Informationen zur Speicherabbildverschlüsselung
Die Speicherabbildverschlüsselung kann verwendet werden, um Absturzspeicherabbilder und Livespeicherabbilder zu verschlüsseln, die für ein System generiert werden. Die Speicherabbilder werden mit einem symmetrischen Verschlüsselungsschlüssel verschlüsselt, der für jedes Speicherabbild generiert wird. Dieser Schlüssel selbst wird dann mit dem öffentlichen Schlüssel verschlüsselt, der von vertrauenswürdigen Administrator*innen des Hosts angegeben wird (Schutz für Absturzspeicherabbild-Verschlüsselungsschlüssel). Dadurch wird sichergestellt, dass nur jemand, der über den entsprechenden privaten Schlüssel verfügt, entschlüsseln und daher auf den Inhalt des Speicherabbilds zugreifen kann. Diese Funktion wird in einem geschützten Fabric genutzt. Hinweis: Wenn Sie die Speicherabbildverschlüsselung konfigurieren, deaktivieren Sie auch die Windows-Fehlerberichterstattung. WER kann keine verschlüsselten Absturzspeicherabbilder lesen.
Konfigurieren der Speicherabbildverschlüsselung
Manuelle Konfiguration
Um die Speicherabbildverschlüsselung mithilfe der Registrierung zu aktivieren, konfigurieren Sie die folgenden Registrierungswerte unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl.
| Wertname | Typ | Wert |
|---|---|---|
| DumpEncryptionEnabled | DWORD | 1 zum Aktivieren der Speicherabbildverschlüsselung, 0 zum Deaktivieren der Speicherabbildverschlüsselung |
| EncryptionCertificates\Certificate.1::PublicKey | Binary | Öffentlicher Schlüssel (RSA, 2048 Bit), der zum Verschlüsseln von Speicherabbildern verwendet werden soll. Dies muss als BCRYPT_RSAKEY_BLOB formatiert werden. |
| EncryptionCertificates\Certificate.1::Thumbprint | String | Zertifikatfingerabdruck, um beim Entschlüsseln eines Absturzspeicherabbilds das automatische Suchen des privaten Schlüssels im lokalen Zertifikatspeicher zu ermöglichen. |
Konfiguration mithilfe eines Skripts
Um die Konfiguration zu vereinfachen, ist ein Beispielskript verfügbar, um die Speicherabbildverschlüsselung basierend auf einem öffentlichen Schlüssel aus einem Zertifikat zu aktivieren.
- In einer vertrauenswürdigen Umgebung: Erstellen eines Zertifikats mit einem 2048-Bit-RSA-Schlüssel und Exportieren des öffentlichen Zertifikats
- Auf Zielhosts: Importieren des öffentlichen Zertifikats in den lokalen Zertifikatspeicher
- Ausführen des Beispielkonfigurationsskripts
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
Entschlüsseln verschlüsselter Speicherabbilder
Zum Entschlüsseln einer vorhandenen verschlüsselten Speicherabbilddatei müssen Sie die Debugtools für Windows herunterladen und installieren. Dieser Toolsatz enthält „KernelDumpDecrypt.exe“, womit eine verschlüsselte Speicherabbilddatei entschlüsselt werden kann. Wenn das Zertifikat einschließlich des privaten Schlüssels im Zertifikatspeicher der aktuellen Benutzer*innen vorhanden ist, kann die Speicherabbilddatei durch Aufrufen entschlüsselt werden.
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
Nach der Entschlüsselung können Tools wie WinDbg die entschlüsselte Speicherabbilddatei öffnen.
Problembehandlung bei der Speicherabbildverschlüsselung
Wenn die Speicherabbildverschlüsselung auf einem System aktiviert ist, aber keine Speicherabbilder generiert werden, überprüfen Sie das System-Ereignisprotokoll des Systems auf Kernel-IO-Ereignis 1207. Wenn die Speicherabbildverschlüsselung nicht initialisiert werden kann, wird dieses Ereignis erstellt, und die Speicherabbilder sind deaktiviert.
| Detaillierte Fehlermeldung | Abhilfe |
|---|---|
| Registrierung des öffentlichen Schlüssels oder Fingerabdrucks fehlt | Überprüfen Sie, ob beide Registrierungswerte am erwarteten Speicherort vorhanden sind. |
| Ungültiger öffentlicher Schlüssel | Stellen Sie sicher, dass der öffentliche Schlüssel, der im Registrierungswert PublicKey gespeichert ist, als BCRYPT_RSAKEY_BLOB gespeichert ist. |
| Nicht unterstützte Größe des öffentlichen Schlüssels | Derzeit werden nur 2048-Bit-RSA-Schlüssel unterstützt. Konfigurieren Sie einen Schlüssel, der dieser Anforderung entspricht. |
Überprüfen Sie auch, ob der Wert GuardedHost unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled auf einen anderen Wert als 0 festgelegt ist. Dadurch werden Absturzspeicherabbilder vollständig deaktiviert. Wenn dies der Fall ist, legen Sie ihn auf 0 fest.