Partager via


Méthode ProtectKeyWithTPMAndStartupKey de la classe Win32_EncryptableVolume

La méthode ProtectKeyWithTPMAndStartupKey de la classe Win32_EncryptableVolume sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, le cas échéant, amélioré par une clé externe qui doit être présentée à l’ordinateur au démarrage.

La validation par le module TPM et l’entrée d’un périphérique de mémoire USB contenant la clé externe sont nécessaires pour accéder à la clé de chiffrement du volume et déverrouiller le contenu du volume. Utilisez la méthode SaveExternalKeyToFile pour enregistrer cette clé externe dans un fichier sur un périphérique de mémoire USB et l’utiliser en tant que clé de démarrage.

Cette méthode s’applique uniquement au volume qui contient le système d’exploitation en cours d’exécution.

Un protecteur de clé de type « TPM et clé de démarrage » est créé pour le volume, s’il n’en existe pas déjà un.

Syntaxe

uint32 ProtectKeyWithTPMAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

Paramètres

FriendlyName [in, facultatif]

Type : chaîne

Identificateur de chaîne attribué par l’utilisateur pour ce protecteur de clé. Si ce paramètre n’est pas spécifié, une valeur vide est utilisée.

PlatformValidationProfile [in, facultatif]

Type : uint8[]

Tableau d’entiers qui spécifie la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement du volume de disque.

Un profil de validation de plateforme se compose d’un ensemble d’index PCR (Platform Configuration Register) allant de 0 à 23, inclus. Les valeurs répétées dans le paramètre sont ignorées. Chaque index PCR est associé aux services qui s’exécutent au démarrage du système d’exploitation. Chaque fois que l’ordinateur démarre, le module TPM case activée que les services que vous avez spécifiés dans le profil de validation de la plateforme n’ont pas changé. Si l’un de ces services change alors que la protection BDE (BitLocker Drive Encryption) reste activée, le TPM ne libère pas la clé de chiffrement pour déverrouiller le volume de disque et l’ordinateur passe en mode de récupération.

Si ce paramètre est spécifié alors que le paramètre de stratégie de groupe correspondant a été activé, il doit correspondre au paramètre stratégie de groupe.

Si ce paramètre n’est pas spécifié, la valeur par défaut 0, 2, 4, 5, 8, 9, 10 et 11 est utilisée. Le profil de validation de la plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées aux éléments suivants :

  • Racine principale de l’approbation de la mesure (CRTM)
  • BIOS
  • Extensions de plateforme (PCR 0)
  • Option ROM Code (PCR 2)
  • Code d’enregistrement de démarrage maître (MBR) (PCR 4)
  • Table de partition d’enregistrement de démarrage maître (MBR) (PCR 5)
  • Secteur de démarrage NTFS (PCR 8)
  • Bloc de démarrage NTFS (PCR 9)
  • Gestionnaire de démarrage (PCR 10)
  • BitLocker Access Control (PCR 11)

Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de configuration au démarrage précoce, utilisez un profil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Les ordinateurs basés sur l’interface UEFI (Unified Extensible Firmware Interface) n’utilisent pas pcr 5 par défaut.

La modification du profil par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) est augmentée ou diminuée en fonction de l’inclusion ou de l’exclusion, respectivement, des RCP. Pour que la protection BitLocker soit activée, le profil de validation de la plateforme doit inclure LA PCR 11.

Valeur Signification
0
Racine principale de l’approbation de la mesure (CRTM), du BIOS et des extensions de plateforme
1
Configuration et données de la plateforme et de la carte mère
2
Code ROM d’option
3
Option ROM Configuration et données
4
Code MBR (Master Boot Record)
5
Table de partition MBR (Master Boot Record)
6
Événements de transition d’état et de veille
7
Manufacturer-Specific ordinateur
8
Secteur de démarrage NTFS
9
Bloc de démarrage NTFS
10
Gestionnaire de démarrage
11
Access Control BitLocker
12
Défini pour une utilisation par le système d’exploitation statique
13
Défini pour une utilisation par le système d’exploitation statique
14
Défini pour une utilisation par le système d’exploitation statique
15
Défini pour une utilisation par le système d’exploitation statique
16
Utilisé pour le débogage
17
CRTM dynamique
18
Plateforme définie
19
Utilisé par un système d’exploitation approuvé
20
Utilisé par un système d’exploitation approuvé
21
Utilisé par un système d’exploitation approuvé
22
Utilisé par un système d’exploitation approuvé
23
Prise en charge des applications

