windows 10

• So beheben Sie eine hohe CPU-Auslastung durch Systemleerlaufprozesse

• Was ist lsass.exe in Windows 10 und wie erkennt man, ob es sich um einen Virus handelt?

• Beheben Sie die hohe CPU-Auslastung des SoftThinks Agent-Dienstes in Windows 10