在Windows服务器上,lsass.exe进程(Local Security Authority Subsystem Service)是负责处理本地安全认证服务的重要系统进程,它处理用户登录、身份验证以及访问令牌的创建等关键任务,当该进程的CPU使用率异常升高时,可能会严重影响系统性能甚至导致服务不可用,以下是排查和解决此问题的方法:
问题描述
1、症状:
系统中心顾问警报显示Lsass.exe进程始终使用大量CPU功能。
域控制器响应缓慢或根本没有响应客户端的服务请求。
客户端频繁地从不同的域控制器请求服务。
2、表现:
使用Perfmon.msc或任务管理器进行性能监视时,发现Lsass.exe进程占用大量CPU资源。
网络浮动现象明显,有时上传速率达到30M90M/s,可能表明对外攻击。
原因分析
1、Active Directory相关操作:
昂贵的LDAP查询影响性能,例如来自环境中计算机的远程查询。
域控制器执行大量的身份验证和目录查找操作。
2、恶意软件或病毒:
杀毒软件扫描出相同的病毒文件,怀疑为勒索病毒。
系统文件lsass.exe的大小变为30.5K(原正常文件大小为30.0K)。
3、第三方软件冲突:
Dell SupportAssist软件存在漏洞,可能导致内存泄漏。
其他第三方软件与Lsass.exe进程发生冲突,导致资源消耗增加。
排查步骤
1、使用性能监视器:
打开“性能监视器”(Perfmon.msc),展开“诊断可靠性和性能” > “数据收集器集” > “系统”。
右键单击“Active Directory 诊断”,然后选择“开始”,默认设置将在300秒(5分钟)内收集数据。
编译报表后,查看“诊断结果”部分,确定问题的潜在原因。
2、检查系统日志:
查看C:WindowsSystem32LogFilesHTTPERRhttperr日志文件,找到异常记录。
分析日志中的记录,定位可能的攻击源或异常站点。
3、终止并重启Lsass.exe进程:
如果Lsass.exe进程占用大量内存或CPU,可以尝试终止该进程,系统会在60秒内自动重启。
在命令提示符下运行shutdown a来取消自动重启。
4、禁用可疑函数:
对于某些特定的攻击,如通过PHP脚本发起的对外攻击,可以禁用fsockopen函数。
修改php.ini文件,将extension=php_sockets.dll前面的分号去掉,以禁用该扩展。
解决方案
1、修补系统漏洞:
应用最新的系统补丁和安全更新,确保系统处于最新状态。
使用Microsoft提供的修补程序来解决已知的安全漏洞。
2、调整系统配置:
优化Active Directory设置,减少昂贵的LDAP查询。
限制并发连接数,防止过多的远程查询影响性能。
3、清理恶意软件:
使用可靠的杀毒软件全面扫描系统,清除所有发现的病毒和恶意软件。
恢复受损的系统文件,确保文件大小和版本正确。
4、监控网络流量:
使用网络监控工具检测异常流量,尤其是高上传速率的情况。
定位并隔离发起攻击的站点或IP地址,采取相应的防护措施。
FAQs
1、为什么Lsass.exe进程会占用大量CPU资源?
Lsass.exe进程占用大量CPU资源通常是由于Active Directory相关的昂贵查询、恶意软件或病毒、第三方软件冲突等原因造成的,这些因素会导致系统资源被过度消耗,从而影响整体性能。
2、如何有效降低Lsass.exe进程的CPU使用率?
有效降低Lsass.exe进程的CPU使用率可以通过以下方法实现:优化Active Directory设置、应用系统补丁、清理恶意软件、禁用可疑函数、调整系统配置、监控网络流量等,具体方法应根据问题的具体情况而定。
通过以上方法和步骤,可以有效地排查和解决Windows服务器上lsass.exe进程CPU使用率异常的问题,定期维护和监控系统性能也是预防此类问题的重要措施。
Windows服务器上lsass.exe进程CPU使用率异常问题排查方法
1. 确认问题
确认lsass.exe进程确实存在CPU使用率异常的情况,可以通过任务管理器(Task Manager)来查看。
2. 收集信息
2.1 查看进程详细信息
打开任务管理器,找到lsass.exe进程。
点击“详细信息”标签,查看该进程的详细信息。
2.2 查看系统日志
打开“事件查看器”(Event Viewer)。
在“Windows日志”中查找“应用程序”、“安全”和“系统”日志,查看是否有相关错误或警告。
2.3 查看系统资源使用情况
使用性能监视器(Performance Monitor)来监控CPU、内存和网络的使用情况。
3. 常见原因分析
3.1 防火墙或安全软件
检查防火墙或安全软件是否阻止了某些服务,导致lsass.exe进程异常。
3.2 用户账户控制(UAC)
UAC可能导致lsass.exe在处理用户权限请求时消耗大量CPU资源。
3.3 服务认证策略
检查服务认证策略是否正确配置,错误的认证策略可能导致lsass.exe异常。
3.4 系统文件损坏
系统文件损坏可能导致lsass.exe无法正常工作。
4. 排查步骤
4.1 重启计算机
有时简单的重启可以解决一些临时性的问题。
4.2 更新系统
确保操作系统和所有相关驱动程序都是最新版本。
4.3 检查防火墙和安全软件
暂时禁用防火墙和安全软件,观察lsass.exe的CPU使用率是否下降。
4.4 检查用户账户控制(UAC)
修改UAC设置,观察是否有变化。
4.5 检查服务认证策略
使用组策略编辑器(Group Policy Editor)检查服务认证策略。
4.6 检查系统文件
运行“系统文件检查器”(SFC)和“DISM工具”(DISM)来修复系统文件。
4.7 查看网络活动
使用网络监视工具检查是否有异常的网络活动。
4.8 重置LSASS
通过命令提示符运行以下命令来重置LSASS服务:
“`
net stop lsass
del %windir%system32configlsass
net start lsass
“`
4.9 检查第三方软件
如果最近安装了新的软件,尝试卸载这些软件,看是否解决问题。
5. 预防措施
定期更新操作系统和软件。
保持防火墙和安全软件的配置合理。
定期检查系统日志,及时发现潜在问题。
定期备份重要数据。
6. 联系技术支持
如果以上步骤都无法解决问题,建议联系微软技术支持或专业的IT技术人员进行进一步诊断和修复。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1173249.html
