次の方法で共有

Win32_EncryptableVolume クラスの ProtectKeyWithTPMAndPIN メソッド

  • [アーティクル]

Win32_EncryptableVolume クラスの ProtectKeyWithTPMAndPIN メソッドは、起動時にコンピューターに提供する必要があるユーザー指定の個人識別番号 (PIN) によって拡張された、コンピューター上のトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェア (使用可能な場合) を使用して、ボリュームの暗号化キーをセキュリティで保護します。

TPM による検証と個人識別文字列の入力の両方が、ボリュームの暗号化キーにアクセスし、ボリュームの内容のロックを解除するために必要です。

この方法は、現在実行中のオペレーティング システムを含むボリュームにのみ適用されます。

ボリュームに "TPM および PIN" 型のキー保護機能が作成されます (まだ存在しない場合)。

構文

uint32 ProtectKeyWithTPMAndPIN(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [in]           string PIN,
  [out]          string VolumeKeyProtectorID
);

パラメーター

FriendlyName [in, optional]

型: string

このキー保護機能のユーザー割り当て文字列識別子。 このパラメーターを指定しない場合は、空白の値が使用されます。

PlatformValidationProfile [in, optional]

型: uint8[]

コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアがディスク ボリュームの暗号化キーをセキュリティで保護する方法を指定する整数の配列。

プラットフォーム検証プロファイルは、0 から 23 までのプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。 パラメーターの繰り返し値は無視されます。 各 PCR インデックスは、オペレーティング システムの起動時に実行されるサービスに関連付けられます。 コンピューターが起動するたびに、TPM はプラットフォーム検証プロファイルで指定したサービスが変更されていないことをチェックします。 BitLocker ドライブ暗号化 (BDE) 保護がオンのままでこれらのサービスのいずれかが変更された場合、TPM はディスク ボリュームのロックを解除するための暗号化キーを解放せず、コンピューターは回復モードになります。

対応するグループ ポリシー設定が有効になっているときにこのパラメーターを指定する場合は、グループ ポリシー設定と一致する必要があります。

このパラメーターを指定しない場合、既定値の 0、2、4、5、8、9、10、および 11 が使用されます。 既定のプラットフォーム検証プロファイルでは、次の要素への変更に対して暗号化キーがセキュリティで保護されます。

  • 測定の信頼のコア ルート (CRTM)
  • BIOS
  • プラットフォーム拡張機能 (PCR 0)
  • オプションの ROM コード (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)
  • マスター ブート レコード (MBR) パーティション テーブル (PCR 5)
  • NTFS ブート セクター (PCR 8)
  • NTFS ブート ブロック (PCR 9)
  • ブート マネージャー (PCR 10)
  • BitLocker アクセス制御 (PCR 11)

コンピューターのセキュリティを確保するために、既定のプロファイルをお勧めします。 初期のスタートアップ構成の変更に対する保護を強化するために、PCR 0、1、2、3、4、5、8、9、10、11 のプロファイルを使用します。 統合拡張ファームウェア インターフェイス (UEFI)ベースのコンピューターでは、既定では PCR 5 は使用されません。

既定のプロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外に応じて増減されます。 BitLocker 保護を有効にするには、プラットフォーム検証プロファイルに PCR 11 が含まれている必要があります。

説明
0
 測定の信頼のコア ルート (CRTM)、BIOS、プラットフォーム拡張機能
1
 プラットフォームとマザーボードの構成とデータ
2
 オプション ROM コード
3
 オプション ROM の構成とデータ
4
 マスター ブート レコード (MBR) コード
5
 マスター ブート レコード (MBR) パーティション テーブル
6
 状態遷移とウェイク イベント
7
 コンピューターのManufacturer-Specific
8
 NTFS ブート セクター
9
 NTFS ブート ブロック
10
 ブート マネージャー
11
 BitLocker Access Control
12
 静的オペレーティング システムで使用するために定義されます
13
 静的オペレーティング システムで使用するために定義されます
14
 静的オペレーティング システムで使用するために定義されます
15
 静的オペレーティング システムで使用するために定義されます
16
 デバッグに使用されます
17
 動的 CRTM
18
 プラットフォームが定義されている
19
 信頼できるオペレーティング システムで使用されます
20
 信頼できるオペレーティング システムで使用されます
21
 信頼できるオペレーティング システムで使用されます
22
 信頼できるオペレーティング システムで使用されます
23
 アプリケーション サポート

