Сведения о шифровании дампа
Шифрование дампа можно использовать для шифрования аварийных дампов и динамических дампов, созданных для системы. Дампы шифруются с помощью симметричного ключа шифрования, который создается для каждого дампа. Затем этот ключ шифруется с помощью открытого ключа, указанного доверенным администратором узла (защита ключа шифрования аварийного дампа). Это гарантирует, что только кто-то, у кого есть соответствующий закрытый ключ, может расшифровать и, следовательно, получить доступ к содержимому дампа. Эта возможность используется в защищенной структуре. Примечание. При настройке шифрования дампа также отключите отчеты об ошибках Windows. WER не может считывать зашифрованные аварийные дампы.
Настройка шифрования дампа
Настройка вручную
Чтобы включить шифрование дампа с помощью реестра, настройте следующие значения реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
| Имя значения | Type | Стоимость |
|---|---|---|
| DumpEncryptionEnabled | DWORD | 1, чтобы включить шифрование дампа, 0, чтобы отключить шифрование дампа |
| EncryptionCertificates\Certificate.1::P ublicKey | Binary | Открытый ключ (RSA, 2048 Бит), который следует использовать для шифрования дампов. Это должно быть отформатировано как BCRYPT_RSAKEY_BLOB. |
| EncryptionCertificates\Certificate.1::Thumbprint | Строка | Отпечаток сертификата, позволяющий автоматически искать закрытый ключ в локальном хранилище сертификатов при расшифровке аварийного дампа. |
Настройка с помощью скрипта
Чтобы упростить настройку, пример скрипта доступен для включения шифрования дампа на основе открытого ключа из сертификата.
- В доверенной среде: создайте сертификат с ключом RSA 2048 и экспортируйте открытый сертификат.
- На целевых узлах: импорт общедоступного сертификата в локальное хранилище сертификатов
- Запуск примера скрипта конфигурации
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
Расшифровка зашифрованных дампов
Чтобы расшифровать существующий зашифрованный файл дампа, необходимо скачать и установить средства отладки для Windows. Этот набор инструментов содержит KernelDumpDecrypt.exe, который можно использовать для расшифровки зашифрованного файла дампа. Если сертификат, включая закрытый ключ, присутствует в хранилище сертификатов текущего пользователя, файл дампа можно расшифровать путем вызова.
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
После расшифровки средства, такие как WinDbg, могут открыть расшифрованный файл дампа.
Устранение неполадок с шифрованием дампа
Если шифрование дампа включено в системе, но не создаются дампы, проверка журнал событий системы System для Kernel-IO события 1207. Если шифрование дампа не может быть инициализировано, это событие создается и отключаются дампы.
| Подробные сведение об ошибке | Действия по устранению рисков |
|---|---|
| Отсутствует открытый ключ или реестр отпечатков | Проверьте, существуют ли оба значения реестра в ожидаемом расположении |
| Недопустимый открытый ключ | Убедитесь, что открытый ключ, хранящийся в значении реестра PublicKey, хранится как BCRYPT_RSAKEY_BLOB. |
| Неподдерживаемый размер открытого ключа | В настоящее время поддерживаются только 2048-разрядные ключи RSA. Настройка ключа, соответствующего этому требованию |
Кроме того, проверка, если для значения GuardedHost HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled задано значение, отличное от 0. Это полностью отключает аварийные дампы. Если это так, задайте для него значение 0.