lsass.exe狂占cpu

mark_tj_cu

是台域控，2003的版本，发现lsass.exe占cpu很多，如何判断是那些客户端导致的呢？

struggle

分析:
====
Lsass是一个关键的系统进程,全名是 “local security authority subsystem service”. 他是负责当前计算机和安全相关的一系列任务. 例如安全策略的应用,登陆和访问计算机,修改密码,产生访问token等等


我们做的应该是把问题确定下来.我们需要弄清楚这是一个正常的现象,或者是客户端不正常访问造成的,还是服务器本身的问题.
测试的方法其实很简单.断开DC的网络然后重启DC,观察LSASS进程的CPU占有率是否有变化.

如果问题依然存在,那就应该是计算机本身的问题.根据我的经验,通常这个问题是由以下原因造成的.
1. 系统本身的问题.
我们有很多系统更新是和这个服务有关的,我建议您先把服务打上最新的补丁.
2. 软件的兼容性问题.
有些软件会和DC有兼容性问题. 我们可以回忆最近DC上软件环境的变化并比较这个现象发生的时间来大概确定范围.
我们可以用msconfig的diagnose 模式和safemode 来尝试排除问题.
3. 病毒或者恶意软件的问题.您
有很多已知的病毒和恶意软件会攻击和影响这个关键进程的运行,我们也需要注意这个可能性.

mark_tj_cu

是在正式的环境中，不能随便就停机或重启，所以目前就采取了抓包分析和用accountslockout的工具进行查看

mark_tj_cu

有几个用户端好像中病毒了，木马或蠕虫吧，还在杀毒中

struggle

用户端中毒不断的使用服务器验证，导致的DC负载过高？

mark_tj_cu

发现的病毒：w32/conficker.worm.gen.a
                  generic.dx!ekj
                  w32/hllp.philis.remnants