Lsass.exe высокая загрузка ЦП и создание очереди запросов на веб-сервере
У меня есть веб-сервер с Windows 2012 R2, на котором работает только один веб-сайт, на ASP.NET 4.5.1, IIS 8.5. Он не имеет и никогда не устанавливал роль AD.
В прошлое воскресенье процесс lsass.exe неожиданно начал загружать CPU на 20-40%. Мы ничего не меняли на сервере или в окружающей сети. (На этом этапе обновление Windows не производилось)
С тех пор веб-сайт постепенно ухудшается, время отклика увеличивается до тех пор, пока сервер не будет перезагружен, а затем все вернется в нормальное состояние, но с этого момента он постепенно ухудшается. Теперь сервер необходимо перезагружать каждые 4-12 часов, чтобы сайт продолжал работать. Использование ЦП на сервере никогда не достигает 100%, также имеется свободная оперативная память.
Из New Relic, который используется для мониторинга сайта и сервера, похоже, что именно очередь запросов вызывает плохую производительность, увеличиваясь с ~ 100 мс после перезагрузки до 10 с и более через несколько часов.
У меня есть другие серверы с тем же кодом веб-сайта, работающие в той же среде, с большей нагрузкой, чем этот, которые не демонстрируют такого поведения. (Хотя они на WS 2012 (не R2))
Я мониторил сетевой трафик и ничего странного там не вижу. Единственное, что действительно выделяется и кажется взаимосвязанным в Perfmon, - это "Статистика безопасности по процессам \ Дескрипторы учетных данных", который продолжает увеличиваться для процесса lsass, он запускается лишь через несколько секунд после перезагрузки и достигает 100000+ после нескольких часов работы. Никакой другой процесс не делает этого, а lsass.exe на других серверах имеет всего несколько сотен «учетных данных».
См. График процесса lsass.exe за последний месяц: 
График времени отклика сайта от New relic. Каждый пик требовал перезагрузки, сервер также перезагружался на более мелких пиках, не очень заметных на этом графике: 
Есть какие-нибудь советы о том, что может быть не так и как исправить?
Изменить: снимок панели TCP / IP в Process Explorer на lsass.exe 
Снимок типичного потока, порожденного lsass.exe, они появляются примерно каждую секунду в Process Explorer: 
После включения TLS 1.2 (также 1.0 и 1.2) в Windows 2012 R2 и 2008 R2 SP1 процесс lsass.exe начал перегружать ЦП. Я использовал IISCrypto40, щелкнул «Best Practices», а в «Key Exchanges Enabled» оставил включенным только PKCS. После этого нагрузка на ЦП вернулась в норму (5-10%). p.s. извините за плохой английский Настройки IISCrypto
Проверить на вредоносное ПО. Я вызвал это путем миграции meterpreter на lsass, потому что он дает мне больше разрешений.
Я бы также посмотрел на проводник процессов и посмотрел, можете ли вы увидеть, какие потоки вызывают высокую загрузку процессора.