Tentang enkripsi cadangan
Enkripsi cadangan dapat digunakan untuk mengenkripsi crash dump dan cadangan langsung yang dihasilkan untuk sistem. Cadangan dienkripsi menggunakan kunci enkripsi simetris yang dihasilkan untuk setiap cadangan. Kunci ini sendiri kemudian dienkripsi menggunakan kunci publik yang ditentukan oleh administrator tepercaya host (pelindung kunci enkripsi crash dump). Ini memastikan bahwa hanya seseorang yang memiliki kunci privat yang cocok yang dapat mendekripsi dan oleh karena itu mengakses konten cadangan. Kemampuan ini dimanfaatkan dalam kain yang dijaga. Catatan: Jika Anda mengonfigurasi enkripsi cadangan, nonaktifkan juga Pelaporan Galat Windows. WER tidak dapat membaca crash dump terenkripsi.
Mengonfigurasi enkripsi cadangan
Konfigurasi manual
Untuk mengaktifkan enkripsi cadangan menggunakan registri, konfigurasikan nilai registri berikut di bawah HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
| Nama Nilai | Jenis | Nilai |
|---|---|---|
| DumpEncryptionEnabled | DWORD | 1 untuk mengaktifkan enkripsi cadangan, 0 untuk menonaktifkan enkripsi cadangan |
| EncryptionCertificates\Certificate.1::P ublicKey | Biner | Kunci umum (RSA, 2048 Bit) yang harus digunakan untuk mengenkripsi cadangan. Ini harus diformat sebagai BCRYPT_RSAKEY_BLOB. |
| EncryptionCertificates\Certificate.1::Thumbprint | String | Thumbprint sertifikat untuk memungkinkan pencarian otomatis kunci privat di penyimpanan sertifikat lokal saat mendekripsi crash dump. |
Konfigurasi menggunakan skrip
Untuk menyederhanakan konfigurasi, sampel skrip tersedia untuk mengaktifkan enkripsi cadangan berdasarkan kunci publik dari sertifikat.
- Di lingkungan tepercaya: Buat sertifikat dengan kunci RSA 2048 Bit dan ekspor sertifikat publik
- Pada host target: Impor sertifikat publik ke penyimpanan sertifikat lokal
- Jalankan contoh skrip konfigurasi
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
Mendekripsi cadangan terenkripsi
Untuk mendekripsi file cadangan terenkripsi yang ada, Anda perlu mengunduh dan menginstal Alat Penelusuran Kesalahan untuk Windows. Set alat ini berisi KernelDumpDecrypt.exe yang dapat digunakan untuk mendekripsi file cadangan terenkripsi. Jika sertifikat termasuk kunci privat ada di penyimpanan sertifikat pengguna saat ini, file cadangan dapat didekripsi dengan memanggil
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
Setelah dekripsi, alat seperti WinDbg dapat membuka file cadangan yang didekripsi.
Pemecahan masalah enkripsi cadangan
Jika enkripsi cadangan diaktifkan pada sistem tetapi tidak ada cadangan yang dihasilkan, silakan periksa log peristiwa sistem System untuk Kernel-IO peristiwa 1207. Ketika enkripsi cadangan tidak dapat diinisialisasi, kejadian ini dibuat dan cadangan dinonaktifkan.
| Pesan kesalahan terperinci | Langkah-langkah untuk mengurangi |
|---|---|
| Registri Kunci Umum atau Thumbprint hilang | Periksa apakah kedua nilai registri ada di lokasi yang diharapkan |
| Kunci Umum Tidak Valid | Pastikan bahwa kunci publik yang disimpan dalam nilai registri PublicKey disimpan sebagai BCRYPT_RSAKEY_BLOB. |
| Ukuran Kunci Publik yang Tidak Didukung | Saat ini, hanya kunci RSA 2048 Bit yang didukung. Mengonfigurasi kunci yang cocok dengan persyaratan ini |
Periksa juga apakah nilai GuardedHost di bawah HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled diatur ke nilai selain 0. Ini menonaktifkan crash dump sepenuhnya. Jika demikian, atur ke 0.