Как устранить высокую загрузку ЦП процессом lsalso.exe в Windows

Краткое определение

Lsalso.exe — выполняемый файл, связанный с механизмами защиты Windows (Credential Guard / KeyGuard) и работающий в изолированном режиме безопасности (Virtual Secure Mode / Isolated User Mode). В статье используются названия, встречающиеся в системе и документации: lsalso.exe, LsaIso.exe, LSAISO.

Важно: процесс, ответственный за локальную подсистему безопасности (LSASS), переместил часть функционала в изолированный процесс, чтобы защитить секреты (хэши паролей, ключи Kerberos). Это повышает безопасность, но создаёт дополнительные сценарии, когда драйвер или приложение могут некорректно взаимодействовать с этим изолированным окружением и вызывать высокую загрузку ЦП.

Что вызывает высокую загрузку ЦП у lsalso.exe

Ниже — наиболее распространённые причины. Каждый пункт — возможный путь расследования.

• Malware (вредоносное ПО). Злоумышленники иногда маскируют процессы под системные имена или загружают вредоносные модули в процессы безопасности.
• Повреждённые системные файлы. Системные библиотеки или компоненты Windows, участвующие в работе LSA/изолированного режима, могли быть повреждены.
• Устаревшие или некорректные драйверы. Драйверы, пытающиеся загрузить DLL в изолированный процесс, могут вызвать повышенную нагрузку и нестабильность.
• Конфликтующие приложения и одновременные процессы. Нагрузка может расти при множественных конкурирующих операциях или при ошибочной работе ПО.

Примечание: перечисленные причины не исчерпывают всех вариантов, но дают практическую карту для последовательного устранения неисправности.

Подготовительные проверки (что сделать в первую очередь)

• Завершите явно ненужные процессы через Диспетчер задач (Диспетчер задач → Процессы → Правый клик → Снять задачу).
• Выполните полное сканирование системы надёжным антивирусом (Windows Defender или сторонний продукт).
• Попробуйте восстановление системы до точки, когда проблема отсутствовала (если такая точка есть).

Важно: перед серьёзными изменениями (удаление драйверов, восстановление системы) создайте резервную копию важных данных.

1. Метод исключения (Process of Elimination)

Цель: локализовать внешний компонент (приложение или драйвер), который взаимодействует с изолированным LSA и вызывает перегрузку.

Шаги:

1. Откройте Диспетчер задач: нажмите кнопку Пуск и введите «Диспетчер задач», затем откройте приложение.
2. На вкладке Процессы найдите lsalso.exe (или сопутствующий процесс LsaIso) и посмотрите сопутствующие процессы с высоким использованием ЦП.
3. По очереди завершайте подозрительные приложения: правый клик → Снять задачу. После каждого завершения наблюдайте нагрузку на lsalso.exe.

4. Запустите Диспетчер устройств (Device Manager). Найдите недавно установленные или подозрительные устройства/драйверы.
5. Для теста временно удалите драйвер: правый клик по устройству → Удалить устройство → отметить «Удалить драйвер для этого устройства», если предлагается. Перезагрузите систему и проверьте поведение lsalso.exe.

Пояснение: многие драйверы устанавливают фильтры или расширения, которые при ошибке пытаются загрузить свои компоненты в изолированный режим. Последовательное удаление/включение позволяет найти проблемный компонент.

Когда использовать: сначала — для домашних пользователей и администраторов, у которых нет доступа к отладочным инструментам.

2. Сбор и анализ дампа ядра (проверка APC в очереди)

Если метод исключения не обнаружил виновника, следующее — собрать дамп ядра во время пика нагрузки и проанализировать его в WinDbg.

Важно: этот процесс требует прав администратора и установки Windows Driver Kit (WinDbg). Следуйте безопасным процедурам и по возможности выполняйте действия на тестовой машине.

Шаги по включению дампа ядра и анализу:

1. Установите Windows Debugging (WinDbg) из комплекта Windows SDK / Windows Driver Kit.
2. Для воспроизведения состояния с пиком используйте инструмент NotMyFault.exe (Sysinternals) для аккуратного генератора состояния/дампа, если это допустимо в вашей среде.
3. Включите запись дампа ядра: нажмите Win+R → введите control system → Enter.
4. В левой части выберите Дополнительные параметры системы.

5. На вкладке Дополнительно в разделе Загрузка и восстановление нажмите Параметры. Установите «Запись отладочной информации» → «Дамп ядра» и примените изменения.

6. Запустите WinDbg (x64 или x86 в зависимости от ОС). В меню File → Symbol File Path укажите: https://msdl.microsoft.com/download/symbols и подтвердите.

7. Откройте дамп через File → Open Crash Dump и выберите созданный файл дампа.
8. Введите команду анализа, например: !analyze -v и нажмите Enter. Просмотрите вывод на предмет упоминания проблемных драйверов (.sys) и потоков с высоким ожиданием.

