次の方法で共有

Win32_EncryptableVolume クラスの ProtectKeyWithTPMAndPINAndStartupKey メソッド

  • [アーティクル]

Win32_EncryptableVolume クラスの ProtectKeyWithTPMAndPINAndStartupKey メソッドは、コンピューター上のトラステッド プラットフォーム モジュール (TPM) を使用してボリュームの暗号化キーをセキュリティで保護します 。使用可能な場合は、ユーザー指定の個人識別番号 (PIN) と起動時にコンピューターに提示する必要がある外部キーの両方によって拡張されます。

ボリュームの暗号化されたコンテンツのロックを解除するには、次の 3 つの認証要素が必要です。

  1. TPM による検証
  2. 4 ~ 20 桁の PIN の入力、または "スタートアップに拡張 PIN を許可する" グループ ポリシーが有効になっている場合は、4 ~ 20 文字、記号、スペース、または数字を入力します。
  3. 外部キーを含む USB メモリ デバイスの入力

SaveExternalKeyToFile メソッドを使用して、スタートアップ キーとして使用するために、USB メモリ デバイス上のファイルにこの外部キーを保存します。 このメソッドは、オペレーティング システム ボリュームにのみ適用されます。 "TPM と PIN とスタートアップ キー" の種類のキー保護機能が作成されます。

構文

uint32 ProtectKeyWithTPMAndPINAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile,
  [in]           string PIN,
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

パラメーター

FriendlyName [in, optional]

型: string

このキー保護機能にラベルを付ける文字列。 このパラメーターを指定しない場合は、空白の値が使用されます。

PlatformValidationProfile [in, optional]

型: uint8

コンピューターの TPM がボリュームの暗号化キーをセキュリティで保護する方法を指定する整数の配列。 プラットフォーム検証プロファイルは、0 から 23 までのプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。 パラメーター内の繰り返し値は無視されます。 各 PCR インデックスは、オペレーティング システムの起動時に実行されるサービスに関連付けられます。 コンピューターが起動するたびに、TPM はプラットフォーム検証プロファイルで指定したサービスが変更されていないことをチェックします。 BitLocker 保護がオンの間にこれらのサービスのいずれかが変更された場合、TPM はボリュームのロックを解除するための暗号化キーを解放せず、コンピューターは回復モードになります。

このパラメーターを指定しない場合、0、2、4、5、8、9、10、および 11 の既定のインデックスが使用されます。 既定のプラットフォーム検証プロファイルでは、測定の信頼のコア ルート (CRTM)、BIOS、プラットフォーム拡張機能 (PCR 0)、オプション ROM コード (PCR 2)、マスター ブート レコード (MBR) コード (PCR 4)、マスター ブート レコード (MBR) パーティション テーブル (PCR 5)、NTFS ブート セクター (PCR 8)、NTFS ブート ブロック (PCR 9) の変更に対して暗号化キーをセキュリティで保護します。 ブート マネージャー (PCR 10)、BitLocker Access Control (PCR 11)。 統合拡張ファームウェア インターフェイス (UEFI) ベースのコンピューターでは、既定では PCR 5 は使用されません。

既定のプラットフォーム検証プロファイルをお勧めします。 初期のスタートアップ構成の変更に対する保護を強化するために、PCR 0、1、2、3、4、5、8、9、10、11 のプロファイルを使用します。

既定のプロファイルを変更すると、コンピューターのセキュリティと管理容易性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の秘密度は、PCR の包含または除外に応じて、それぞれ増加または減少します。 BitLocker 保護を有効にするには、プラットフォーム検証プロファイルに PCR 11 が含まれている必要があります。

説明
0
 測定の信頼のコア ルート (CRTM)、BIOS、プラットフォーム拡張機能
1
 プラットフォームとマザーボードの構成とデータ
2
 オプション ROM コード
3
 オプション ROM の構成とデータ
4
 マスター ブート レコード (MBR) コード
5
 マスター ブート レコード (MBR) パーティション テーブル
6
 状態遷移イベントとウェイク イベント
7
 コンピューターのManufacturer-Specific
8
 NTFS ブート セクター
9
 NTFS ブート ブロック
10
 ブート マネージャー
11
 BitLocker Access Control
12
 静的オペレーティング システムで使用するために定義されている
13
 静的オペレーティング システムで使用するために定義されている
14
 静的オペレーティング システムで使用するために定義されている
15
 静的オペレーティング システムで使用するために定義されている
16
 デバッグに使用されます
17
 動的 CRTM
18
 プラットフォームの定義
19
 信頼されたオペレーティング システムによって使用されます
20
 信頼されたオペレーティング システムによって使用されます
21
 信頼されたオペレーティング システムによって使用されます
22
 信頼されたオペレーティング システムによって使用されます
23
 アプリケーション サポート

