Clase Win32_EncryptableVolume
La clase de proveedor WMI Win32_EncryptableVolume representa un área de almacenamiento en un disco duro que se puede proteger mediante el cifrado de unidad BitLocker. Solo se pueden cifrar los volúmenes NTFS. Puede ser un volumen que contiene un sistema operativo o un volumen de datos en el disco local. No puede ser una unidad de red.
Para obtener las ventajas de BitLocker, debe especificar un método de protección para la clave de cifrado del volumen y, a continuación, cifrar completamente el volumen.
Para proteger la clave de cifrado del volumen, agregue protectores de clave usando estos métodos:
- ProtectKeyWithCertificateFile
- ProtectKeyWithCertificateThumbprint
- ProtectKeyWithExternalKey
- ProtectKeyWithNumericalPassword
- ProtectKeyWithPassphrase
- ProtectKeyWithTPM
- ProtectKeyWithTPMAndPIN
- ProtectKeyWithTPMAndPINAndStartupKey
- ProtectKeyWithTPMAndStartupKey
Cada tipo de protector de clave proporciona una experiencia de autenticación diferente para desbloquear el acceso a los datos cifrados. Las claves externas y las contraseñas numéricas pueden proporcionar autenticación durante escenarios de recuperación. En el caso de los protectores de claves basados en Módulos de plataforma segura (TPM), es posible que primero tenga que inicializar correctamente el TPM. Para obtener más información, consulte la clase de proveedor WMI Win32_Tpm.
Use el método Encrypt o EncryptAfterHardwareTest para comenzar el cifrado. Los protectores de clave deben agregarse antes de iniciar el cifrado o, de lo contrario, debe usar el método DisableKeyProtectors para exponer una clave no protegida sin cifrado. Si el equipo se desconecta mientras el cifrado está en curso, el cifrado se reanudará automáticamente cuando se reinicie el equipo.
Puede usar los métodos GetConversionStatus y GetProtectionStatus para comprobar el estado de un volumen accesible.
Sintaxis
class Win32_EncryptableVolume
{
string DeviceID;
string PersistentVolumeID;
string DriveLetter;
uint32 ProtectionStatus;
};
Miembros
La clase Win32_EncryptableVolume tiene estos tipos de miembros:
Métodos
La clase Win32_EncryptableVolume tiene estos métodos.
| Method | Descripción |
|---|---|
| BackupRecoveryInformationToActiveDirectory | Guarda todas las claves externas y la información relacionada necesaria para la recuperación en Active Directory. |
| ChangeExternalKey | Cambia la clave externa asociada a un volumen cifrado. |
| ChangePassphrase | Usa la nueva frase de contraseña para obtener una nueva clave derivada. |
| ChangePIN | Cambia un PIN asociado a un volumen cifrado. |
| ClearAllAutoUnlockKeys | Quita todas las claves externas y la información relacionada guardada en el volumen del sistema operativo que se usa actualmente para desbloquear automáticamente los volúmenes de datos. |
| Decrypt | Comienza el descifrado de un volumen totalmente cifrado o reanuda el descifrado de un volumen parcialmente cifrado. |
| DeleteKeyProtector | Elimina un protector de clave determinado para el volumen. |
| DeleteKeyProtectors | Elimina todos los protectores de clave del volumen. |
| DisableAutoUnlock | Quita la clave externa guardada en el volumen del sistema operativo actualmente en ejecución para que el volumen no se desbloquee automáticamente cuando se monta. |
| DisableKeyProtectors | Deshabilita todos los protectores de clave asociados a este volumen. |
| EnableAutoUnlock | Permite que un volumen de datos se desbloquee automáticamente cuando se monta el volumen. |
| EnableKeyProtectors | Habilita todos los protectores de clave deshabilitados. |
| Encrypt | Comienza el cifrado de un volumen totalmente descifrado o reanuda el cifrado de un volumen parcialmente cifrado. |
| EncryptAfterHardwareTest | Comienza el cifrado de un volumen completamente descifrado después de una prueba de hardware. |
