lsalso exe что это
Lsass.exe: что это за процесс и почему он грузит процессор
В Диспетчере задач Windows можно встретить процесс с названием «lsass.exe». Обычно данный файл просто висит в памяти компьютера и не создает никаких неудобств. Но, некоторые пользователи сталкиваются с тем, что процесс «lsass.exe» грузит процессор, память или диск на 100%.
В этой статье мы расскажем, что это за процесс, является ли он вирусом и можно ли его удалить.
Lsass.exe: что это за процесс
Поскольку процесс « lsass.exe » присутствует во всех современных версиях Windows, он часто используется создателями вирусов и шпионских программ для маскировки своих зловредов в системе. Вредоносные программы могут заражать непосредственно сам файл « lsass.exe » в папке System32, создавать файлы с похожими названиями в папке System32 или использовать такое же имя, но располагаться в других папках.
Lsass.exe – это вирус?
Можно ли удалять lsass.exe?
Удалять файл « lsass.exe », даже в случае заражения вирусами, нельзя. Поскольку без этого файла вы не сможете зайти в систему и продолжить работу. Фактически Windows выйдет из строя и вам придется восстанавливать работу с помощью загрузочного диска.
Но, если в качестве первой буквы указана большая буква « i » ( Isass.exe ), то такой файл является вирусом, который просто прикидывается системным файлом, и его можно спокойно удалять. Для того чтобы проверить, какая буква используется нужно скопировать имя файла и перевести его в нижний регистр (lowercase). Это можно сделать при помощи онлайн сервисов или программы Word.
Кроме этого, для маскировки вредоносного файла могут использоваться и другие ошибки в названии файла, например:
Также файл « lsass.exe » можно удалять если он находится не в папке « c:\windows\system32 ». В этом случае это также вирус.
Как проверить lsass.exe
Для того чтобы узнать точное название файла и его расположение, нужно открыть « Диспетчер задач », перейти на вкладку « Подробности » и открыть свойства файла.
В результате откроется окно со свойствами, в котором будет указано имя файла и его расположение.
В свойствах файла также можно проверить цифровую подпись. Оригинальный файл « lsass.exe » должен быть подписан компанией Майкрософт.
Проверка целостности системных файлов
Чтобы проверить всю операционную систему на целостность файлов нужно запустить командную строку с правами администратора и выполнить команду:
Также с помощью SFC можно проверить только файл « lsass.exe ». Для этого нужно использовать команду « sfc /scanfile » с указанием полного пути к файлу, например:
Для использования DISM вам также понадобится командная строка с правами администратора. В этом случае для проверки системы нужно выполнить:
Если операционная система не загружается, то эти команды можно выполнить с загрузочного диска. Более подробно об использовании SFC и DISM можно прочитать в отдельной статье о проверке целостности системных файлов.
Lsass.exe грузит процессор, память или диск
Пользователи иногда сталкиваются с тем, что процесс « lsass.exe » создает высокую нагрузку на процессор, оперативную память или жесткий диск. Ниже мы рассмотрим некоторые причины и возможные решения данной проблемы.
Обратите внимание, это приведет к удалению паролей, локально сохраненных в браузере.
Создатель сайта comp-security.net, автор более 2000 статей о ремонте компьютеров, работе с программами, настройке операционных систем.
Задайте вопрос в комментариях под статьей или на странице «Задать вопрос» и вы обязательно получите ответ.
High CPU usage in the LSAISO process on Windows
This article provides resolutions of a problem in which the LSAISO process experiences high CPU usage on a computer that’s running Windows.
Symptoms
The LSAISO (LSA Isolated) process experiences high CPU usage on a computer that’s running Windows 10, Windows Server 2016, or later versions.
Cause
In Windows, the LSAISO process runs as an Isolated User Mode (IUM) process in a new security environment that is known as Virtual Secure Mode (VSM).
Applications and drivers that try to load a DLL into an IUM process, inject a thread, or deliver a user-mode APC may destabilize the entire system. This destabilization can include the high LSAISO CPU scenario that is mentioned in the «Symptoms» section.
Resolution 1: Use the process of elimination
It’s common for some applications (such as antivirus programs) to inject DLLs or queue APCs to the LSAISO process. This causes the LSAISO process to experience high CPU usage.