 

PIN [入力]

型: string

4 ~ 20 桁の個人識別番号 (PIN) が含まれます。または、[スタートアップに拡張 PIN を許可する] グループ ポリシーが有効になっている場合は、4 文字と 20 文字、記号、スペース、または数字が含まれます。 この文字列は起動時にコンピューターに提供する必要があります。

ExternalKey [in, optional]

型: uint8[]

コンピューターの起動時にボリュームのロックを解除するために使用される 256 ビット外部キーを指定するバイト配列。 外部キーをランダムに生成するには、このパラメーターを空白のままにします。 ランダムに生成されたキーを取得するには、 GetKeyProtectorExternalKey メソッドを使用します。

VolumeKeyProtectorID [out]

型: string

暗号化されたボリューム キー保護機能の管理に使用される更新された一意の文字列識別子。

ドライブがハードウェア暗号化をサポートしていて、BitLocker がバンド所有権を取得していない場合、ID 文字列は "BitLocker" に設定され、キー保護機能はバンドごとのメタデータに書き込まれます。

戻り値

型: uint32

このメソッドは、次のいずれかのコードまたは失敗した場合に別のエラー コードを返します。

リターン コード/値 説明
S_OK
0 (0x0)
 メソッドは正常に実行されました。
E_INVALIDARG
2147942487 (0x80070057)
 PlatformValidationProfile パラメーターが指定されていますが、その値が既知の範囲内にありません。または、現在有効になっているグループ ポリシー設定と一致しません。
ExternalKey パラメーターは指定されていますが、サイズ 32 の配列ではありません。
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 起動可能な CD/DVD がこのコンピューターにあります。 CD/DVD を削除し、コンピューターを再起動します。
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 TPM は、ボリュームに現在実行中のオペレーティング システムが含まれていないため、ボリュームの暗号化キーをセキュリティで保護できません。
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
 NewPIN パラメーターには無効な文字が含まれています。 [スタートアップに拡張 PIN を許可する] グループ ポリシーが無効になっている場合は、数値のみがサポートされます。
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 ボリュームがロックされています。
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
 指定された NewPIN パラメーターは、20 文字より長い、4 文字未満、または グループ ポリシー で指定された最小長より短いのいずれかです。
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 この型のキー保護機能は既に存在します。
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 このコンピューターに互換性のある TPM が見つかりません。

 

解説

"TPM と PIN とスタートアップ キー" の種類のキー保護機能は、最大で 1 つでもボリュームに対していつでも存在できます。 既存の "TPM および PIN およびスタートアップ キー" キー保護機能で使用される表示名またはプラットフォーム検証プロファイルを変更する場合は、まず既存のキー保護機能を削除してから 、ProtectKeyWithTPMAndPINAndStartupKey を呼び出して新しいキーを作成する必要があります。

ボリュームの暗号化キーへのアクセスを取得できない回復シナリオでボリュームのロックを解除するには、追加のキー保護機能を指定する必要があります。たとえば、TPM がプラットフォーム検証プロファイルに対して正常に検証できない場合や、PIN が失われた場合などです。 ProtectKeyWithExternalKey または ProtectKeyWithNumericalPassword を使用して、ロックされているボリュームを回復するための 1 つ以上のキー保護機能を作成します。

型 "TPM" のキー保護機能と、"TPM および PIN およびスタートアップ キー" 型の両方を持つことができますが、"TPM" キー保護機能の種類が存在すると、他の TPM ベースのキー保護機能の効果が否定されます。

マネージド オブジェクト形式 (MOF) ファイルには、Windows Management Instrumentation (WMI) クラスの定義が含まれています。 MOF ファイルは、Windows SDK の一部としてインストールされません。 サーバー マネージャーを使用して関連付けられているロールを追加すると、サーバーにインストールされます。 MOF ファイルの詳細については、「 マネージド オブジェクト形式 (MOF)」を参照してください。

必要条件

要件
サポートされている最小のクライアント
 Windows Vista Enterprise with SP1、Windows Vista Ultimate with SP1 [デスクトップ アプリのみ]
サポートされている最小のサーバー
 Windows Server 2008 [デスクトップ アプリのみ]
名前空間
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

関連項目

Win32_EncryptableVolume