| FindValidCertificates | Enumera todos los certificados del sistema que coinciden con los criterios indicados y devuelve una lista de huellas digitales. |
| GetConversionStatus | Indica el estado del cifrado o descifrado en el volumen. |
| GetEncryptionMethod | Indica el algoritmo de cifrado y el tamaño de clave usados en el volumen. |
| GetExternalKeyFileName | Devuelve el nombre del archivo que contiene la clave externa. |
| GetExternalKeyFromFile | Devuelve la clave externa de un archivo. |
| GetHardwareTestStatus | Devuelve información de estado en una prueba de hardware. |
| GetIdentificationField | Devuelve la cadena de identificador que está disponible en los metadatos del volumen. |
| GetKeyPackage | Devuelve información que ayuda a salvar los datos cifrados cuando la unidad está gravemente dañada. |
| GetKeyProtectorCertificate | Recupera la clave pública y la huella digital del certificado para un protector de clave pública. |
| GetKeyProtectorExternalKey | Recupera la clave externa de un protector de clave determinado del tipo adecuado. |
| GetKeyProtectorFriendlyName | Recupera el nombre usado para identificar un protector de clave determinado. |
| GetKeyProtectorNumericalPassword | Recupera la contraseña numérica de un protector de clave determinado del tipo adecuado. |
| GetKeyProtectorPlatformValidationProfile | Recupera el perfil de validación de la plataforma para un protector de clave determinado del tipo adecuado. |
| GetKeyProtectors | Enumera los protectores usados para proteger la clave de cifrado del volumen. |
| GetKeyProtectorType | Indica el tipo de un protector de clave determinado. |
| GetLockStatus | Indica si el contenido del volumen es accesible desde el sistema operativo que se está ejecutando actualmente. |
| GetProtectionStatus | Indica si el volumen y su clave de cifrado (si existe) están protegidos. |
| GetVersion | Indica la versión de metadatos de FVE del volumen. |
| IsAutoUnlockEnabled | Indica si el volumen se desbloquea automáticamente cuando se monta. |
| IsAutoUnlockKeyStored | Indica si actualmente existe en el volumen del sistema operativo en ejecución cualquier clave externa e información relacionada que se pueda usar para desbloquear automáticamente volúmenes de datos. |
| IsKeyProtectorAvailable | Indica si los protectores están disponibles para el volumen. |
| IsNumericalPasswordValid | Indica si la contraseña numérica cumple los requisitos de formato especiales. |
| Bloquear | Desmonta el volumen y quita la clave de cifrado del volumen de la memoria del sistema. |
| PauseConversion | Pausa el cifrado o descifrado de un volumen. |
| PrepareVolume | Crea un volumen de BitLocker con el tipo de sistema de archivos especificado del volumen de detección. |
| ProtectKeyWithCertificateFile | Valida el identificador de objeto (OID) de uso mejorado de claves (EKU) del archivo de certificado proporcionado. |
| ProtectKeyWithCertificateThumbprint | Valida el identificador de objeto (OID) de uso mejorado de claves (EKU) de la huella digital del certificado proporcionado. |
| ProtectKeyWithExternalKey | Protege la clave de cifrado del volumen con una clave externa de 256 bits. |
| ProtectKeyWithNumericalPassword | Protege la clave de cifrado del volumen con una contraseña de 48 dígitos con un formato especial. |
| ProtectKeyWithPassphrase | Usa la frase de contraseña para obtener la clave derivada. |
| ProtectKeyWithTPM | Protege la clave de cifrado del volumen mediante el hardware de seguridad del módulo de plataforma segura (TPM) en el equipo, si está disponible. |
