Freigeben über


Win32_EncryptableVolume-Klasse

Die WMI-Anbieterklasse Win32_EncryptableVolume stellt einen Speicherbereich auf einer Festplatte dar, der mithilfe der BitLocker-Laufwerkverschlüsselung geschützt werden kann. Nur NTFS-Volumes können verschlüsselt werden. Dabei kann es sich um ein Volume, das ein Betriebssystem enthält, oder um ein Datenvolume auf dem lokalen Datenträger handeln. Es kann sich nicht um ein Netzlaufwerk handeln.

Um die Vorteile von BitLocker zu nutzen, müssen Sie eine Schutzmethode für den Verschlüsselungsschlüssel des Volumes angeben und dann das Volume vollständig verschlüsseln.

Um den Verschlüsselungsschlüssel des Volumes zu schützen, fügen Sie mithilfe der folgenden Methoden Schlüsselschutzvorrichtungen hinzu:

Jeder Schlüsselschutzvorrichtungstyp bietet eine andere Authentifizierungsfunktionalität zum Entsperren des Zugriffs auf die verschlüsselten Daten. Externe Schlüssel und numerische Kennwörter können während Wiederherstellungsszenarien eine Authentifizierung bereitstellen. Bei TPM-basierten (Trusted Platform Module) Schlüsselschutzvorrichtungen müssen Sie möglicherweise zuerst das TPM ordnungsgemäß initialisieren. Weitere Informationen finden Sie im Artikel zur WMI-Anbieterklasse Win32_Tpm.

Verwenden Sie die Encrypt- oder EncryptAfterHardwareTest-Methode, um mit der Verschlüsselung zu beginnen. Schlüsselschutzvorrichtungen müssen vor dem Starten der Verschlüsselung hinzugefügt werden. Andernfalls müssen Sie die DisableKeyProtectors-Methode verwenden, um einen nicht geschützten unverschlüsselten Schlüssel verfügbar zu machen. Wenn der Computer während der Verschlüsselung ausgeschaltet wird, wird die Verschlüsselung beim Neustart des Computers automatisch fortgesetzt.

Sie können die GetConversionStatus- und GetProtectionStatus-Methoden verwenden, um den Status eines Volumes zu überprüfen, auf das zugegriffen werden kann.

Syntax

class Win32_EncryptableVolume
{
  string DeviceID;
  string PersistentVolumeID;
  string DriveLetter;
  uint32 ProtectionStatus;
};

Member

Die Win32_EncryptableVolume-Klasse verfügt über die folgenden Membertypen:

Methoden

Die Win32_EncryptableVolume-Klasse verfügt über die folgenden Methoden.

