Win32_EncryptableVolume 클래스의 ProtectKeyWithTPMAndPINAndStartupKey 메서드
Win32_EncryptableVolume 클래스의 ProtectKeyWithTPMAndPINAndStartupKey 메서드는 컴퓨터에서 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하여 볼륨의 암호화 키를 보호합니다(사용 가능한 경우 사용자 지정 PIN)와 시작 시 컴퓨터에 제공해야 하는 외부 키로 향상됩니다.
볼륨의 암호화된 콘텐츠를 잠금 해제하려면 다음 세 가지 인증 요소가 필요합니다.
- TPM에 의한 유효성 검사
- 4~20자리 PIN을 입력하거나 "시작에 향상된 PIN 허용" 그룹 정책을 사용하는 경우 4~20자, 기호, 공백 또는 숫자 입력
- 외부 키가 포함된 USB 메모리 디바이스의 입력
SaveExternalKeyToFile 메서드를 사용하여 이 외부 키를 시작 키로 사용하기 위해 USB 메모리 디바이스의 파일에 저장합니다. 이 메서드는 운영 체제 볼륨에만 적용됩니다. "TPM 및 PIN 및 시작 키" 형식의 키 보호기가 만들어집니다.
구문
uint32 ProtectKeyWithTPMAndPINAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile,
[in] string PIN,
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
매개 변수
-
FriendlyName [in, optional]
-
형식: 문자열
이 키 보호기 레이블을 지정하는 문자열입니다. 이 매개 변수를 지정하지 않으면 빈 값이 사용됩니다.
-
PlatformValidationProfile [in, optional]
-
형식: uint8
컴퓨터의 TPM이 볼륨의 암호화 키를 보호하는 방법을 지정하는 정수 배열입니다. 플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 집합으로 구성됩니다. 매개 변수의 반복 값은 무시됩니다. 각 PCR 인덱스는 운영 체제가 시작될 때 실행되는 서비스와 연결됩니다. 컴퓨터가 시작될 때마다 TPM은 플랫폼 유효성 검사 프로필에 지정한 서비스가 변경되지 않은지 검사. BitLocker 보호가 켜져 있는 동안 이러한 서비스가 변경되면 TPM은 볼륨의 잠금을 해제하기 위해 암호화 키를 해제하지 않고 컴퓨터가 복구 모드로 전환됩니다.
이 매개 변수를 지정하지 않으면 0, 2, 4, 5, 8, 9, 10 및 11의 기본 인덱스가 사용됩니다. 기본 플랫폼 유효성 검사 프로필은 CRTM(핵심 CRTM), BIOS 및 플랫폼 확장(PCR 0), 옵션 ROM 코드(PCR 2), MBR(마스터 부팅 레코드) 코드(PCR 4), MBR(마스터 부팅 레코드) 파티션 테이블(PCR 5), NTFS 부팅 섹터(PCR 8), NTFS 부팅 블록(PCR 9) 변경에 대해 암호화 키를 보호합니다. 부팅 관리자(PCR 10) 및 BitLocker Access Control(PCR 11). UEFI(Unified Extensible Firmware Interface) 기반 컴퓨터는 기본적으로 PCR 5를 사용하지 않습니다.
기본 플랫폼 유효성 검사 프로필을 사용하는 것이 좋습니다. 초기 시작 구성 변경에 대한 추가 보호를 위해 PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11 프로필을 사용합니다.
기본 프로필을 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정에 대한 BitLocker의 민감도(악성 또는 권한 부여)는 PCR의 포함 또는 제외에 따라 각각 증가하거나 감소합니다. BitLocker 보호를 사용하도록 설정하려면 플랫폼 유효성 검사 프로필에 PCR 11이 포함되어야 합니다.
값 의미 - 0
CRTM(핵심 측정 신뢰 루트), BIOS 및 플랫폼 확장 - 1
플랫폼 및 마더보드 구성 및 데이터 - 2
옵션 ROM 코드 - 3
옵션 ROM 구성 및 데이터 - 4
MBR(마스터 부팅 레코드) 코드 - 5
MBR(마스터 부팅 레코드) 파티션 테이블 - 6
상태 전환 및 절전 모드 해제 이벤트 - 7
컴퓨터 Manufacturer-Specific - 8
NTFS 부팅 섹터 - 9
NTFS 부팅 블록 - 10
부팅 관리자 - 11
BitLocker Access Control - 12
정적 운영 체제에서 사용하도록 정의됨 - 13
정적 운영 체제에서 사용하도록 정의됨 - 14
정적 운영 체제에서 사용하도록 정의됨 - 15
정적 운영 체제에서 사용하도록 정의됨 - 16
디버깅에 사용됨 - 17
동적 CRTM - 18
플랫폼 정의 - 19
신뢰할 수 있는 운영 체제에서 사용 - 20
신뢰할 수 있는 운영 체제에서 사용 - 21
신뢰할 수 있는 운영 체제에서 사용 - 22
신뢰할 수 있는 운영 체제에서 사용 - 23
애플리케이션 지원 -
PIN [in]
-
형식: 문자열
4~20자리 PIN(개인 식별 번호) 또는 "시작에 향상된 PIN 허용" 그룹 정책을 사용하는 경우 4자 및 20자, 기호, 공백 또는 숫자를 포함합니다. 이 문자열은 시작할 때 컴퓨터에 제공해야 합니다.
