Informazioni sulla crittografia dei dump

La crittografia dei dump può essere usata per crittografare i dump di arresto anomalo del sistema e i dump live generati per un sistema. I dump vengono crittografati usando una chiave di crittografia simmetrica generata per ogni dump. Questa chiave viene quindi crittografata usando la chiave pubblica specificata dall'amministratore attendibile dell'host (protezione della chiave di crittografia del dump di arresto anomalo del sistema). In questo modo si garantisce che solo un utente con la chiave privata corrispondente possa decrittografare e quindi accedere al contenuto del dump. Questa funzionalità viene sfruttata in un'infrastruttura sorvegliata. Nota: se si configura la crittografia dei dump, disabilitare anche Segnalazione errori Windows. WeR non è in grado di leggere i dump di arresto anomalo crittografati.

Configurazione della crittografia dei dump

Configurazione manuale

Per attivare la crittografia dei dump usando il Registro di sistema, configurare i valori del Registro di sistema seguenti in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Nome del valore Type valore
DumpEncryptionEnabled DWORD 1 per abilitare la crittografia dei dump, 0 per disabilitare la crittografia dei dump
EncryptionCertificates\Certificate.1::P ublicKey Binary Chiave pubblica (RSA, 2048 Bit) che deve essere usata per crittografare i dump. Deve essere formattato come BCRYPT_RSAKEY_BLOB.
EncryptionCertificates\Certificate.1::Identificazione personale string Identificazione personale del certificato per consentire la ricerca automatica della chiave privata nell'archivio certificati locale durante la decrittografia di un dump di arresto anomalo del sistema.

Configurazione tramite script

Per semplificare la configurazione, è disponibile uno script di esempio per abilitare la crittografia dei dump basata su una chiave pubblica di un certificato.

  1. In un ambiente attendibile: creare un certificato con una chiave RSA a 2048 bit ed esportare il certificato pubblico
  2. Sugli host di destinazione: importare il certificato pubblico nell'archivio certificati locale
  3. Eseguire lo script di configurazione di esempio
    .\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
    

Decrittografia di dump crittografati

Per decrittografare un file di dump crittografato esistente, è necessario scaricare e installare gli strumenti di debug per Windows. Questo set di strumenti contiene KernelDumpDecrypt.exe che può essere usato per decrittografare un file di dump crittografato. Se il certificato che include la chiave privata è presente nell'archivio certificati dell'utente corrente, il file di dump può essere decrittografato chiamando

    KernelDumpDecrypt.exe memory.dmp memory_decr.dmp

Dopo la decrittografia, strumenti come WinDbg possono aprire il file di dump decrittografato.

Risoluzione dei problemi relativi alla crittografia dei dump

Se la crittografia dei dump è abilitata in un sistema ma non vengono generati dump, controllare il registro eventi del sistema per l'evento SystemKernel-IO 1207. Quando non è possibile inizializzare la crittografia dei dump, questo evento viene creato e i dump vengono disabilitati.

Messaggi di errore dettagliati Passaggi per attenuare
Chiave pubblica o registro di identificazione personale mancante Controllare se entrambi i valori del Registro di sistema sono presenti nel percorso previsto
Chiave pubblica non valida Assicurarsi che la chiave pubblica archiviata nel valore del Registro di sistema PublicKey sia archiviata come BCRYPT_RSAKEY_BLOB.
Dimensioni della chiave pubblica non supportate Attualmente sono supportate solo chiavi RSA a 2048 bit. Configurare una chiave che corrisponda a questo requisito

Controllare anche se il valore GuardedHost in è impostato su un valore diverso da HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled 0. In questo modo vengono disabilitati completamente i dump di arresto anomalo del sistema. In questo caso, impostarlo su 0.