ダンプ暗号化を使用して、システムに対して生成されたクラッシュ ダンプとライブ ダンプを暗号化できます。 ダンプは、ダンプごとに生成される対称暗号化キーを使用して暗号化されます。 このキー自体は、ホストの信頼された管理者によって指定された公開キー (クラッシュ ダンプ暗号化キー保護機能) を使用して暗号化されます。 これにより、一致する秘密キーを持つユーザーのみが暗号化を解除し、ダンプの内容にアクセスできるようになります。 この機能は、保護されたファブリックで利用されます。 注: ダンプ暗号化を構成する場合は、Windows エラー報告も無効にします。 WER は、暗号化されたクラッシュ ダンプを読み取ることができません。
ダンプ暗号化の構成
手動で構成
レジストリを使用してダンプ暗号化を有効にするには、次のレジストリ値を構成します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
| バリュー名 | タイプ | 価値 |
|---|---|---|
| ダンプ暗号化有効 | DWORD(ダブルワード、32ビット無符号整数) | ダンプ暗号化を有効にするには 1、無効にするには 0 |
| EncryptionCertificates\Certificate.1::P ublicKey | バイナリ | ダンプの暗号化に使用する公開キー (RSA、2048 ビット)。 これは、 BCRYPT_RSAKEY_BLOBとして書式設定する必要があります。 |
| EncryptionCertificates\Certificate.1::拇印 | 糸 | クラッシュ ダンプの暗号化を解除するときに、ローカル証明書ストア内の秘密キーを自動的に参照できるようにする証明書の拇印。 |
スクリプトを使用した構成
構成を簡略化するために、証明書の公開キーに基づいてダンプ暗号化を有効にする サンプル スクリプト を使用できます。
- 信頼できる環境で: 2048 ビット RSA キーを使用して証明書を作成し、公開証明書をエクスポートする
- ターゲット ホストの場合: パブリック証明書をローカル証明書ストアにインポートする
- サンプル構成スクリプトを実行する
.\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
暗号化されたダンプの復号化
暗号化された既存のダンプ ファイルを復号化するには、デバッグ ツール for Windows をダウンロードしてインストールする必要があります。 このツール セットには、暗号化されたダンプ ファイルの暗号化解除に使用できる KernelDumpDecrypt.exe が含まれています。 秘密キーを含む証明書が現在のユーザーの証明書ストアに存在する場合は、呼び出してダンプ ファイルを復号化できます。
KernelDumpDecrypt.exe memory.dmp memory_decr.dmp
復号化後、WinDbg などのツールは、復号化されたダンプ ファイルを開くことができます。
ダンプ暗号化のトラブルシューティング
システムでダンプ暗号化が有効になっていてもダンプが生成されていない場合は、システムの System イベント ログでイベント 1207 Kernel-IO 確認してください。 ダンプ暗号化を初期化できない場合、このイベントは作成され、ダンプは無効になります。
| 詳細なエラー メッセージ | 軽減する手順 |
|---|---|
| 公開キーまたは拇印レジストリがありません | 両方のレジストリ値が想定される場所に存在するかどうかを確認する |
| 無効な公開キー | PublicKey レジストリ値に格納されている公開キーが BCRYPT_RSAKEY_BLOBとして格納されていることを確認します。 |
| サポートされていない公開キーのサイズ | 現時点では、2048 ビット RSA キーのみがサポートされています。 この要件に一致するキーを構成する |
また、GuardedHostの下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabled値が 0 以外の値に設定されているかどうかを確認します。 これにより、クラッシュ ダンプが完全に無効になります。 この場合は、0 に設定します。