-
ExternalKey [in, optional]
-
형식: uint8[]
컴퓨터가 시작될 때 볼륨의 잠금을 해제하는 데 사용되는 256비트 외부 키를 지정하는 바이트 배열입니다. 외부 키를 임의로 생성하려면 이 매개 변수를 비워 둡니다. GetKeyProtectorExternalKey 메서드를 사용하여 임의로 생성된 키를 가져옵니다.
-
VolumeKeyProtectorID [out]
-
형식: 문자열
암호화된 볼륨 키 보호기를 관리하는 데 사용되는 업데이트된 고유 문자열 식별자입니다.
드라이브가 하드웨어 암호화를 지원하고 BitLocker가 대역 소유권을 가져오지 않은 경우 ID 문자열은 "BitLocker"로 설정되고 키 보호기는 대역별 메타데이터에 기록됩니다.
반환 값
형식: uint32
이 메서드는 다음 코드 중 하나 또는 실패할 경우 다른 오류 코드 중 하나를 반환합니다.
반환 코드/값 | 설명 |
---|---|
|
메서드를 성공적으로 수행했습니다. |
|
PlatformValidationProfile 매개 변수가 제공되지만 해당 값이 알려진 범위 내에 있지 않거나 현재 적용되는 그룹 정책 설정과 일치하지 않습니다. ExternalKey 매개 변수가 제공되지만 크기가 32인 배열은 아닙니다. |
|
부팅 가능한 CD/DVD가 이 컴퓨터에 있습니다. CD/DVD를 제거하고 컴퓨터를 다시 시작합니다. |
|
볼륨에 현재 실행 중인 운영 체제가 없기 때문에 TPM에서 볼륨의 암호화 키를 보호할 수 없습니다. |
|
NewPIN 매개 변수에는 유효하지 않은 문자가 포함되어 있습니다. "시작에 향상된 PIN 허용" 그룹 정책 사용하지 않도록 설정되면 숫자만 지원됩니다. |
|
볼륨이 잠겨 있습니다. |
|
제공된 NewPIN 매개 변수는 20자보다 길거나 4자보다 짧거나 그룹 정책 지정된 최소 길이보다 짧습니다. |
|
이 유형의 키 보호기가 이미 있습니다. |
|
이 컴퓨터에서 호환되는 TPM을 찾을 수 없습니다. |
설명
"TPM 및 PIN 및 시작 키" 형식의 최대 하나의 키 보호기는 언제든지 볼륨에 존재할 수 있습니다. 기존 "TPM 및 PIN 및 시작 키" 키 보호기에서 사용하는 표시 이름 또는 플랫폼 유효성 검사 프로필을 변경하려면 먼저 기존 키 보호기를 제거한 다음 ProtectKeyWithTPMAndPINAndStartupKey 를 호출하여 새 키 보호기를 만들어야 합니다.
볼륨의 암호화 키에 대한 액세스를 가져올 수 없는 복구 시나리오에서 볼륨의 잠금을 해제하려면 추가 키 보호기를 지정해야 합니다. 예를 들어 TPM이 플랫폼 유효성 검사 프로필에 대해 유효성을 검사할 수 없거나 PIN이 손실된 경우입니다. ProtectKeyWithExternalKey 또는 ProtectKeyWithNumericalPassword를 사용하여 잠긴 볼륨을 복구하기 위한 하나 이상의 키 보호기를 만듭니다.
"TPM" 형식의 키 보호기와 다른 형식의 "TPM 및 PIN 및 시작 키"를 둘 다 가질 수 있지만 "TPM" 키 보호기 형식이 있으면 다른 TPM 기반 키 보호기의 효과가 무효화됩니다.
MOF(Managed Object Format) 파일에는 WMI(Windows Management Instrumentation) 클래스에 대한 정의가 포함되어 있습니다. MOF 파일은 Windows SDK의 일부로 설치되지 않습니다. 서버 관리자 사용하여 연결된 역할을 추가할 때 서버에 설치됩니다. MOF 파일에 대한 자세한 내용은 MOF(관리 개체 형식)를 참조하세요.
요구 사항
요구 사항 | 값 |
---|---|
지원되는 최소 클라이언트 |
Windows Vista Enterprise SP1, Windows Vista Ultimate sp1 포함 [데스크톱 앱만 해당] |
지원되는 최소 서버 |
Windows Server 2008 [데스크톱 앱만 해당] |
네임스페이스 |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
MOF |
|
추가 정보