ダンプの暗号化についてAbout dump encryption

ダンプ暗号化を使用して、システムに対して生成されたクラッシュダンプとライブダンプを暗号化できます。Dump encryption can be used to encrypt crash dumps and live dumps generated for a system. ダンプは、ダンプごとに生成される対称暗号化キーを使用して暗号化されます。The dumps are encrypted using a symmetric encryption key which is generated for each dump. このキー自体は、ホストの信頼された管理者 (クラッシュダンプ暗号化キープロテクター) によって指定された公開キーを使用して暗号化されます。This key itself is then encrypted using the public key specified by the trusted administrator of the host (crash dump encryption key protector). これにより、一致する秘密キーを持つユーザーだけが暗号化を解除して、ダンプの内容にアクセスできるようになります。This ensures that only someone having the matching private key can decrypt and therefore access contents of the dump. この機能は、保護されたファブリックで利用されています。This capability is leveraged in a guarded fabric. 注: ダンプの暗号化を構成する場合は、Windows エラー報告も無効にします。Note: If you configure dump encryption, also disable Windows Error Reporting. WER は、暗号化されたクラッシュダンプを読み取ることができません。WER cannot read encrypted crash dumps.

ダンプ暗号化の構成Configuring dump encryption

手動構成Manual configuration

レジストリを使用してダンプ暗号化を有効にするには、次のレジストリ値を次のように構成します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControlTo turn on dump encryption using the registry, configure the following registry values under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

値の名前Value Name TypeType Value
DumpEncryptionEnabledDumpEncryptionEnabled DWORDDWORD ダンプの暗号化を有効にする場合は1、ダンプの暗号化を無効にする場合は0。1 to enable dump encryption, 0 to disable dump encryption
Encryptionublickey::PEncryptionCertificates\Certificate.1::PublicKey BinaryBinary ダンプの暗号化に使用する公開キー (RSA、2048ビット)。Public key (RSA, 2048 Bit) that should be used for encrypting dumps. これは BCRYPT_RSAKEY_BLOBとして書式設定する必要があります。This has to be formatted as BCRYPT_RSAKEY_BLOB.
Encryption-1:: ThumbprintEncryptionCertificates\Certificate.1::Thumbprint StringString クラッシュダンプの暗号化を解除するときに、ローカルの証明書ストアで秘密キーを自動的に検索できるようにする証明書の拇印。Certificate thumbprint to allow automatic lookup of private key in the local certificate store when decrypting a crash dump.

スクリプトを使用した構成Configuration using script

構成を簡単にするために、 サンプルスクリプト を使用して、証明書の公開キーに基づくダンプ暗号化を有効にすることができます。To simplify configuration, a sample script is available to enable dump encryption based on a public key from a certificate.

  1. 信頼された環境では、2048ビット RSA キーを使用して証明書を作成し、公開証明書をエクスポートします。In a trusted environment: Create a certificate with a 2048 Bit RSA key and export the public certificate
  2. ターゲットホスト: ローカル証明書ストアにパブリック証明書をインポートします。On target hosts: Import the public certificate to the local certificate store
  3. サンプル構成スクリプトを実行するRun the sample configuration script
    .\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
    

暗号化されたダンプの復号化Decrypting encrypted dumps

既存の暗号化されたダンプファイルの暗号化を解除するには、Windows 用デバッグツールをダウンロードしてインストールする必要があります。To decrypt an existing encrypted dump file, you need to download and install the Debugging Tools for Windows. このツールセットには、暗号化されたダンプファイルの暗号化を解除するために使用できる KernelDumpDecrypt.exe が含まれています。This tool set contains KernelDumpDecrypt.exe which can be used to decrypt an encrypted dump file. 秘密キーを含む証明書が現在のユーザーの証明書ストアに存在する場合は、を呼び出すことによってダンプファイルの暗号化を解除できます。If the certificate including the private key is present in the current user's certificate store, the dump file can be decrypted by calling

    KernelDumpDecrypt.exe memory.dmp memory_decr.dmp

暗号化を解除すると、WinDbg などのツールが、復号化されたダンプファイルを開くことができます。After decryption, tools like WinDbg can open the decrypted dump file.

ダンプの暗号化のトラブルシューティングTroubleshooting dump encryption

システムでダンプ暗号化が有効になっていても、ダンプが生成されていない場合は、システムの System イベントログでイベント1207を確認してください Kernel-IOIf dump encryption is enabled on a system but no dumps are being generated, please check the system's System event log for Kernel-IO event 1207. ダンプ暗号化を初期化できない場合、このイベントが作成され、ダンプは無効になります。When dump encryption cannot be initialized, this event is created and dumps are disabled.

詳細なエラー メッセージDetailed error message 軽減の手順Steps to mitigate
公開キーまたは拇印レジストリが見つかりませんPublic Key or Thumbprint registry missing 両方のレジストリ値が想定される場所に存在するかどうかを確認します。Check if both registry values exist in the expected location
無効な公開キーInvalid Public Key PublicKey レジストリ値に格納されている公開キーが BCRYPT_RSAKEY_BLOBとして格納されていることを確認します。Make sure that the public key stored in the PublicKey registry value is stored as BCRYPT_RSAKEY_BLOB.
サポートされていない公開キーのサイズUnsupported Public Key Size 現時点では、2048ビットの RSA キーのみがサポートされています。Currently, only 2048 Bit RSA keys are supported. この要件に一致するキーを構成するConfigure a key that matches this requirement

また、の下の GuardedHostHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled が0以外の値に設定されているかどうかも確認します。Also check if the value GuardedHost under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled is set to a value other than 0. これにより、クラッシュダンプが完全に無効になります。This disables crash dumps completely. この場合は、0に設定します。If this is the case, set it to 0.