Informazioni sulla crittografia del dump
La crittografia del dump può essere usata per crittografare i dump di arresto anomalo del sistema e i dump in tempo reale generati per un sistema. I dump vengono crittografati usando una chiave di crittografia simmetrica generata per ogni dump. Questa chiave viene quindi crittografata usando la chiave pubblica specificata dall'amministratore attendibile dell'host (protezione della chiave di crittografia del dump di arresto anomalo del sistema). Ciò garantisce che solo un utente con la chiave privata corrispondente possa decrittografare e quindi accedere al contenuto del dump. Questa funzionalità viene usata in un'infrastruttura sorvegliata. Nota: se si configura la crittografia del dump, disabilitare anche Segnalazione errori Windows. WeR non è in grado di leggere i dump di arresto anomalo crittografati.
Configurazione della crittografia del dump
Configurazione manuale
Per attivare la crittografia del dump usando il Registro di sistema, configurare i valori del Registro di sistema seguenti in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
Nome valore | Tipo | Valore |
---|---|---|
DumpEncryptionEnabled | DWORD | 1 per abilitare la crittografia dump, 0 per disabilitare la crittografia del dump |
EncryptionCertificates\Certificate.1::P ublicKey | Binario | Chiave pubblica (RSA, 2048 bit) che deve essere usata per crittografare i dump. Deve essere formattato come BCRYPT_RSAKEY_BLOB. |
EncryptionCertificates\Certificate.1::Thumbprint | Stringa | Identificazione personale del certificato per consentire la ricerca automatica della chiave privata nell'archivio certificati locale durante la decrittografia di un dump di arresto anomalo del sistema. |
Configurazione tramite script
Per semplificare la configurazione, è disponibile uno script di esempio per abilitare la crittografia dump basata su una chiave pubblica da un certificato.
- In un ambiente attendibile: creare un certificato con una chiave RSA a 2048 bit ed esportare il certificato pubblico
- Negli host di destinazione: importare il certificato pubblico nell'archivio certificati locale
- Eseguire lo script di configurazione di esempio
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
Decrittografia di dump crittografati
Per decrittografare un file di dump crittografato esistente, è necessario scaricare e installare gli strumenti di debug per Windows. Questo set di strumenti contiene KernelDumpDecrypt.exe che può essere usato per decrittografare un file di dump crittografato. Se il certificato che include la chiave privata è presente nell'archivio certificati dell'utente corrente, il file dump può essere decrittografato chiamando
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
Dopo la decrittografia, gli strumenti come WinDbg possono aprire il file di dump decrittografato.
Risoluzione dei problemi relativi alla crittografia dei dump
Se la crittografia del dump è abilitata in un sistema ma non vengono generati dump, controllare il registro eventi del sistema per l'evento 1207.If dump encryption is enabled on a system but no dumps are generated, please check the system's System
event log for Kernel-IO
event 1207. Quando non è possibile inizializzare la crittografia del dump, questo evento viene creato e i dump sono disabilitati.
Messaggi di errore dettagliati | Passaggi per attenuare |
---|---|
Chiave pubblica o registro identificazione personale mancante | Controllare se entrambi i valori del Registro di sistema sono presenti nel percorso previsto |
Chiave pubblica non valida | Assicurarsi che la chiave pubblica archiviata nel valore del Registro di sistema PublicKey sia archiviata come BCRYPT_RSAKEY_BLOB. |
Dimensioni chiave pubblica non supportate | Attualmente sono supportate solo chiavi RSA a 2048 bit. Configurare una chiave che soddisfi questo requisito |
Controllare anche se il valore GuardedHost
in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled
è impostato su un valore diverso da 0. In questo modo vengono disabilitati completamente i dump di arresto anomalo. In questo caso, impostarlo su 0.