9. В выводе ищите строки, указывающие на .sys или на потоки, блокирующие LsaIso.exe. Запишите имена подозрительных драйверов.

Действия после анализа:

• Свяжитесь с поставщиком драйвера, предоставьте дамп и вывод WinDbg; попросите рекомендации по совместимости с IUM.
• Если драйвер сторонний и вызывает проблему — удалите/замените его или примените предложенный вендором патч.

Примечание: для тех, кто не знаком с WinDbg, можно передать дамп специалисту. Соблюдайте конфиденциальность: дамп может содержать чувствительные данные.

3. Обновление драйверов через Windows Update

Быстрое решение — проверить доступные обновления драйверов через параметры Windows.

Шаги:

1. Откройте Пуск → Параметры → Обновление и безопасность → Центр обновления Windows.

2. Выберите Дополнительные параметры → Необязательные обновления.

3. Перейдите в раздел Обновления драйверов, отметьте доступные элементы и нажмите «Загрузить и установить».

Пояснение: обновлённые драйверы часто устраняют несовместимости с новыми компонентами безопасности Windows.

Дополнительные рекомендации и альтернативные подходы

• Выполните проверку системных файлов: запустите в командной строке от имени администратора команды sfc /scannow и затем DISM /Online /Cleanup-Image /RestoreHealth.
• Попробуйте чистую загрузку Windows (msconfig → выключить автозагрузку сторонних сервисов) чтобы проверить влияние автозапуска.
• Запустите систему в Безопасном режиме: если в безопасном режиме проблема отсутствует, это указывает на сторонний драйвер или сервис.
• Проведите полную антивирусную проверку и сканирование на руткиты (например, с помощью Microsoft Defender Offline).

Когда эти подходы не помогают:

• Рассмотрите восстановление системы или переустановку Windows как крайнюю меру (предварительно сохранив данные).
• Обратитесь в техническую поддержку Microsoft или к поставщику драйвера, приложив дамп и логи.

Чек‑лист для разных ролей

Пользователь (домашний):

• Сделать резервную копию личных данных.
• Проверить автозапуск, закрыть ненужные процессы.
• Обновить драйверы через Центр обновления Windows.
• Просканировать систему антивирусом.

ИТ‑специалист / Системный администратор:

• Собрать дамп ядра при пике нагрузки.
• Проанализировать дамп в WinDbg, указать проблемные драйверы.
• Провести удаление/обновление драйверов на тестовом ПК.
• Документировать изменения и подготовить план отката.

План реагирования и отката (incident runbook)

1. Зафиксировать время и симптомы (время начала пика, % загрузки, сопровождающие ошибки в журнале событий).
2. Сделать снимок состояния системы (Process Explorer, список установленных драйверов, msinfo32 → сохранить в файл).
3. Собрать дамп ядра и системные журналы (Event Viewer → System, Application).
4. Временно отключить подозрительные драйверы/сервисы и проверить поведение.
5. Если устранение работает — применить обновление драйвера/патч и наблюдать 24–72 часа.
6. В случае ухудшения — откатить драйвер/восстановить систему из резервной точки и уведомить заинтересованные стороны.

Критерии приёмки:

• Стабильная загрузка lsalso.exe в пределах нормальных значений (обычно низкий % при простое).
• Отсутствие повторяющихся ошибок в журнале событий, связанных с LsaIso/LSASS.
• Утверждённый вендором патч/обновление установлен и документирован.

Мини‑методология расследования (коротко)

1. Быстрые проверки (антивирус, обновления, завершение задач).
2. Метод исключения (удаление подозрительных приложений/драйверов).
3. Сбор дампа при пике и анализ в WinDbg.
4. Внесение исправления (обновление/удаление драйвера, системные исправления).
5. Мониторинг и документирование.

Когда это решение не помогает — возможные причины

• Проблема вызвана глубокой системной корупцией или аппаратной неисправностью (память, диск).
• Проблемный компонент — встроенное или фирменное ПО, для которого нет обновления.
• Дамп некорректно собран или в нём недостаточно информации (требуется расширенный сбор логов).

Короткий глоссарий

• LSA (Local Security Authority) — локальная служба безопасности Windows.
• IUM / VSM — изолированный режим пользователя / виртуальный режим безопасности, защищающий секреты.
• WinDbg — отладочный инструмент Microsoft для анализа дампов.

Итог и рекомендации

1. Начните с простого: завершите ненужные процессы, выполните антивирусное сканирование и обновите драйверы.
2. Если проблема повторяется — используйте метод исключения и соберите дамп ядра во время пика для анализа в WinDbg.
3. Работайте с вендорами драйверов, предоставляя дампы и логи — часто именно обновление драйвера устраняет конфликт.

Важно: любые изменения в драйверах и системных настройках выполняйте по очереди и отмечайте, чтобы можно было вернуть систему в исходное состояние при откате.

Если остались вопросы или нужен пример анализа дампа/шаблон отчёта для вендора — оставьте детали вашей конфигурации в комментарии, и мы поможем составить следующий шаг.