 

ExternalKey [in, facultatif]

Type : uint8[]

Tableau d’octets qui spécifie la clé externe 256 bits utilisée pour déverrouiller le volume au démarrage de l’ordinateur.

Si aucune clé externe n’est spécifiée, une clé est générée de manière aléatoire. Utilisez la méthode GetKeyProtectorExternalKey pour obtenir la clé générée de manière aléatoire.

VolumeKeyProtectorID [out]

Type : chaîne

Chaîne qui est l’identificateur unique associé au protecteur de clé créé qui peut être utilisé pour gérer le protecteur de clé.

Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris la propriété de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.

Valeur retournée

Type : uint32

Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.

Code/valeur de retour Description
S_OK
0 (0x0)
La méthode a réussi.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
Le volume est verrouillé.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
Aucun module de plateforme sécurisée compatible n’est trouvé sur cet ordinateur.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
Le module TPM ne peut pas sécuriser la clé de chiffrement du volume, car celui-ci ne contient pas le système d’exploitation en cours d’exécution.
E_INVALIDARG
2147942487 (0x80070057)
Le paramètre PlatformValidationProfile est fourni, mais ses valeurs ne se trouvent pas dans la plage connue ou ne correspond pas au paramètre stratégie de groupe actuellement en vigueur.
Le paramètre ExternalKey est fourni, mais n’est pas un tableau de taille 32.
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
Un CD/DVD de démarrage se trouve sur cet ordinateur. Supprimez le CD/DVD et redémarrez l’ordinateur.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
Un protecteur de clé de ce type existe déjà.

 

Considérations relatives à la sécurité

Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de code de démarrage précoces, utilisez un profil de FICHIERS PCR 0, 2, 4, 5, 8, 9, 10 et 11. Pour une protection supplémentaire contre les modifications de configuration au démarrage précoce, utilisez un profil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

La modification du profil par défaut affecte la sécurité ou la facilité d’utilisation de votre ordinateur.

Notes

Tout au plus un protecteur de clé de type « TPM et clé de démarrage » peut exister pour un volume à tout moment. Si vous souhaitez modifier le nom d’affichage ou le profil de validation de la plateforme utilisé par un protecteur de clé « TPM plus clé de démarrage » existant, vous devez d’abord supprimer le protecteur de clés existant, puis appeler ProtectKeyWithTPMAndStartupKey pour en créer un. Des protecteurs de clés supplémentaires doivent être spécifiés pour déverrouiller le volume dans les scénarios de récupération où l’accès à la clé de chiffrement du volume ne peut pas être obtenu ; par exemple, lorsque le module TPM ne peut pas valider correctement par rapport au profil de validation de la plateforme ou lorsque la mémoire USB qui contient la clé externe est perdue.

Utilisez ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword pour créer un ou plusieurs protecteurs de clés pour récupérer un volume autrement verrouillé.

Bien qu’il soit possible d’avoir à la fois un protecteur de clé du type « TPM » et un autre du type « TPM et clé de démarrage », la présence du type de protecteur de clé « TPM » annule les effets d’autres protecteurs de clés basés sur TPM.

Les fichiers MOF (Managed Object Format) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (MOF).

Spécifications

Condition requise Valeur
Client minimal pris en charge
Windows Vista Entreprise, Windows Vista Édition intégrale [applications de bureau uniquement]
Serveur minimal pris en charge
Windows Server 2008 [applications de bureau uniquement]
Espace de noms
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Voir aussi

Win32_EncryptableVolume

Win32_Tpm