Acerca del cifrado de volcado

El cifrado de volcado de memoria se puede usar para cifrar volcados de memoria y volcados de memoria generados para un sistema. Los volcados de memoria se cifran mediante una clave de cifrado simétrica que se genera para cada volcado. A continuación, esta propia clave se cifra mediante la clave pública especificada por el administrador de confianza del host (protector de clave de cifrado de volcado de memoria). Esto garantiza que solo alguien que tenga la clave privada correspondiente pueda descifrar y, por tanto, acceder al contenido del volcado. Esta funcionalidad se aprovecha en un tejido de protección. Nota: Si configura el cifrado de volcado, deshabilite también Informe de errores de Windows. WER no puede leer volcados de memoria cifrados.

Configuración del cifrado de volcado de memoria

Configuración manual

Para activar el cifrado de volcado de memoria mediante el Registro, configure los siguientes valores del Registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Nombre del valor Tipo Value
DumpEncryptionEnabled DWORD 1 para habilitar el cifrado de volcado, 0 para deshabilitar el cifrado de volcado
EncryptionCertificates\Certificate.1::P ublicKey Binary Clave pública (RSA, 2048 bits) que se debe usar para cifrar volcados de memoria. Debe tener el formato BCRYPT_RSAKEY_BLOB.
EncryptionCertificates\Certificate.1::Thumbprint String Huella digital del certificado para permitir la búsqueda automática de clave privada en el almacén de certificados local al descifrar un volcado de memoria.

Configuración mediante script

Para simplificar la configuración, hay disponible un script de ejemplo para habilitar el cifrado de volcado de memoria basado en una clave pública de un certificado.

  1. En un entorno de confianza: cree un certificado con una clave RSA de 2048 bits y exporte el certificado público.
  2. En hosts de destino: importar el certificado público en el almacén de certificados local
  3. Ejecución del script de configuración de ejemplo
    .\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
    

Descifrado de volcados cifrados

Para descifrar un archivo de volcado cifrado existente, debe descargar e instalar las Herramientas de depuración para Windows. Este conjunto de herramientas contiene KernelDumpDecrypt.exe que se puede usar para descifrar un archivo de volcado cifrado. Si el certificado que incluye la clave privada está presente en el almacén de certificados del usuario actual, el archivo de volcado de memoria se puede descifrar mediante una llamada a

    KernelDumpDecrypt.exe memory.dmp memory_decr.dmp

Después del descifrado, herramientas como WinDbg pueden abrir el archivo de volcado descifrado.

Solución de problemas de cifrado de volcado

Si el cifrado de volcado de memoria está habilitado en un sistema pero no se generan volcados, compruebe el registro de eventos del sistema para SystemKernel-IO el evento 1207. Cuando no se puede inicializar el cifrado de volcado, se crea este evento y se deshabilitan los volcados de memoria.

Mensajes de error detallados Pasos para mitigar
Falta la clave pública o el registro de huella digital Compruebe si ambos valores del Registro existen en la ubicación esperada.
Clave pública no válida Asegúrese de que la clave pública almacenada en el valor del Registro PublicKey se almacena como BCRYPT_RSAKEY_BLOB.
Tamaño de clave pública no admitido Actualmente, solo se admiten claves RSA de 2048 bits. Configuración de una clave que coincida con este requisito

Compruebe también si el valor GuardedHost de está establecido en un valor distinto de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled 0. Esto deshabilita completamente los volcados de memoria. Si este es el caso, esta establezca en 0.