Methode Beschreibung
BackupRecoveryInformationToActiveDirectory Speichert alle externen Schlüssel und zugehörigen Informationen, die für die Wiederherstellung in Active Directory erforderlich sind.
ChangeExternalKey Ändert den externen Schlüssel, der einem verschlüsselten Volume zugeordnet ist.
ChangePassphrase Verwendet die neue Passphrase, um einen neuen abgeleiteten Schlüssel abzurufen.
ChangePIN Ändert eine PIN, die einem verschlüsselten Volume zugeordnet ist.
ClearAllAutoUnlockKeys Entfernt alle auf dem derzeit ausgeführten Betriebssystemvolume gespeicherten externen Schlüssel und zugehörigen Informationen, die zum automatischen Entsperren von Datenvolumes verwendet werden.
Decrypt Startet die Entschlüsselung eines vollständig verschlüsselten Volumes oder setzt die Entschlüsselung eines teilweise verschlüsselten Volumes fort.
DeleteKeyProtector Löscht eine bestimmte Schlüsselschutzvorrichtung für das Volume.
DeleteKeyProtectors Löscht alle Schlüsselschutzvorrichtungen für das Volume.
DisableAutoUnlock Entfernt den externen Schlüssel, der auf dem derzeit ausgeführten Betriebssystemvolume gespeichert ist, sodass das Volume nicht automatisch entsperrt wird, wenn es eingebunden wird.
DisableKeyProtectors Deaktiviert alle Schlüsselschutzvorrichtungen, die diesem Volume zugeordnet sind.
EnableAutoUnlock Ermöglicht die automatische Entsperrung eines Datenvolumes beim Einbinden des Volumes.
EnableKeyProtectors Aktiviert alle deaktivierten Schlüsselschutzvorrichtungen.
Encrypt Startet die Verschlüsselung eines vollständig entschlüsselten Volumes oder setzt die Verschlüsselung eines teilweise verschlüsselten Volumes fort.
EncryptAfterHardwareTest Startet die Verschlüsselung eines vollständig entschlüsselten Volumes nach einem Hardwaretest.
FindValidCertificates Listet alle Zertifikate auf dem System auf, die den angegebenen Kriterien entsprechen, und gibt eine Liste von Fingerabdrücken zurück.
GetConversionStatus Gibt den Status der Verschlüsselung oder Entschlüsselung für das Volume an.
GetEncryptionMethod Gibt den Verschlüsselungsalgorithmus und die Schlüsselgröße an, die für das Volume verwendet werden.
GetExternalKeyFileName Gibt den Namen der Datei zurück, die den externen Schlüssel enthält.
GetExternalKeyFromFile Gibt den externen Schlüssel aus einer Datei zurück.
GetHardwareTestStatus Gibt Statusinformationen für einen Hardwaretest zurück.
GetIdentificationField Gibt die Bezeichnerzeichenfolge zurück, die in den Metadaten des Volumes verfügbar ist.
GetKeyPackage Gibt Informationen zurück, die im Fall einer schwerwiegenden Beschädigung des Laufwerks dabei helfen können, verschlüsselte Daten zu retten.
GetKeyProtectorCertificate Ruft den öffentlichen Schlüssel und den Zertifikatfingerabdruck für eine öffentliche Schlüsselschutzvorrichtung ab.
GetKeyProtectorExternalKey Ruft den externen Schlüssel für eine bestimmte Schlüsselschutzvorrichtung des entsprechenden Typs ab.
GetKeyProtectorFriendlyName Ruft den Anzeigenamen ab, der zum Identifizieren einer bestimmten Schlüsselschutzvorrichtung verwendet wird.
GetKeyProtectorNumericalPassword Ruft das numerische Kennwort für eine bestimmte Schlüsselschutzvorrichtung des entsprechenden Typs ab.
GetKeyProtectorPlatformValidationProfile Ruft das Plattformvalidierungsprofil für eine bestimmte Schlüsselschutzvorrichtung des entsprechenden Typs ab.
GetKeyProtectors Listet die Schutzvorrichtungen auf, die zum Sichern des Verschlüsselungsschlüssels des Volumes verwendet werden.
GetKeyProtectorType Gibt den Typ einer bestimmten Schlüsselschutzvorrichtung an.
GetLockStatus Gibt an, ob über das derzeit ausgeführte Betriebssystem auf den Inhalt des Volumes zugegriffen werden kann.
GetProtectionStatus Gibt an, ob das Volume und sein Verschlüsselungsschlüssel (falls vorhanden) gesichert sind.
GetVersion Gibt die FVE-Metadatenversion des Volumes an.
IsAutoUnlockEnabled Gibt an, ob das Volume beim Einbinden automatisch entsperrt wird.
IsAutoUnlockKeyStored Gibt an, ob im derzeit ausgeführten Betriebssystemvolume externe Schlüssel und zugehörige Informationen vorhanden sind, die zum automatischen Entsperren von Datenvolumes verwendet werden können.
IsKeyProtectorAvailable Gibt an, ob Schutzvorrichtungen für das Volume verfügbar sind.
IsNumericalPasswordValid Gibt an, ob das numerische Kennwort die speziellen Formatanforderungen erfüllt.
Sperren Hebt die Bereitstellung des Volumes auf und entfernt den Verschlüsselungsschlüssel des Volumes aus dem Systemspeicher.
PauseConversion Hält die Verschlüsselung oder Entschlüsselung eines Volumes an.
PrepareVolume Erstellt ein BitLocker-Volume mit dem angegebenen Dateisystemtyp des Ermittlungsvolumes.
ProtectKeyWithCertificateFile Überprüft den Objektbezeichner (Object Identifier, OID) der erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) der bereitgestellten Zertifikatdatei.
ProtectKeyWithCertificateThumbprint Überprüft den EKU-Objektbezeichner des bereitgestellten Zertifikatfingerabdrucks.
ProtectKeyWithExternalKey Sichert den Verschlüsselungsschlüssel des Volumes mit einem externen 256-Bit-Schlüssel.
ProtectKeyWithNumericalPassword Sichert den Verschlüsselungsschlüssel des Volumes mit einem speziell formatierten 48-stelligen Kennwort.
ProtectKeyWithPassphrase Verwendet die Passphrase, um den abgeleiteten Schlüssel abzurufen.
ProtectKeyWithTPM Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar).
ProtectKeyWithTPMAndPIN Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar) mit erweitertem Schutz durch eine benutzerseitig angegebene PIN, die beim Start für den Computer bereitgestellt werden muss.
ProtectKeyWithTPMAndPINAndStartupKey Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar) mit erweitertem Schutz durch eine benutzerseitig angegebene PIN und einen externen Schlüssel, die beim Start für den Computer bereitgestellt werden müssen.
ProtectKeyWithTPMAndStartupKey Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar) mit erweitertem Schutz durch einen externen Schlüssel, der beim Start für den Computer bereitgestellt werden muss.
ResumeConversion Setzt die Verschlüsselung oder Entschlüsselung eines Volumes fort.
SaveExternalKeyToFile Schreibt den externen Schlüssel, der der angegebenen Volume-Schlüsselschutzvorrichtung zugeordnet ist, in einen angegebenen Dateispeicherort.
SetIdentificationField Legt die angegebene Bezeichnerzeichenfolge in den Metadaten des Volumes fest.
UnlockWithCertificateFile Verwendet die bereitgestellte Zertifikatdatei, um den abgeleiteten Schlüssel abzurufen und das verschlüsselte Volume zu entsperren.
UnlockWithCertificateThumbprint Verwendet den bereitgestellten Zertifikatfingerabdruck, um den abgeleiteten Schlüssel abzurufen und das verschlüsselte Volume zu entsperren.
UnlockWithExternalKey Verwendet einen bereitgestellten externen Schlüssel, um auf den Inhalt eines Datenvolumes zuzugreifen.
UnlockWithNumericalPassword Verwendet ein bereitgestelltes numerisches Kennwort, um auf den Inhalt eines Datenvolumes zuzugreifen.
UnlockWithPassphrase Verwendet die Passphrase, um den abgeleiteten Schlüssel abzurufen. Nachdem der abgeleitete Schlüssel berechnet wurde, wird er verwendet, um den Hauptschlüssel des verschlüsselten Volumes zu entsperren.
UpgradeVolume Aktualisiert ein Volume vom Windows Vista-Format auf das Windows 7-Format.

