О шифровании дампа

Шифрование дампа можно использовать для шифрования аварийных дампов и динамических дампов, созданных для системы. Дампы шифруются с помощью симметричного ключа шифрования, который создается для каждого дампа. Затем сам ключ шифруется с помощью открытого ключа, заданного доверенным администратором узла (предохранитель ключа шифрования аварийного дампа). Это гарантирует, что только кто-то, у которого есть соответствующий закрытый ключ, сможет расшифровывать и, следовательно, получать доступ к содержимому дампа. Эта возможность используется в защищенной структуре. примечание. при настройке шифрования дампа также отключите отчеты об ошибках Windows. WER не может читать зашифрованные аварийные дампы.

Настройка шифрования дампа

Настройка вручную

Чтобы включить шифрование дампа с помощью реестра, настройте следующие параметры реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Имя значения Тип Применение
думпенкриптионенаблед DWORD 1 для включения шифрования дампа, 0 для отключения шифрования дампа
EncryptionCertificates\Certificate.1::P Убликкэй Двоичные данные Открытый ключ (RSA, 2048 бит/с), который следует использовать для шифрования дампов. Его необходимо отформатировать как BCRYPT_RSAKEY_BLOB.
EncryptionCertificates\Certificate.1:: Thumbprint Строка Отпечаток сертификата, чтобы разрешить автоматический поиск закрытого ключа в локальном хранилище сертификатов при расшифровке аварийного дампа.

Настройка с помощью скрипта

Чтобы упростить настройку, доступен Пример скрипта , позволяющий включить шифрование дампа на основе открытого ключа из сертификата.

  1. В доверенной среде: Создайте сертификат с 2048-битным ключом RSA и экспортируйте открытый сертификат.
  2. На целевых узлах: импортируйте открытый сертификат в локальное хранилище сертификатов.
  3. Запуск примера скрипта конфигурации
    .\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
    

Расшифровка зашифрованных дампов

Чтобы расшифровать существующий зашифрованный файл дампа, необходимо скачать и установить средства отладки для Windows. Этот набор средств содержит KernelDumpDecrypt.exe, которые можно использовать для расшифровки зашифрованного файла дампа. Если сертификат, включающий закрытый ключ, имеется в хранилище сертификатов текущего пользователя, файл дампа можно расшифровать путем вызова метода

    KernelDumpDecrypt.exe memory.dmp memory_decr.dmp

После расшифровки такие средства, как WinDbg, могут открыть расшифрованный файл дампа.

Устранение неполадок шифрования дампа

Если шифрование дампа включено в системе, но дампы не создаются, проверьте System журнал событий системы на наличие Kernel-IO события 1207. Если не удается инициализировать шифрование дампа, это событие создается, а дампы отключаются.

Подробные сведение об ошибке Действия по устранению проблемы
Отсутствует реестр открытого ключа или отпечатков Проверьте, существуют ли в ожидаемом расположении оба значения реестра.
Недопустимый открытый ключ Убедитесь, что открытый ключ, хранящийся в значении реестра PublicKey, хранится как BCRYPT_RSAKEY_BLOB.
Неподдерживаемый размер открытого ключа В настоящее время поддерживаются только 2048 разрядных ключа RSA. Настройка ключа, соответствующего этому требованию

Также проверьте, установлено ли значение, GuardedHostHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled отличное от 0. Это приведет к полному отключению аварийных дампов. Если это так, задайте для него значение 0.