For troubleshooting, it’s not possible to attach tools to a IUM process. This prevents you from using the Windows Debugging Tools or WPA\XPERF to capture stack traces during the LSAISO CPU spiking. So the best troubleshooting method in this scenario is to use the «process of elimination» methodology. To do this, disable applications and drivers until the CPU spike is mitigated. After you determine which software is causing the problem, contact the vendor for a software update. You can reference the ISV recommendations that are listed in the following MSDN topic:
This method may require a reboot after you disable the suspected software and drivers as you test for the CPU spike.
Resolution 2: Check for queued APCs
Download the free Debugging Tools for Windows (WinDbg, KD, CDB, NTSD). These tools are included in both the Windows Driver Kit (WDK) and the Windows Driver Kit (WDK). Then, follow these steps to determine which driver is queuing an APC to LSAISO:
While you reproduce the CPU spike, generate a kernel memory dump by using a tool such as NotMyFault.exe from the following Sysinternals website:
A complete memory dump isn’t recommended because it would require decryption if VSM is enabled on the system. To enable the kernel dump, follow these steps:
Open the WinDbg.exe tool from the Debugging Tools for Windows.
On the File menu, click Symbol File Path, add the following path for the Microsoft Symbol Server to the Symbol path box, and then select OK:
https://msdl.microsoft.com/download/symbols
On the File menu, click Open Crash Dump.
In the Command window, type !apc, and then press Enter.
The output should resemble the following screenshot.
Search the results for LsaIso.exe. If a driver that is named
.sys is listed under LsaIso.exe (as shown in the example screenshot of output in step 6), contact the vendor, and then refer them to the recommended mitigation that is listed in the Isolated User Mode (IUM) Processes topic.
If no drivers are listed under Lsaiso.exe, this means that the LSAISO process has no queued APCs.
More information
VSM uses isolation modes that are known as Virtual Trust Levels (VTL) to protect IUM processes (also known as trustlets). IUM processes such as LSAISO run in VTL1 while other processes run in VTL0. The memory pages of processes that run in VTL1 are protected from any malicious code that is running in VTL0.
Prior to Windows 10 and Windows Server 2016, the Local Security Authority Subsystem Service (LSASS) process was solely responsible for managing the local system policy, user authentication, and auditing while it also handled sensitive security data such as password hashes and Kerberos keys.
To use the security benefits of VSM, the LSAISO trustlet that runs in VTL1 communicates through an RPC channel with the LSAISO process that’s running in VTL0. The LSAISO secrets are encrypted before they’re sent to LSASS, and the pages of LSAISO are protected from any malicious code that’s running in VTL0.
Как я могу исправить проблемы, связанные с LsaIso.exe?
Проблемы LsaIso.exe обычно наблюдаются во время запуска программы Windows 10 Enterprise 2016 LTSB N x64 и обычно возникают в результате повреждения исполняемого файла или, в некоторых случаях, случайного или намеренного удаления вредоносным ПО. Как правило, самый лучший и простой способ устранения ошибок, связанных с файлами EXE, является замена файлов. Кроме того, регулярная очистка и оптимизация реестра Windows предотвратит создание неправильных ссылок на пути к файлам EXE, поэтому мы настоятельно рекомендуем регулярно выполнять сканирование реестра.
EXE файлы — это типы Исполнимые файлы, более широко известные в качестве формата Windows Executable File. В таблице ниже представлен список доступных для загрузки файлов LsaIso.exe, подходящих для большинства версий Windows (включая %%os%%). В текущем каталоге файлов могут отсутствовать редкие или очень старые версии LsaIso.exe, но вы можете запросить необходимую версию, нажав на кнопку Request (Запрос) рядом с необходимой версией файла. Если вы не можете найти нужную версию файла в нашей базе данных, вы также можете обратиться за дополнительной помощью к Microsoft.
Правильное расположение файла LsaIso.exe является решающим фактором в успешном устранении ошибок подобного рода. Однако, не будет лишним выполнить быструю проверку. Повторно запустите Windows 10 Enterprise 2016 LTSB N x64, чтобы убедиться в успешном решении проблемы.
| LsaIso.exe Описание файла | |
|---|---|
| Расширение файла: | EXE |
| Тип приложения: | Operating System |
| App: | Windows 10 Enterprise 2016 LTSB N x64 |
| Версия: | 1607 |
| Разработчик: | Microsoft |
| File: | LsaIso.exe Запрос |
| Байт: | 218008 |
| SHA-1: | 01aaeca6072aca76ffdfac4079ba70780374b16a |
| MD5: | d9a872dd315b806fea4bc25eae38d410 |
| CRC32: | c3cb6d12 |
Идентификатор статьи: 177082
LsaIso.exe
Выберите программное обеспечение
Управление Credential Guard в Защитнике Windows
Область применения
Включение Credential Guard в Защитнике Windows
Защитник Windows Credential Guard можно включить либо с помощью групповой политики, реестра,либо Hypervisor-Protected целостности кода (HVCI) и средства обеспечения готовности Защитник Windows Credential Guard. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.
