Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Speicherabbildverschlüsselung kann verwendet werden, um Absturzspeicherabbilder und Livespeicherabbilder zu verschlüsseln, die für ein System generiert werden. Die Dumps werden mit einem symmetrischen Verschlüsselungsschlüssel verschlüsselt, der für jedes Dump generiert wird. Dieser Schlüssel selbst wird dann mit dem öffentlichen Schlüssel verschlüsselt, der vom vertrauenswürdigen Admin des Hosts angegeben wird (Schutz für Absturzabbild-Verschlüsselungsschlüssel). Dadurch wird sichergestellt, dass nur jemand, der den entsprechenden privaten Schlüssel hat, den Inhalt des Dumps entschlüsseln und darauf zugreifen kann. Diese Funktion wird in einem abgesicherten Gewebe genutzt. Hinweis: Wenn Sie die Dumpverschlüsselung konfigurieren, deaktivieren Sie auch die Windows-Fehlerberichterstattung. WER kann keine verschlüsselten Absturzabbilder lesen.
Konfigurieren der Dumpverschlüsselung
Manuelle Konfiguration
Um die Dumpverschlüsselung mithilfe der Registrierung zu aktivieren, konfigurieren Sie die folgenden Registrierungswerte unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
| Wertname | Typ | value |
|---|---|---|
| DumpEncryptionEnabled | DWORD | 1 zum Aktivieren der Dumpverschlüsselung, 0 zum Deaktivieren der Dumpverschlüsselung |
| EncryptionCertificates\Certificate.1::PublicKey | Binär | Öffentlicher Schlüssel (RSA, 2048 Bit), der zum Verschlüsseln von Speicherabbildern verwendet werden soll. Dies muss als BCRYPT_RSAKEY_BLOB formatiert werden. |
| EncryptionCertificates\Certificate.1::Thumbprint | Schnur | Zertifikatfingerabdruck, um beim Entschlüsseln eines Absturzspeicherabbilds das automatische Suchen des privaten Schlüssels im lokalen Zertifikatspeicher zu ermöglichen. |
Konfiguration mit Skript
Zur Vereinfachung der Konfiguration steht ein Beispielskript zur Verfügung, um die Speicherabbildverschlüsselung basierend auf einem öffentlichen Schlüssel aus einem Zertifikat zu aktivieren.
- In einer vertrauenswürdigen Umgebung: Erstellen eines Zertifikats mit einem 2048-Bit-RSA-Schlüssel und Exportieren des öffentlichen Zertifikats
- Auf Zielhosts: Importieren des öffentlichen Zertifikats in den lokalen Zertifikatspeicher
- Ausführen des Beispielkonfigurationsskripts
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
Entschlüsseln verschlüsselter Speicherabbilder
Um eine vorhandene verschlüsselte Speicherabbilddatei zu entschlüsseln, müssen Sie die Debugtools für Windows herunterladen und installieren. Dieser Werkzeugsatz enthält KernelDumpDecrypt.exe, das zum Entschlüsseln einer verschlüsselten Dumpdatei verwendet werden kann. Wenn das Zertifikat einschließlich des privaten Schlüssels im Zertifikatspeicher des aktuellen Benutzers vorhanden ist, kann die Speicherabbilddatei durch Aufrufen entschlüsselt werden.
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
Nach der Entschlüsselung können Tools wie WinDbg die entschlüsselte Dumpdatei öffnen.
Problembehandlung bei der Dumpverschlüsselung
Wenn die Dumpverschlüsselung auf einem System aktiviert ist, aber keine Dumps generiert werden, überprüfen Sie das Ereignisprotokoll des System Systems auf Kernel-IO Ereignis 1207. Wenn die Dumpverschlüsselung nicht initialisiert werden kann, wird dieses Ereignis erstellt und Dumps deaktiviert.
| Detaillierte Fehlermeldung | Schritte zur Minderung |
|---|---|
| Registrierung des öffentlichen Schlüssels oder Fingerabdrucks fehlt | Überprüfen, ob beide Registrierungswerte am erwarteten Speicherort vorhanden sind |
| Ungültiger öffentlicher Schlüssel | Stellen Sie sicher, dass der im Registrierungswert "PublicKey" gespeicherte öffentliche Schlüssel als BCRYPT_RSAKEY_BLOB gespeichert ist. |
| Nicht unterstützte Größe des öffentlichen Schlüssels | Derzeit werden nur 2048-Bit-RSA-Schlüssel unterstützt. Konfigurieren eines Schlüssels, der dieser Anforderung entspricht |
Überprüfen Sie außerdem, ob der untere GuardedHost Wert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled auf einen anderen Wert als 0 festgelegt ist. Dadurch werden Absturzspeicherabbilder vollständig deaktiviert. Wenn dies der Fall ist, legen Sie ihn auf 0 fest.