Eigenschaften

Die Win32_EncryptableVolume-Klasse verfügt über die folgenden Eigenschaften.

ConversionStatus

Datentyp: uint32

Zugriffstyp: Schreibgeschützt

Eine ganze Zahl, die dem Verschlüsselungsstatus des Volumes entspricht. Dieser Wert wird gespeichert, wenn die Klasse instanziiert wird. Zwischen der Instanziierung und dem Zeitpunkt, zu dem Sie den Wert überprüfen, kann sich der Konvertierungsstatus ändern. Verwenden Sie die GetConversionStatus-Methode, um den Wert der ConversionStatus-Eigenschaft in Echtzeit zu überprüfen.

Wert Bedeutung
0
VOLLSTÄNDIG ENTSCHLÜSSELT

1
VOLLSTÄNDIG VERSCHLÜSSELT

2
VERSCHLÜSSELUNG WIRD AUSGEFÜHRT

3
ENTSCHLÜSSELUNG WIRD AUSGEFÜHRT

4
VERSCHLÜSSELUNG ANGEHALTEN

5
ENTSCHLÜSSELUNG ANGEHALTEN

DeviceID

Datentyp: Zeichenfolge

Zugriffstyp: Schreibgeschützt

Qualifizierer: Schlüssel

Ein eindeutiger Bezeichner für das Volume im System. Verwenden Sie diese Eigenschaft, um ein Volume anderen WMI-Anbieterklassen zuzuordnen, z. B. Win32_Volume.

DriveLetter

Datentyp: Zeichenfolge

Zugriffstyp: Schreibgeschützt

Der Laufwerkbuchstabe des Volumes. Dieser Bezeichner kann verwendet werden, um ein Volume anderen WMI-Anbieterklassen zuzuordnen, z. B. Win32_Volume.

Für Volumes ohne Laufwerkbuchstaben ist dieser Wert NULL.

EncryptionMethod

Datentyp: uint32

Zugriffstyp: Schreibgeschützt

Eine ganze Zahl, die den Algorithmus identifiziert, der zum Verschlüsseln des Volumes verwendet wird.