Включение Credential Guard в Защитнике Windows с помощью групповой политики.
Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.
Дважды щелкните Включить средство обеспечения безопасности на основе виртуализации, а затем выберите вариант Включено.
В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.
В поле Конфигурация Credential Guard щелкните элемент Включено с блокировкой UEFI, а затем нажмите кнопку ОК. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.
В поле Конфигурация безопасного запуска выберите Not Configured, Enabled или Disabled. Дополнительные сведения в этой статье.
Закройте консоль управления групповыми политиками.
Включить Защитник Windows учетных данных с помощью Intune
Из доманажмите кнопку Microsoft Intune.
Щелкните Конфигурация устройств.
Щелкните Профили > Создание защиты > конечной точкипрофиля Защитник Windows > учетных данных Guard.
Это позволит включить VBS и безопасную загрузку, и вы можете сделать это с или без блокировки UEFI. Если потребуется отключить Учетную службу удаленно, включай ее без блокировки UEFI.
Вы также можете настроить Credential Guard с помощью профиля защиты учетных записей в безопасности конечной точки. Параметры политики защиты учетных записей для безопасности конечной точки см. в intune.
Включение Credential Guard в Защитнике Windows с помощью реестра
Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые нужно включить в некоторых операционных системах.
Добавление функций безопасности на основе виртуализации
Начиная с Windows 10 версии 1607 и Windows Server 2016 включать функции безопасность на основе виртуализации необязательно, и этот шаг можно пропустить.
Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции безопасности на основе виртуализации. Для этого можно воспользоваться панелью управления или системой обслуживания образов развертывания и управления ими (DISM).
Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются. Групповая политика сама установит эти компоненты Windows.
Добавление функций безопасности на основе виртуализации с помощью раздела «Программы и компоненты»
Откройте раздел Панели управления «Программы и компоненты».
Выберите Включение или отключение компонентов Windows.
Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.
Нажмите кнопку OK.
Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISM
Откройте командную строку с повышенными привилегиями.
Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды:
Добавьте режим изолированного пользователя с помощью следующей команды:
В Windows 10 версии 1607 и более поздней версии функция Изолированный режим пользователя была интегрирована в основную операционную систему. Поэтому запуск команды на шаге 3 выше больше не требуется.
Вы также можете добавить эти возможности в оперативный образ с помощью системы DISM или Configuration Manager.
Включение безопасности на основе виртуализации и Credential Guard в Защитнике Windows
Откройте редактор реестра.
Включите средство обеспечения безопасности на основе виртуализации.
Откройте раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
Добавьте новый параметр типа DWORD с именем EnableVirtualizationBasedSecurity. Для включения средства обеспечения безопасности на основе виртуализации установите для этого параметра реестра значение 1, а для отключения — значение 0.
Добавьте новый параметр типа DWORD с именем RequirePlatformSecurityFeatures. Задайте для этого параметра реестра значение1, чтобы использовать только режим Безопасная загрузка, или значение3, чтобы использовать режим Безопасная загрузка и защита DMA.
Включение Credential Guard в Защитнике Windows:
Откройте раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
Добавьте новый параметр типа DWORD с именем LsaCfgFlags. Присвойте этому параметру значение1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, значение2, чтобы включить Credential Guard в Защитнике Windows без блокировки, или значение0, чтобы отключить этот компонент.
Закройте редактор реестра.
Вы можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической установки FirstLogonCommands.
Включить Защитник Windows учетных данных с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard
Вы также можете включить Защитник Windows credential Guard с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard.
Это известная проблема.
Оценка работы Credential Guard в Защитнике Windows
Запущен ли Credential Guard в Защитнике Windows?
Чтобы убедиться, что Credential Guard в Защитнике Windows работает на компьютере, вы можете использовать программу «Сведения о системе».
Нажмите кнопку Пуск, введите msinfo32.exe, а затем щелкните Сведения о системе.
Выберите Сводные сведения о системе.
Подтверждение того, что служба безопасности на основе виртуализации отображается рядом с службами безопасности на основе виртуализации.
