Acerca del cifrado del volcado
El cifrado del volcado se puede usar para cifrar volcados de memoria y volcados dinámicos generados para un sistema. Los volcados se cifran mediante una clave de cifrado simétrica que se genera para cada volcado. Posteriormente, esta propia clave se cifra mediante la clave pública especificada por el administrador de confianza del host (protector de clave de cifrado de volcados de memoria). Esto garantiza que solo quienes tengan la clave privada coincidente pueden descifrar y, por tanto, acceder al contenido del volcado. De esta funcionalidad se saca provecho en un tejido protegido. Nota: Si configura el cifrado de volcado, deshabilite también Informe de errores de Windows. WER no puede leer volcados de memoria cifrados.
Configuración del cifrado del volcado
Configuración manual
Para activar el cifrado del volcado mediante el Registro, configure los siguientes valores del Registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
| Nombre del valor | Escriba | Value |
|---|---|---|
| DumpEncryptionEnabled | DWORD | 1 para habilitar el cifrado del volcado, 0 para deshabilitar el cifrado del volcado |
| EncryptionCertificates\Certificate.1::PublicKey | Binary | Clave pública (RSA, 2048 bits) que se debe usar para cifrar volcados. Debe tener el formato BCRYPT_RSAKEY_BLOB. |
| EncryptionCertificates\Certificate.1::Thumbprint | String | Huella digital del certificado de seguridad para permitir la búsqueda automática de una clave privada en el almacén de certificados local al descifrar un volcado de memoria. |
Configuración mediante script
Para simplificar la configuración, hay disponible un script de ejemplo para habilitar el cifrado del volcado en función de una clave pública de un certificado.
- En un entorno de confianza: cree un certificado con una clave RSA de 2048 bits y exporte el certificado público.
- En los hosts de destino: importe el certificado público en el almacén de certificados local.
- Ejecución del script de configuración de ejemplo
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
Descifrado de volcados cifrados
Para descifrar un archivo de volcado cifrado existente, debe descargar e instalar las Herramientas de depuración para Windows. Este conjunto de herramientas contiene el archivo KernelDumpDecrypt.exe que se puede usar para descifrar archivos de volcado cifrados. Si el certificado que incluye la clave privada está en el almacén de certificados del usuario actual, el archivo de volcado se puede descifrar mediante una llamada a
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
Después del descifrado, las herramientas como WinDbg pueden abrir el archivo de volcado descifrado.
Solución de problemas de cifrado de volcado
Si el cifrado del volcado está habilitado en un sistema, pero no se generan volcados, compruebe el registro de eventos System del sistema para el evento de Kernel-IO 1207. Cuando no se puede inicializar el cifrado del volcado, se crea este evento y se deshabilitan los volcados.
| Mensajes de error detallados | Pasos de mitigación |
|---|---|
| Faltan la clave pública o la huella digital del Registro | Compruebe si ambos valores del Registro existen en la ubicación esperada. |
| Clave pública no válida | Asegúrese de que la clave pública almacenada en el valor del Registro PublicKey se almacena como BCRYPT_RSAKEY_BLOB. |
| Tamaño de clave pública no admitido | Actualmente, solo se admiten claves RSA de 2048 bits. Configure una clave que cumpla este requisito. |
Compruebe también si el valor GuardedHost de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled está establecido en un valor distinto de 0. Esto deshabilita completamente los volcados de memoria. En ese caso, establézcalo en 0.