Wert Bedeutung
0
NICHT VERSCHLÜSSELT
Das Volume ist weder verschlüsselt noch wurde die Verschlüsselung gestartet.
1
AES 128 MIT DIFFUSOR

2
AES 256 MIT DIFFUSOR

3
AES 128

4
AES 256

5
HARDWAREVERSCHLÜSSELUNG

6
XTS-AES 128
Dies ist die Standardeinstellung für Windows 10.
7
XTS-AES 256 MIT DIFFUSOR

IsVolumeInitializedForProtection

Datentyp: bool

Zugriffstyp: Schreibgeschützt

Gibt an, ob das Volume für den Start der Verschlüsselung bereit ist. Mindestens eine Schlüsselschutzvorrichtung muss hinzugefügt werden, bevor diese Eigenschaft „True“ lautet und die Verschlüsselung gestartet werden kann.

PersistentVolumeID

Datentyp: Zeichenfolge

Zugriffstyp: Schreibgeschützt

Ein persistenter Bezeichner für das Volume im System. Dieser Bezeichner gilt ausschließlich für Win32_EncryptableVolume.

Dieser Bezeichner ist eine leere Zeichenfolge, wenn das Volume ein vollständig entschlüsseltes NTFS-Standardvolume ist. Andernfalls weist er einen eindeutigen Wert auf.

ProtectionStatus

Datentyp: uint32

Zugriffstyp: Schreibgeschützt

Der Status des Volumes, unabhängig davon, ob das Volume durch BitLocker geschützt wird. Dieser Wert wird gespeichert, wenn die Klasse instanziiert wird. Zwischen der Instanziierung und dem Zeitpunkt, zu dem Sie den Wert überprüfen, kann sich der Schutzstatus ändern. Verwenden Sie die GetProtectionStatus-Methode, um den Wert der ProtectionStatus-Eigenschaft in Echtzeit zu überprüfen.

Wert Bedeutung
0
SCHUTZ DEAKTIVIERT
Das Volume ist nicht verschlüsselt, teilweise verschlüsselt, oder der Verschlüsselungsschlüssel des Volumes ist als Klartext auf der Festplatte verfügbar.
1
SCHUTZ AKTIVIERT
Das Volume ist vollständig verschlüsselt, und der Verschlüsselungsschlüssel des Volumes ist nicht als Klartext auf der Festplatte verfügbar.
2
SCHUTZ UNBEKANNT
Der Schutzstatus des Volumes kann nicht ermittelt werden. Eine mögliche Ursache ist, dass das Volume gesperrt ist.

VolumeType

Datentyp: uint32

Zugriffstyp: Schreibgeschützt

Eine ganze Zahl, die den Typ des Volumes identifiziert. Dieser Wert ist wichtig, damit bei der Verschlüsselung geeignete Schlüsselschutzvorrichtungen und Verschlüsselungsmethoden verwendet werden.

Wert Bedeutung
0
SYSTEM
Das Volume enthält das Windows-Betriebssystem. Standard-Schlüsselschutzvorrichtungen sind in der Regel TPMs, manchmal in Verbindung mit einer PIN und einem numerischen Kennwort (Wiederherstellung)
1
FESTPLATTE
Dieses Volume ist ein Nicht-Systemspeichergerät für das System. Häufig wird empfohlen, die automatische Entsperrung in Verbindung mit dem Systemvolume zu konfigurieren.
2
WECHSELMEDIUM
Dieses Volume kann nicht im laufenden Betrieb aus dem System entfernt werden. In der Regel gibt dieser Wert ein externes Laufwerk oder USB-Laufwerk an. Aufgrund von Kompatibilitätsproblemen mit anderen Systemen können verschiedene Verschlüsselungsmethoden berücksichtigt werden.

Sicherheitsüberlegungen

Die WMI-Anbieterklasse Win32_EncryptableVolume nutzt die Namespacesicherheit der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) und das Subsystem der BitLocker-Laufwerkverschlüsselung für die Zugriffssteuerung.

Um die Win32_EncryptableVolume-Methoden verwenden zu können, müssen die folgenden Bedingungen erfüllt sein:

Um Remoteverbindungen zuzulassen, muss WMI-Remotedatenverkehr zulässig sein. Weitere Informationen zum Zulassen von WMI-Datenverkehr finden Sie unter Einrichten einer WMI-Remoteverbindung (ab Windows Vista).

Die Standardeinstellung für die Namespacesicherheit enthält einen Eintrag, mit dem die Bearbeitung standardmäßig zugelassen werden kann. Weitere Informationen zur WMI-Namespaceüberwachung finden Sie unter Zugriff auf WMI-Namespaces.

Hinweise

MOF-Dateien (Managed Object Format) enthalten die Definitionen für WMI-Klassen. MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mit dem Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows Vista Enterprise, Windows Vista Ultimate [nur Desktop-Apps]
Minimal unterstützter Server
Windows Server 2008 [nur Desktop-Apps]
Namespace
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof