덤프 암호화 정보

덤프 암호화를 사용하여 시스템에 대해 생성된 크래시 덤프 및 라이브 덤프를 암호화할 수 있습니다. 덤프는 각 덤프에 대해 생성되는 대칭 암호화 키를 사용하여 암호화됩니다. 그런 다음 이 키 자체는 호스트의 신뢰할 수 있는 관리자가 지정한 공개 키(크래시 덤프 암호화 키 보호기)를 사용하여 암호화됩니다. 이렇게 하면 일치하는 프라이빗 키가 있는 사용자만 암호를 해독하여 덤프의 콘텐츠에 액세스할 수 있습니다. 이 기능은 보호된 패브릭에서 활용됩니다. 참고: 덤프 암호화를 구성하는 경우 Windows 오류 보고 사용하지 않도록 설정합니다. WER은 암호화된 크래시 덤프를 읽을 수 없습니다.

덤프 암호화 구성

수동 구성

레지스트리를 사용하여 덤프 암호화를 설정하려면 다음 레지스트리 값을 구성합니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

값 이름 형식
DumpEncryptionEnabled DWORD 덤프 암호화를 사용하도록 설정하려면 1, 덤프 암호화를 사용하지 않도록 설정하려면 0
EncryptionCertificates\Certificate.1::P ublicKey 이진 덤프 암호화에 사용해야 하는 공개 키(RSA, 2048비트)입니다. BCRYPT_RSAKEY_BLOB 형식으로 지정해야 합니다.
EncryptionCertificates\Certificate.1::Thumbprint String 크래시 덤프의 암호를 해독할 때 로컬 인증서 저장소에서 프라이빗 키를 자동으로 조회할 수 있도록 하는 인증서 지문입니다.

스크립트를 사용하여 구성

구성을 간소화하기 위해 인증서의 공개 키를 기반으로 덤프 암호화를 사용하도록 설정하는 샘플 스크립트 를 사용할 수 있습니다.

  1. 신뢰할 수 있는 환경에서: 2048비트 RSA 키를 사용하여 인증서를 만들고 공용 인증서 내보내기
  2. 대상 호스트: 로컬 인증서 저장소로 공용 인증서 가져오기
  3. 샘플 구성 스크립트 실행
    .\Set-DumpEncryptionConfiguration.ps1 -Certificate (Cert:\CurrentUser\My\093568AB328DF385544FAFD57EE53D73EFAAF519) -Force
    

암호화된 덤프 암호 해독

기존 암호화된 덤프 파일의 암호를 해독하려면 Windows 디버깅 도구를 다운로드하여 설치해야 합니다. 이 도구 집합에는 암호화된 덤프 파일의 암호를 해독하는 데 사용할 수 있는 KernelDumpDecrypt.exe 포함되어 있습니다. 프라이빗 키를 포함한 인증서가 현재 사용자의 인증서 저장소에 있는 경우 호출을 통해 덤프 파일의 암호를 해독할 수 있습니다.

    KernelDumpDecrypt.exe memory.dmp memory_decr.dmp

암호 해독 후 WinDbg와 같은 도구는 암호 해독된 덤프 파일을 열 수 있습니다.

덤프 암호화 문제 해결

시스템에서 덤프 암호화를 사용하도록 설정했지만 덤프가 생성되지 않는 경우 시스템의 System 이벤트 로그에서 이벤트 1207을 Kernel-IO 확인하세요. 덤프 암호화를 초기화할 수 없는 경우 이 이벤트가 만들어지고 덤프가 비활성화됩니다.

자세한 오류 메시지 완화 단계
공개 키 또는 지문 레지스트리가 없습니다. 두 레지스트리 값이 모두 예상 위치에 있는지 확인합니다.
잘못된 공개 키 PublicKey 레지스트리 값에 저장된 공개 키가 BCRYPT_RSAKEY_BLOB 저장되어 있는지 확인합니다.
지원되지 않는 공개 키 크기 현재 2048비트 RSA 키만 지원됩니다. 이 요구 사항과 일치하는 키 구성

또한 아래 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ForceDumpsDisabledGuardedHost 이 0이 아닌 값으로 설정되어 있는지 확인합니다. 이렇게 하면 크래시 덤프가 완전히 비활성화됩니다. 이 경우 0으로 설정합니다.