 

PIN [入力]

型: string

ユーザー指定の個人識別文字列。 この文字列は、6 ~ 20 桁のシーケンスで構成されている必要があります。または、"スタートアップに拡張 PIN を許可する" グループ ポリシーが有効になっている場合は、6 ~ 20 文字、記号、スペース、または数字が必要です。

VolumeKeyProtectorID [out]

型: string

暗号化されたボリューム キー保護機能を管理するために使用される更新された一意の文字列識別子。

ドライブがハードウェア暗号化をサポートしていて、BitLocker がバンド所有権を取得していない場合、ID 文字列は "BitLocker" に設定され、キー保護機能はバンドごとのメタデータに書き込まれます。

戻り値

型: uint32

このメソッドは、次のいずれかのコードまたは失敗した場合に別のエラー コードを返します。

リターン コード/値 説明
S_OK
0 (0x0)
 メソッドは正常に実行されました。
E_INVALIDARG
2147942487 (0x80070057)
 PlatformValidationProfile パラメーターが指定されていますが、その値が既知の範囲内にないか、現在有効なグループ ポリシー設定と一致しません。
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 起動可能な CD/DVD がこのコンピューターにあります。 CD/DVD を削除し、コンピューターを再起動します。
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 ボリュームに現在実行中のオペレーティング システムが含まれていないため、TPM はボリュームの暗号化キーをセキュリティで保護できません。
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
 NewPIN パラメーターには、無効な文字が含まれています。 [スタートアップに拡張 PIN を許可する] グループ ポリシーが無効になっている場合は、数値のみがサポートされます。
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 ボリュームがロックされています。
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
 指定された NewPIN パラメーターは、20 文字より長い、6 文字より短い、またはグループ ポリシーで指定された最小長より短いのいずれかです。
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 この型のキー 保護機能は既に存在します。
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 このコンピューターに互換性のある TPM が見つかりません。

 

セキュリティに関する考慮事項

コンピューターのセキュリティを確保するために、既定のプロファイルをお勧めします。 初期のスタートアップ コードの変更に対する保護を強化するために、PCR 0、2、4、5、8、9、10、および 11 のプロファイルを使用します。 初期のスタートアップ構成の変更に対する保護を強化するために、PCR 0、1、2、3、4、5、8、9、10、11 のプロファイルを使用します。

既定のプロファイルから変更すると、コンピューターのセキュリティまたは使いやすさに影響します。

解説

ボリュームに対して、"TPM および PIN" 型のキー 保護機能は、最大 1 つまでいつでも存在できます。 既存の "TPM And PIN" キー保護機能で使用される表示名またはプラットフォーム検証プロファイルを変更する場合は、まず既存のキー保護機能を削除してから ProtectKeyWithTPMAndPIN を呼び出して新しいキープロテクタを作成する必要があります。

ボリュームの暗号化キーへのアクセスを取得できない回復シナリオでボリュームのロックを解除するには、追加のキー保護機能を指定する必要があります。たとえば、TPM がプラットフォーム検証プロファイルに対して正常に検証できない場合や、PIN が失われた場合などです。

ProtectKeyWithExternalKey または ProtectKeyWithNumericalPassword を使用して、ロックされていないボリュームを回復するための 1 つ以上のキー 保護機能を作成します。

"TPM" 型のキー プロテクタと型 "TPM と PIN" の両方を持つことは可能ですが、"TPM" キー 保護機能の種類が存在すると、他の TPM ベースのキー 保護機能の効果は無効になります。

マネージド オブジェクト形式 (MOF) ファイルには、Windows Management Instrumentation (WMI) クラスの定義が含まれています。 MOF ファイルは、Windows SDK の一部としてインストールされません。 サーバー マネージャーを使用して関連付けられたロールを追加すると、サーバーにインストールされます。 MOF ファイルの詳細については、「 マネージド オブジェクト形式 (MOF)」を参照してください。

要件

要件
サポートされている最小のクライアント
 Windows Vista Enterprise、Windows Vista Ultimate [デスクトップ アプリのみ]
サポートされている最小のサーバー
 Windows Server 2008 [デスクトップ アプリのみ]
名前空間
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

関連項目

Win32_EncryptableVolume

Win32_Tpm