ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windows10、2019でLSAISO.exe(LSA 分離)プロセスでのCPU使用率が高い

Windows10、2019でLSAISO(LSA 分離)プロセスでのCPU使用率が高い場合の対象についての情報になります。

 

情報元は以下になります。

 

Windows 上の LSAISO プロセスでの CPU 使用率が高い

https://docs.microsoft.com/ja-jp/troubleshoot/windows-client/performance/lsaiso-process-high-cpu-usage

 

Windows を実行しているコンピューターで LSAISO プロセスが CPU の使用率が高くなる問題の解決方法について書かれています。

 

現象として、LSAISO (LSA 分離) プロセスでは、Windows 10、Windows Server 2016、またはそれ以降のバージョンを実行しているコンピューターで、CPU 使用率が高くなるそうです。

 

原因の抜粋です。

 

Windows では、LSAISO プロセスは、仮想セキュリティで保護されたモード (VSM) と呼ばれる新しいセキュリティ環境で分離ユーザーモード (IUM) プロセスとして実行されます。

DLL を IUM プロセスに読み込もうとしたり、スレッドを挿入したり、ユーザーモード APC を提供したりするアプリケーションとドライバーは、システム全体を不安定にすることがあります。 この destabilization には、「現象」に記載されている高 LSAISO の CPU シナリオを含めることができます。

 

ちなみにこのLSAISOとは何ぞやというのは、以下のサイトに軽く触れられています。

 

 VBSを有効にした場合、通常のWindowsカーネルはVTL 0で動作し、通常のユーザーモードアプリケーションを実行できます。一方、セキュアカーネルはVTL 1で動作し、その上に「分離ユーザーモード(Isolated User Mode:IUM)」が提供されます。VTL 0からVTL 1へのアクセスは、セキュアカーネルを介して行われる制限された操作に限られ、VTL 0からVTL 1の分離ユーザーモードに直接的にアクセスすることはできません。VTL 1の分離ユーザーモードからVTL 0への直接的なアクセスもできません。

 資格情報ガードとデバイスガードは、このVBSの新しい分離環境を利用して、高度に保護されます。例えば、通常のWindowsでは「ローカルセキュリティ機関(Lsass.exe)」がWindowsの認証を担当しますが、VBSが有効な場合、認証要求はセキュアカーネルを介して分離ユーザーモードで動作する「分離されたローカルセキュリティ機関(Lsaiso.exe)」に渡され、VTL 1内で処理されます。これにより、資格情報マネージャーと資格情報が悪意のある攻撃から保護されます。

https://www.atmarkit.co.jp/ait/articles/1711/01/news018_2.html

 

 

説明が難しいですが、解決策をサイトより抜粋です。

 

解決策 1: 消去法を使用します。
一部のアプリケーション (ウイルス対策プログラムなど) は、LSAISO プロセスに Dll またはキュー Apc を挿入することがよくあります。 これにより、LSAISO プロセスに高い CPU 使用率が発生します。

トラブルシューティングのために、ツールを IUM プロセスに接続することはできません。 これにより、Windows デバッグツールまたは WPA\XPERF を使用して、LSAISO CPU spiking のスタックトレースをキャプチャすることができなくなります。 このシナリオでの最適なトラブルシューティング方法は、「消去法のプロセス」の方法を使用することです。 これを行うには、CPU スパイクが緩和されるまで、アプリケーションとドライバーを無効にします。 問題の原因となっているソフトウェアを特定した後、ソフトウェア更新プログラムについてベンダーに問い合わせてください。 次の MSDN トピックに記載されている ISV 推奨事項を参照できます。

 

解決策2はかなり細かいので割愛します。こういったモードがあるとは知りませんでしたが、かなり難解ですね。