Partager via

Méthode ProtectKeyWithTPMAndPIN de la classe Win32_EncryptableVolume

  • Article

La méthode ProtectKeyWithTPMAndPIN de la classe Win32_EncryptableVolume sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, s’il est disponible, amélioré par un numéro d’identification personnel spécifié par l’utilisateur qui doit être fourni à l’ordinateur au démarrage.

La validation par le module de plateforme sécurisée et l’entrée de la chaîne d’identification personnelle sont nécessaires pour accéder à la clé de chiffrement du volume et déverrouiller le contenu du volume.

Cette méthode s’applique uniquement au volume qui contient le système d’exploitation en cours d’exécution.

Un protecteur de clé de type « TPM et pin » est créé pour le volume, s’il n’en existe pas déjà un.

Syntaxe

uint32 ProtectKeyWithTPMAndPIN(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [in]           string PIN,
  [out]          string VolumeKeyProtectorID
);

Paramètres

FriendlyName [in, optional]

Type : chaîne

Identificateur de chaîne affecté par l’utilisateur pour ce protecteur de clé. Si ce paramètre n’est pas spécifié, une valeur vide est utilisée.

PlatformValidationProfile [in, facultatif]

Type : uint8[]

Tableau d’entiers qui spécifie comment le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement du volume de disque.

Un profil de validation de plateforme se compose d’un ensemble d’index PCR (Platform Configuration Register) compris entre 0 et 23, inclus. Les valeurs répétées dans le paramètre sont ignorées. Chaque index PCR est associé aux services qui s’exécutent au démarrage du système d’exploitation. Chaque fois que l’ordinateur démarre, le module de plateforme sécurisée case activée que les services que vous avez spécifiés dans le profil de validation de plateforme n’ont pas changé. Si l’un de ces services change alors que la protection BDE (BitLocker Drive Encryption) reste activée, le TPM ne libère pas la clé de chiffrement pour déverrouiller le volume de disque et l’ordinateur passe en mode de récupération.

Si ce paramètre est spécifié alors que le paramètre de stratégie de groupe correspondant a été activé, il doit correspondre au paramètre stratégie de groupe.

Si ce paramètre n’est pas spécifié, la valeur par défaut est 0, 2, 4, 5, 8, 9, 10 et 11. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées aux éléments suivants :

  • Racine principale de l’approbation de mesure (CRTM)
  • BIOS
  • Extensions de plateforme (PCR 0)
  • Option ROM Code (PCR 2)
  • Code d’enregistrement de démarrage principal (MBR) (PCR 4)
  • Table de partition de l’enregistrement de démarrage principal (MBR) (PCR 5)
  • Secteur de démarrage NTFS (PCR 8)
  • Bloc de démarrage NTFS (PCR 9)
  • Gestionnaire de démarrage (PCR 10)
  • BitLocker Access Control (PCR 11)

Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de configuration de démarrage précoce, utilisez un profil de FICHIERS PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Les ordinateurs basés sur l’interface UEFI (Unified Extensible Firmware Interface) n’utilisent pas pcr 5 par défaut.

La modification du profil par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de la plateforme (malveillantes ou autorisées) est augmentée ou réduite en fonction de l’inclusion ou de l’exclusion, respectivement, des fichiers pcr. Pour que la protection BitLocker soit activée, le profil de validation de la plateforme doit inclure pcr 11.

Valeur Signification
0
 Racine principale de la confiance de la mesure (CRTM), du BIOS et des extensions de plateforme
1
 Configuration et données de la plateforme et de la carte mère
2
 Code ROM de l’option
3
 Configuration et données rom de l’option
4
 Code de l’enregistrement de démarrage principal (MBR)
5
 Table de partition d’enregistrement de démarrage principal (MBR)
6
 Événements de transition et de veille d’état
7
 Manufacturer-Specific ordinateur
8
 Secteur de démarrage NTFS
9
 Bloc de démarrage NTFS
10
 Gestionnaire de démarrage
11
 Access Control BitLocker
12
 Défini pour être utilisé par le système d’exploitation statique
13
 Défini pour être utilisé par le système d’exploitation statique
14
 Défini pour être utilisé par le système d’exploitation statique
15
 Défini pour être utilisé par le système d’exploitation statique
16
 Utilisé pour le débogage
17
 Dynamique CRTM
18
 Plateforme définie
19
 Utilisé par un système d’exploitation approuvé
20
 Utilisé par un système d’exploitation approuvé
21
 Utilisé par un système d’exploitation approuvé
22
 Utilisé par un système d’exploitation approuvé
23
 Prise en charge des applications

