Windows10、2019でLSAISO(LSA 分離)プロセスでのCPU使用率が高い場合の対象についての情報になります。
情報元は以下になります。
Windows 上の LSAISO プロセスでの CPU 使用率が高い
Windows を実行しているコンピューターで LSAISO プロセスが CPU の使用率が高くなる問題の解決方法について書かれています。
現象として、LSAISO (LSA 分離) プロセスでは、Windows 10、Windows Server 2016、またはそれ以降のバージョンを実行しているコンピューターで、CPU 使用率が高くなるそうです。
原因の抜粋です。
Windows では、LSAISO プロセスは、仮想セキュリティで保護されたモード (VSM) と呼ばれる新しいセキュリティ環境で分離ユーザーモード (IUM) プロセスとして実行されます。
DLL を IUM プロセスに読み込もうとしたり、スレッドを挿入したり、ユーザーモード APC を提供したりするアプリケーションとドライバーは、システム全体を不安定にすることがあります。 この destabilization には、「現象」に記載されている高 LSAISO の CPU シナリオを含めることができます。
ちなみにこのLSAISOとは何ぞやというのは、以下のサイトに軽く触れられています。
VBSを有効にした場合、通常のWindowsカーネルはVTL 0で動作し、通常のユーザーモードアプリケーションを実行できます。一方、セキュアカーネルはVTL 1で動作し、その上に「分離ユーザーモード(Isolated User Mode:IUM)」が提供されます。VTL 0からVTL 1へのアクセスは、セキュアカーネルを介して行われる制限された操作に限られ、VTL 0からVTL 1の分離ユーザーモードに直接的にアクセスすることはできません。VTL 1の分離ユーザーモードからVTL 0への直接的なアクセスもできません。
資格情報ガードとデバイスガードは、このVBSの新しい分離環境を利用して、高度に保護されます。例えば、通常のWindowsでは「ローカルセキュリティ機関(Lsass.exe)」がWindowsの認証を担当しますが、VBSが有効な場合、認証要求はセキュアカーネルを介して分離ユーザーモードで動作する「分離されたローカルセキュリティ機関(Lsaiso.exe)」に渡され、VTL 1内で処理されます。これにより、資格情報マネージャーと資格情報が悪意のある攻撃から保護されます。
https://www.atmarkit.co.jp/ait/articles/1711/01/news018_2.html
説明が難しいですが、解決策をサイトより抜粋です。
解決策 1: 消去法を使用します。
一部のアプリケーション (ウイルス対策プログラムなど) は、LSAISO プロセスに Dll またはキュー Apc を挿入することがよくあります。 これにより、LSAISO プロセスに高い CPU 使用率が発生します。
トラブルシューティングのために、ツールを IUM プロセスに接続することはできません。 これにより、Windows デバッグツールまたは WPA\XPERF を使用して、LSAISO CPU spiking のスタックトレースをキャプチャすることができなくなります。 このシナリオでの最適なトラブルシューティング方法は、「消去法のプロセス」の方法を使用することです。 これを行うには、CPU スパイクが緩和されるまで、アプリケーションとドライバーを無効にします。 問題の原因となっているソフトウェアを特定した後、ソフトウェア更新プログラムについてベンダーに問い合わせてください。 次の MSDN トピックに記載されている ISV 推奨事項を参照できます。
解決策2はかなり細かいので割愛します。こういったモードがあるとは知りませんでしたが、かなり難解ですね。