Вы также можете проверить, работает ли Защитник Windows службы учетных данных с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard.
Это известная проблема.
На клиентских компьютерах под управлением Windows 10 1703 LsaIso.exe включается каждый раз, когда средство обеспечения безопасности на основе виртуализации включается для других функций.
Мы рекомендуем включать Credential Guard в Защитнике Windows до присоединения устройства к домену. Если Credential Guard в Защитнике Windows был включен после присоединения устройства к домену, может оказаться, что секреты пользователя и устройства уже скомпрометированы. Другими словами, включение Credential Guard не поможет защитить устройство или удостоверение, которое уже уязвимо, именно поэтому мы рекомендуем включить Credential Guard как можно раньше.
Следует регулярно проводить проверку компьютеров с включенным Credential Guard в Защитнике Windows. Это можно сделать с помощью политик аудита безопасности или запросов WMI. Ниже представлен список кодов событий WinInit, которые следует искать.
Код события 13. Credential Guard в Защитнике Windows (LsaIso.exe) запущен и защищает учетные данные LSA.
Конфигурация event ID 14 Защитник Windows credential Guard (LsaIso.exe): [0x0 | 0x1 | 0x2], 0
Первая переменная: 0x1 или 0x2 означает, что Защитник Windows настраивается для запуска. 0x0 означает, что она не настроена для запуска.
Вторая переменная: 0 означает, что она настроена для работы в режиме защиты. 1 означает, что он настроен для работы в тестовом режиме. Эта переменная всегда должна быть 0.
Код события 15. Credential Guard в Защитнике Windows (LsaIso.exe) настроен, но ядро системы безопасности не запущено. Операция будет продолжена без Credential Guard в Защитнике Windows.
Код события 16. Не удалось запустить Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]
ID события 17 Чтение ошибок Защитник Windows учетных данных (LsaIso.exe) конфигурации UEFI: [код ошибки]
Код события 51. Подготовка главного ключа шифрования VSM. Использование кэшного состояния копирования: 0x0. Состояние распечатывания кэшированной копии: 0x1. Состояние создания нового ключа: 0x1. Состояние уплотнения: 0x1. Маска PCR TPM: 0x0.
Вы можете использовать Windows PowerShell, чтобы определить, работает ли охранник учетных данных на клиентский компьютер. На компьютере, о чем идет речь, откройте окно PowerShell с повышенными уровнями и запустите следующую команду:
Эта команда создает следующую выходную следующую команду:
0. Защитник Windows учетная точка отключена (не запущена)
1. Защитник Windows включена (запущена) учетная охрана
Проверка списка задач или диспетчера задач, чтобы узнать, LSAISO.exe ли запущена LSAISO.exe, не рекомендуется для определения того, Защитник Windows службы учетных данных.
Отключение Credential Guard в Защитнике Windows
Чтобы отключить Защитник Windows Credential Guard, можно использовать следующий набор процедур или средство готовности оборудования Device Guard и Credential Guard. Если служба credential Guard включена с блокировкой UEFI, необходимо использовать следующую процедуру, так как параметры сохраняются в переменных EFI (прошивка), и для нажатия клавиши функции для пользования изменением потребуется физическое присутствие на компьютере. Если учетная охрана включена без блокировки UEFI, ее можно отключить с помощью групповой политики.
Удалите указанные ниже параметры реестра.
Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:
Если вы удаляете эти параметры реестра вручную, убедитесь, что вы удалили их все. Если вы не удалите какие-либо из этих параметров, устройство может перейти в режим восстановления BitLocker.
Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:
Ответьте утвердительно на запрос об отключении Credential Guard в Защитнике Windows.
Для отключения Credential Guard в Защитнике Windows также можно отключить функции безопасности на основе виртуализации.
Компьютер должен иметь однократный доступ к контроллеру домена для расшифровки содержимого, например файлов, которые были зашифрованы с помощью EFS. Если требуется отключить как Защитник Windows, так и безопасность на основе виртуализации, запустите следующие команды bcdedit после отключения всех параметров групповой политики и реестра на основе виртуализации:
Дополнительные сведения о безопасности на основе виртуализации и HVCI см. в дополнительных сведениях о защите целостности кода на основе виртуализации.
Охрана учетных данных и охрана устройств не поддерживаются при использовании VMs Azure Gen 1. Эти параметры доступны только с VMs Gen 2.