 

CODE CONFIDENTIEL [in]

Type : chaîne

Chaîne d’identification personnelle spécifiée par l’utilisateur. Cette chaîne doit se composer d’une séquence de 6 à 20 chiffres ou, si la stratégie de groupe « Autoriser les codes confidentiels améliorés pour le démarrage » est activée, de 6 à 20 lettres, symboles, espaces ou nombres.

VolumeKeyProtectorID [out]

Type : chaîne

Identificateur de chaîne unique mis à jour utilisé pour gérer un protecteur de clé de volume chiffré.

Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris la propriété de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.

Valeur retournée

Type : uint32

Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.

Code/valeur de retour Description
S_OK
0 (0x0)
 La méthode a réussi.
E_INVALIDARG
2147942487 (0x80070057)
 Le paramètre PlatformValidationProfile est fourni, mais ses valeurs ne se trouvent pas dans la plage connue ou ne correspond pas au paramètre stratégie de groupe actuellement en vigueur.
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 Un CD/DVD de démarrage se trouve sur cet ordinateur. Supprimez le CD/DVD et redémarrez l’ordinateur.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 Le module TPM ne peut pas sécuriser la clé de chiffrement du volume, car celui-ci ne contient pas le système d’exploitation en cours d’exécution.
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
 Le paramètre NewPIN contient des caractères qui ne sont pas valides. Lorsque le stratégie de groupe « Autoriser les codes PIN améliorés pour le démarrage » est désactivé, seuls les nombres sont pris en charge.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 Le volume est verrouillé.
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
 Le paramètre NewPIN fourni est supérieur à 20 caractères, inférieur à 6 caractères ou inférieur à la longueur minimale spécifiée par stratégie de groupe.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 Un protecteur de clé de ce type existe déjà.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 Aucun module de plateforme sécurisée compatible n’est trouvé sur cet ordinateur.

 

Considérations relatives à la sécurité

Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de code de démarrage précoces, utilisez un profil de FICHIERS PCR 0, 2, 4, 5, 8, 9, 10 et 11. Pour une protection supplémentaire contre les modifications de configuration au démarrage précoce, utilisez un profil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

La modification du profil par défaut affecte la sécurité ou la facilité d’utilisation de votre ordinateur.

Notes

Tout au plus un protecteur de clé de type « TPM et code CONFIDENTIEL » peut exister pour un volume à tout moment. Si vous souhaitez modifier le nom d’affichage ou le profil de validation de la plateforme utilisé par un logiciel de protection de clé « TPM et pin » existant, vous devez d’abord supprimer le protecteur de clés existant, puis appeler ProtectKeyWithTPMAndPIN pour en créer un.

Des protecteurs de clés supplémentaires doivent être spécifiés pour déverrouiller le volume dans les scénarios de récupération où l’accès à la clé de chiffrement du volume ne peut pas être obtenu ; par exemple, lorsque le module TPM ne peut pas valider correctement par rapport au profil de validation de la plateforme ou lorsque le code confidentiel est perdu.

Utilisez ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword pour créer un ou plusieurs protecteurs de clés pour récupérer un volume autrement verrouillé.

Bien qu’il soit possible d’avoir à la fois un protecteur de clé du type « TPM » et un autre du type « TPM et code confidentiel », la présence du type de protecteur de clé « TPM » annule les effets d’autres protecteurs de clés basés sur TPM.

Les fichiers MOF (Managed Object Format) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (MOF).

Spécifications

Condition requise Valeur
Client minimal pris en charge
 Windows Vista Entreprise, Windows Vista Édition intégrale [applications de bureau uniquement]
Serveur minimal pris en charge
 Windows Server 2008 [applications de bureau uniquement]
Espace de noms
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Voir aussi

Win32_EncryptableVolume

Win32_Tpm