| ProtectKeyWithTPMAndPIN | Protege la clave de cifrado del volumen mediante el hardware de seguridad del Módulo de plataforma segura (TPM) en el equipo, si está disponible, mejorado por un número de identificación personal (PIN) especificado por el usuario que se debe proporcionar al equipo al iniciarse. |
| ProtectKeyWithTPMAndPINAndStartupKey | Protege la clave de cifrado del volumen mediante el hardware de seguridad del Módulo de plataforma segura (TPM) en el equipo, si está disponible, mejorado por un número de identificación personal (PIN) especificado por el usuario y por una clave externa que se debe proporcionar al equipo al iniciarse. |
| ProtectKeyWithTPMAndStartupKey | Protege la clave de cifrado del volumen mediante el hardware de seguridad del Módulo de plataforma segura (TPM) en el equipo, si está disponible, mejorado por una clave externa que se debe proporcionar al equipo al iniciarse. |
| ResumeConversion | Reanuda el cifrado o descifrado de un volumen. |
| SaveExternalKeyToFile | Escribe la clave externa asociada al protector de clave de volumen especificado en una ubicación de archivo especificada. |
| SetIdentificationField | Establece la cadena de identificador especificada en los metadatos del volumen. |
| UnlockWithCertificateFile | Usa el archivo de certificado proporcionado para obtener la clave derivada y desbloquear el volumen cifrado. |
| UnlockWithCertificateThumbprint | Usa la huella digital del certificado proporcionada para obtener la clave derivada y desbloquear el volumen cifrado. |
| UnlockWithExternalKey | Usa una clave externa proporcionada para acceder al contenido de un volumen de datos. |
| UnlockWithNumericalPassword | Usa una contraseña numérica proporcionada para acceder al contenido de un volumen de datos. |
| UnlockWithPassphrase | Usa la frase de contraseña para obtener la clave derivada. Una vez calculada la clave derivada, se usa para desbloquear la clave maestra del volumen cifrado. |
| UpgradeVolume | Actualiza un volumen del formato Windows Vista al formato Windows 7. |
Propiedades
La clase Win32_EncryptableVolume tiene estas propiedades.
ConversionStatus
Tipo de datos: uint32
Tipo de acceso: solo lectura
Un entero correspondiente al estado de cifrado del volumen. Este valor se almacena cuando se crea una instancia de la clase. Es posible que el estado de conversión cambie el estado entre la creación de instancias y cuando compruebe el valor. Para comprobar el valor de la propiedad ConversionStatus en tiempo real, use el método GetConversionStatus.
| Value | Significado |
|---|---|
|
TOTALMENTE DESCIFRADO |
|
TOTALMENTE CIFRADO |
|
CIFRADO EN CURSO |
|
DESCIFRADO EN CURSO |
|
CIFRADO EN PAUSA |
|
DESCIFRADO EN PAUSA |
DeviceID
Tipo de datos: cadena
Tipo de acceso: solo lectura
Calificadores: Key
Un identificador único del volumen en este sistema. Úselo para asociar un volumen a otras clases de proveedor de WMI, por ejemplo, Win32_Volume.
DriveLetter
Tipo de datos: cadena
Tipo de acceso: solo lectura
La letra de unidad del volumen. Este identificador se puede usar para asociar un volumen a otras clases de proveedor de WMI, por ejemplo Win32_Volume.
En el caso de los volúmenes sin letras de unidad, este valor es NULL.
EncryptionMethod
Tipo de datos: uint32
Tipo de acceso: solo lectura
Un entero que identifica el algoritmo usado para cifrar el volumen.
| Value | Significado |
|---|---|
|
NO CIFRADO El volumen no está cifrado ni ha comenzado el cifrado. |
|
AES 128 CON DIFUSOR |
|
AES 256 CON DIFUSOR |
|
AES 128 |
|
AES 256 |
|
CIFRADO DE HARDWARE |
|
XTS-AES 128 Esta es la configuración predeterminada para Windows 10. |
|
XTS-AES 256 CON DIFUSOR |
IsVolumeInitializedForProtection
Tipo de datos: bool
Tipo de acceso: solo lectura
Indica si el volumen está en un estado listo para que se inicie el cifrado. Se debe agregar al menos un protector de clave antes de que sea True y el cifrado pueda comenzar.
