덤프 암호화 정보
덤프 암호화를 사용하여 시스템에 대해 생성된 크래시 덤프 및 라이브 덤프를 암호화할 수 있습니다. 덤프는 각 덤프에 대해 생성되는 대칭 암호화 키를 사용하여 암호화됩니다. 그런 다음 이 키 자체는 호스트의 신뢰할 수 있는 관리자가 지정한 공개 키(크래시 덤프 암호화 키 보호기)를 사용하여 암호화됩니다. 이렇게 하면 일치하는 프라이빗 키가 있는 사람만 암호를 해독하여 덤프의 콘텐츠에 액세스할 수 있습니다. 이 기능은 보호된 패브릭에서 활용됩니다. 참고: 덤프 암호화를 구성하는 경우 Windows 오류 보고 사용하지 않도록 설정합니다. WER은 암호화된 크래시 덤프를 읽을 수 없습니다.
덤프 암호화 구성
수동 구성
레지스트리를 사용하여 덤프 암호화를 켜려면 다음 레지스트리 값을 구성합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
| 값 이름 | 그런 다음 | 값 |
|---|---|---|
| DumpEncryptionEnabled | DWORD | 덤프 암호화를 사용하도록 설정하려면 1, 덤프 암호화를 사용하지 않도록 설정하려면 0 |
| EncryptionCertificates\Certificate.1::P ublicKey | 이진 | 덤프 암호화에 사용해야 하는 공개 키(RSA, 2048비트) 이 형식은 BCRYPT_RSAKEY_BLOB 형식이어야 합니다. |
| EncryptionCertificates\Certificate.1::Thumbprint | 문자열 | 크래시 덤프의 암호를 해독할 때 로컬 인증서 저장소에서 프라이빗 키를 자동으로 조회할 수 있도록 하는 인증서 지문입니다. |
스크립트를 사용한 구성
구성을 간소화하기 위해 샘플 스크립트를 사용하여 인증서의 공개 키를 기반으로 덤프 암호화를 사용하도록 설정할 수 있습니다.
- 신뢰할 수 있는 환경에서: 2048비트 RSA 키를 사용하여 인증서를 만들고 공용 인증서 내보내기
- 대상 호스트: 로컬 인증서 저장소로 공용 인증서 가져오기
- 샘플 구성 스크립트 실행
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
암호화된 덤프 암호 해독
기존 암호화된 덤프 파일의 암호를 해독하려면 Windows용 디버깅 도구를 다운로드하여 설치해야 합니다. 이 도구 집합에는 암호화된 덤프 파일의 암호를 해독하는 데 사용할 수 있는 KernelDumpDecrypt.exe가 포함되어 있습니다. 프라이빗 키를 포함한 인증서가 현재 사용자의 인증서 저장소에 있는 경우 호출을 통해 덤프 파일의 암호를 해독할 수 있습니다.
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
암호 해독 후 WinDbg와 같은 도구는 암호 해독된 덤프 파일을 열 수 있습니다.
덤프 암호화 문제 해결
덤프 암호화가 시스템에서 사용하도록 설정되어 있지만 덤프가 생성되지 않는 경우 이벤트 1207에 대한 시스템의 System 이벤트 로그를 Kernel-IO 검사. 덤프 암호화를 초기화할 수 없는 경우 이 이벤트가 만들어지고 덤프가 비활성화됩니다.
| 자세한 오류 메시지 | 완화 단계 |
|---|---|
| 공개 키 또는 지문 레지스트리가 없습니다. | 두 레지스트리 값이 모두 예상 위치에 있는지 확인합니다. |
| 잘못된 공개 키 | PublicKey 레지스트리 값에 저장된 공개 키가 BCRYPT_RSAKEY_BLOB 저장되어 있는지 확인합니다. |
| 지원되지 않는 공개 키 크기 | 현재 2048비트 RSA 키만 지원됩니다. 이 요구 사항과 일치하는 키 구성 |
또한 아래 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled 값 GuardedHost 이 0이 아닌 값으로 설정되어 있는지도 검사. 이렇게 하면 크래시 덤프가 완전히 비활성화됩니다. 이 경우 0으로 설정합니다.