Отключение Защитник Windows учетных данных с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard
Вы также можете отключить Защитник Windows credential Guard с помощью средства обеспечения готовности оборудования HVCI и Защитник Windows Credential Guard.
Это известная проблема.
Отключение Credential Guard в Защитнике Windows для виртуальной машины
На узле вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:
Высокое использование ЦП в процессе LSAISO на Windows
В этой статье содержится решение проблемы, при которой процесс LSAISO испытывает высокое использование ЦП на компьютере, который работает Windows.
Применяется к: Windows 10 — все выпуски, Windows Server 2016, Windows Server 2019
Исходный номер КБ: 4032786
Симптомы
Процесс LSAISO (LSA Isolated) имеет высокий уровень использования ЦП на компьютере с Windows 10, Windows Server 2016 или более поздними версиями.
Причина
В Windows процесс LSAISO выполняется как изолированный пользовательский режим (IUM) в новой среде безопасности, известной как виртуальный безопасный режим (VSM).
Приложения и драйверы, которые пытаются загрузить DLL в процесс IUM, ввести поток или доставить APC в режиме пользователя, могут дестабилизировать всю систему. Эта дестабилизация может включать высокий сценарий ЦП LSAISO, который упоминается в разделе «Симптомы».
Разрешение 1. Использование процесса устранения
В некоторых приложениях (например, антивирусных программах) часто вводят DLLs или ACS очереди в процесс LSAISO. Это приводит к высокому использованию ЦП для процесса LSAISO.
Для устранения неполадок невозможно прикрепить средства к процессу IUM. Это не позволяет использовать средства отладки Windows или WPA\XPERF для захвата следов стека во время пики ЦП LSAISO. Поэтому лучшим методом устранения неполадок в этом сценарии является использование методологии «процесса устранения». Для этого отключать приложения и драйверы до тех пор, пока не будет смягчан пик ЦП. После определения того, какое программное обеспечение вызывает проблему, обратитесь к поставщику для обновления программного обеспечения. Вы можете ссылаться на рекомендации isV, перечисленные в следующей теме MSDN:
Этот метод может потребовать перезагрузки после отключения предполагаемого программного обеспечения и драйверов при проверке на шип ЦП.
Разрешение 2. Проверка на выстроимые в очередь ACS
Скачайте бесплатные средства отладки для Windows (WinDbg, KD, CDB, NTSD). Эти средства включены как в набор драйверов Windows (WDK), так и в набор драйверов Windows (WDK). Затем выполните следующие действия, чтобы определить, какой драйвер очереди APC в LSAISO:
Воспроизводя шип ЦП, с помощью такого средства, как NotMyFault.exe Sysinternals, сгенерировать свалку памяти ядра:
Полная свалка памяти не рекомендуется, так как для включения VSM в системе потребуется расшифровка. Чтобы включить сброс ядра, выполните следующие действия:
Откройте средство WinDbg.exe средства отладки для Windows.
В меню «Файл» нажмите кнопку Открыть свалку аварийного сбоя.
В окне Команд введите !apc и нажмите кнопку Ввод.
Вывод должен напоминать следующий снимок экрана.
Поиск результатов для LsaIso.exe. Если драйвер с именем.sys указан в разделеLsaIso.exe(как показано на примере экрана вывода на шаге 6), обратитесь к поставщику, а затем переназначите его на рекомендуемое смягчение, которое перечислены в разделе Изолированный режим пользователя
Если драйверы не указаны в Lsaiso.exe, это означает, что процесс LSAISO не имеет в очереди API.
Дополнительные сведения
VSM использует режимы изоляции, известные как виртуальные уровни доверия (VTL), для защиты процессов IUM (также известных как trustlets). Процессы IUM, такие как LSAISO, запускаются в VTL1, а другие — в VTL0. Страницы памяти процессов, запущенных в VTL1, защищены от любого вредоносного кода, запущенного в VTL0.
До Windows 10 и Windows Server 2016 процесс службы подсистем местного органа безопасности (LSASS) отвечал исключительно за управление локальной системной политикой, проверкой подлинности пользователей и аудитом, а также обработкой конфиденциальных данных безопасности, таких как хеши паролей и ключи Kerberos.
Чтобы использовать преимущества защиты vsM, доверчивый сайт LSAISO, работающий в VTL1, передается через канал RPC с процессом LSAISO, запущенным в VTL0. Секреты LSAISO шифруются перед их отправлением в LSASS, а страницы LSAISO защищены от любого вредоносного кода, запущенного в VTL0.