PersistentVolumeID
Tipo de datos: cadena
Tipo de acceso: solo lectura
Un identificador persistente del volumen en este sistema. Este identificador es exclusivo de Win32_EncryptableVolume.
Este identificador es una cadena vacía si el volumen es un volumen NTFS totalmente descifrado estándar; de lo contrario, tiene un valor único.
ProtectionStatus
Tipo de datos: uint32
Tipo de acceso: solo lectura
El estado del volumen, tanto si BitLocker protege el volumen como si no. Este valor se almacena al instanciar la clase. Es posible que el estado de protección cambie el estado entre la creación de instancias y cuando compruebe el valor. Para comprobar el valor de la propiedad ProtectionStatus en tiempo real, use el método GetProtectionStatus.
| Value | Significado |
|---|---|
|
PROTECCIÓN DESACTIVADA El volumen no está cifrado, parcialmente cifrado o la clave de cifrado del volumen está disponible en la opción borrar en el disco duro. |
|
PROTECCIÓN ACTIVADA El volumen está totalmente cifrado y la clave de cifrado del volumen no está disponible en la opción borrar en el disco duro. |
|
PROTECCIÓN DESCONOCIDA No se puede determinar el estado de protección del volumen. Una posible causa es que el volumen está en estado bloqueado. |
VolumeType
Tipo de datos: uint32
Tipo de acceso: solo lectura
Un entero que identifica el tipo de volumen relevante para el cifrado para el uso de los protectores de claves y los métodos de cifrado adecuados.
| Value | Significado |
|---|---|
|
SISTEMA El volumen contiene el sistema operativo Windows. Los protectores de clave estándar suelen ser TPM, a veces junto con un PIN y una contraseña numérica (recuperación). |
|
DISCO FIJO Este volumen es un dispositivo de almacenamiento que no es del sistema para el sistema. A menudo se recomienda configurar el desbloqueo automático junto con el volumen del sistema. |
|
EXTRAÍBLE Este volumen es extraíble en caliente desde el sistema. Normalmente, esto indicará una unidad externa o una unidad flash. Se pueden considerar distintos métodos de cifrado debido a problemas de compatibilidad con otros sistemas. |
Consideraciones sobre la seguridad
La clase de proveedor WMI de Win32_EncryptableVolume se basa en la seguridad del espacio de nombres WMI y en el subsistema de cifrado de unidad BitLocker para el control de acceso.
Para usar los métodos Win32_EncryptableVolume, se deben cumplir las siguientes condiciones:
Debe tener privilegios de administrador.
El cifrado de conexión debe poder conectarse al proveedor.
Para obtener más información sobre cómo crear una conexión cifrada, consulte Requerir una conexión cifrada a un espacio de nombres.
Para habilitar conexiones remotas, se debe permitir el tráfico WMI remoto. Para obtener más información sobre cómo habilitar el tráfico WMI, consulte Conexión a WMI de forma remota a partir de Vista.
La configuración de seguridad predeterminada del espacio de nombres incluye una entrada para permitir la edición de forma predeterminada. Para obtener más información sobre la auditoría del espacio de nombres WMI, vea Acceso a espacios de nombres WMI.
Comentarios
Los archivos de formato de objeto administrado (MOF) contienen las definiciones de clases de Instrumental de administración de Windows (WMI). Los archivos MOF no se instalan como parte de Windows SDK. Se instalan en el servidor al agregar el rol asociado mediante el Administrador del servidor. Para obtener más información sobre los archivos MOF, vea Formato de objeto administrado (MOF).
Requisitos
| Requisito | Valor |
|---|---|
| Cliente mínimo compatible |
Windows Vista Enterprise, Windows Vista Ultimate [solo aplicaciones de escritorio] |
| Servidor mínimo compatible |
Windows Server 2008 [solo aplicaciones de escritorio] |
| Espacio de nombres |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|