À propos du chiffrement des images mémoire
Le chiffrement des images mémoire peut être utilisé pour chiffrer les images mémoire après incident et les images mémoire dynamiques générées pour un système. Les images mémoire sont chiffrées en utilisant une clé de chiffrement symétrique qui est générée pour chaque image mémoire. Cette clé elle-même est ensuite chiffrée en utilisant la clé publique spécifiée par l’administrateur approuvé de l’hôte (protecteur de clé de chiffrement d’image mémoire après incident). Ceci garantit que seule une personne disposant de la clé privée correspondante peut déchiffrer et donc accéder au contenu de l’image mémoire. Cette fonctionnalité est exploitée dans une structure Service Guardian. Remarque : Si vous configurez le chiffrement des images mémoire, désactivez également Rapport d’erreurs Windows. Rapport d’erreurs Windows ne peut pas lire les images mémoire après incident chiffrées.
Configuration du chiffrement des images mémoire
Configuration manuelle
Pour activer le chiffrement des images mémoire en utilisant le Registre, configurez les valeurs de Registre suivantes sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
| Nom de la valeur | Type | Valeur |
|---|---|---|
| DumpEncryptionEnabled | DWORD | 1 pour activer le chiffrement des images mémoire, 0 pour désactiver le chiffrement des images mémoire |
| EncryptionCertificates\Certificate.1::PublicKey | Binary | Clé publique (RSA, 2 048 bits) qui doit être utilisée pour le chiffrement des images mémoire. Ceci doit être mis en forme comme ceci : BCRYPT_RSAKEY_BLOB. |
| EncryptionCertificates\Certificate.1::Thumbprint | String | Empreinte numérique de certificat pour autoriser la recherche automatique de clé privée dans le magasin de certificats local lors du déchiffrement d’une image mémoire après incident. |
Configuration en utilisant un script
Pour simplifier la configuration, un exemple de script est disponible pour activer le chiffrement des images mémoire basé sur une clé publique provenant d’un certificat.
- Dans un environnement approuvé : créez un certificat avec une clé RSA de 2 048 bits et exportez le certificat public
- Sur les hôtes cibles : importez le certificat public dans le magasin de certificats local
- Exécuter l’exemple de script de configuration
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
Déchiffrement des images mémoire chiffrées
Pour déchiffrer un fichier d’image mémoire chiffrée existant, vous devez télécharger et installer les outils de débogage pour Windows. Cet ensemble d’outils contient KernelDumpDecrypt.exe, qui peut être utilisé pour déchiffrer un fichier d’image mémoire chiffrée. Si le certificat incluant la clé privée est présent dans le magasin de certificats de l’utilisateur actuel, le fichier d’image mémoire peut être déchiffré en appelant
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
Après le déchiffrement, des outils comme WinDbg peuvent ouvrir le fichier d’image mémoire déchiffrée.
Résolution des problèmes de chiffrement des images mémoire
Si le chiffrement des images mémoire est activé sur un système mais qu’aucune image mémoire n’est générée, recherchez l’événement 1207 Kernel-IO dans le journal des événements System du système. Quand le chiffrement des images mémoire ne peut pas être initialisé, cet événement est créé et les images mémoire sont désactivées.
| Messages d’erreur détaillés | Étapes pour résoudre ce problème |
|---|---|
| Clé publique ou registre d’empreintes numériques manquantes | Vérifiez si les deux valeurs de Registre existent à l’emplacement attendu |
| Clé publique non valide | Vérifiez que la clé publique stockée dans la valeur de Registre PublicKey est stockée en tant que BCRYPT_RSAKEY_BLOB. |
| Taille de clé publique non prise en charge | Actuellement, seules les clés RSA 2 048 bits sont prises en charge. Configurez une clé qui correspond à cette spécification |
Vérifiez également si la valeur GuardedHost sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled est définie sur une valeur autre que 0. Ceci désactive complètement les images mémoire après incident. Si c’est le cas, définissez-la sur 0.