다음을 통해 공유


Win32_EncryptableVolume 클래스의 ProtectKeyWithTPMAndStartupKey 메서드

Win32_EncryptableVolume 클래스의 ProtectKeyWithTPMAndStartupKey 메서드는 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어를 사용하여 볼륨의 암호화 키를 보호합니다(사용 가능한 경우 시작 시 컴퓨터에 제공해야 하는 외부 키로 향상됨).

볼륨의 암호화 키에 액세스하고 볼륨 콘텐츠의 잠금을 해제하려면 TPM의 유효성 검사와 외부 키가 포함된 USB 메모리 디바이스의 입력이 모두 필요합니다. SaveExternalKeyToFile 메서드를 사용하여 이 외부 키를 USB 메모리 디바이스의 파일에 저장하여 시작 키로 사용합니다.

이 메서드는 현재 실행 중인 운영 체제를 포함하는 볼륨에만 적용됩니다.

볼륨에 대해 "TPM 및 시작 키" 형식의 키 보호기가 만들어집니다(아직 없는 경우).

구문

uint32 ProtectKeyWithTPMAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

매개 변수

FriendlyName [in, optional]

형식: 문자열

이 키 보호기용 사용자 할당 문자열 식별자입니다. 이 매개 변수를 지정하지 않으면 빈 값이 사용됩니다.

PlatformValidationProfile [in, optional]

형식: uint8[]

컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어가 디스크 볼륨의 암호화 키를 보호하는 방법을 지정하는 정수 배열입니다.

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 세트로 구성됩니다. 매개 변수의 반복 값은 무시됩니다. 각 PCR 인덱스는 운영 체제가 시작될 때 실행되는 서비스와 연결됩니다. 컴퓨터가 시작될 때마다 TPM은 플랫폼 유효성 검사 프로필에 지정한 서비스가 변경되지 않았다는 것을 검사. BDE(BitLocker 드라이브 암호화) 보호가 유지되는 동안 이러한 서비스가 변경되면 TPM은 디스크 볼륨의 잠금을 해제하기 위해 암호화 키를 해제하지 않고 컴퓨터가 복구 모드로 전환됩니다.

해당 그룹 정책 설정을 사용하는 동안 이 매개 변수를 지정한 경우 그룹 정책 설정과 일치해야 합니다.

이 매개 변수를 지정하지 않으면 기본값인 0, 2, 4, 5, 8, 9, 10 및 11이 사용됩니다. 기본 플랫폼 유효성 검사 프로필은 다음 요소의 변경 내용에 대해 암호화 키를 보호합니다.

  • CRTM(핵심 측정 신뢰 루트)
  • BIOS
  • 플랫폼 확장(PCR 0)
  • 옵션 ROM 코드(PCR 2)
  • MBR(마스터 부팅 레코드) 코드(PCR 4)
  • MBR(마스터 부팅 레코드) 파티션 테이블(PCR 5)
  • NTFS 부팅 섹터(PCR 8)
  • NTFS 부팅 블록(PCR 9)
  • 부팅 관리자(PCR 10)
  • BitLocker Access Control(PCR 11)

컴퓨터 보안을 위해 기본 프로필을 사용하는 것이 좋습니다. 초기 시작 구성 변경에 대한 추가 보호를 위해 PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11 프로필을 사용합니다. UEFI(Unified Extensible Firmware Interface) 기반 컴퓨터는 기본적으로 PCR 5를 사용하지 않습니다.

기본 프로필에서 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정(악성 또는 권한 부여)에 대한 BitLocker의 민감도는 PCR의 포함 또는 제외에 따라 각각 증가하거나 감소합니다. BitLocker 보호를 사용하도록 설정하려면 플랫폼 유효성 검사 프로필에 PCR 11이 포함되어야 합니다.

의미
0
CRTM(핵심 측정 신뢰 루트), BIOS 및 플랫폼 확장
1
플랫폼 및 마더보드 구성 및 데이터
2
옵션 ROM 코드
3
옵션 ROM 구성 및 데이터
4
MBR(마스터 부팅 레코드) 코드
5
MBR(마스터 부팅 레코드) 파티션 테이블
6
상태 전환 및 절전 모드 해제 이벤트
7
컴퓨터 Manufacturer-Specific
8
NTFS 부팅 섹터
9
NTFS 부팅 블록
10
부팅 관리자
11
BitLocker Access Control
12
정적 운영 체제에서 사용하도록 정의됨
13
정적 운영 체제에서 사용하도록 정의됨
14
정적 운영 체제에서 사용하도록 정의됨
15
정적 운영 체제에서 사용하도록 정의됨
16
디버깅에 사용됨
17
동적 CRTM
18
플랫폼 정의
19
신뢰할 수 있는 운영 체제에서 사용
20
신뢰할 수 있는 운영 체제에서 사용
21
신뢰할 수 있는 운영 체제에서 사용
22
신뢰할 수 있는 운영 체제에서 사용
23
애플리케이션 지원

 

ExternalKey [in, optional]

형식: uint8[]

컴퓨터가 시작될 때 볼륨의 잠금을 해제하는 데 사용되는 256비트 외부 키를 지정하는 바이트 배열입니다.

외부 키를 지정하지 않으면 임의로 생성됩니다. GetKeyProtectorExternalKey 메서드를 사용하여 임의로 생성된 키를 가져옵니다.

VolumeKeyProtectorID [out]

형식: 문자열

키 보호기를 관리하는 데 사용할 수 있는 생성된 키 보호기와 연결된 고유 식별자인 문자열입니다.

드라이브가 하드웨어 암호화를 지원하고 BitLocker가 대역 소유권을 가져오지 않은 경우 ID 문자열은 "BitLocker"로 설정되고 키 보호기는 대역 메타데이터당 에 기록됩니다.

반환 값

형식: uint32

이 메서드는 다음 코드 중 하나 또는 실패할 경우 다른 오류 코드 중 하나를 반환합니다.

반환 코드/값 Description
S_OK
0(0x0)
메서드를 성공적으로 수행했습니다.
FVE_E_LOCKED_VOLUME
2150694912(0x80310000)
볼륨이 잠겨 있습니다.
TBS_E_SERVICE_NOT_RUNNING
2150121480(0x80284008)
이 컴퓨터에서 호환되는 TPM을 찾을 수 없습니다.
FVE_E_FOREIGN_VOLUME
2150694947(0x80310023)
볼륨에 현재 실행 중인 운영 체제가 없기 때문에 TPM에서 볼륨의 암호화 키를 보호할 수 없습니다.
E_INVALIDARG
2147942487(0x80070057)
PlatformValidationProfile 매개 변수가 제공되지만 해당 값이 알려진 범위 내에 있지 않거나 현재 적용되는 그룹 정책 설정과 일치하지 않습니다.
ExternalKey 매개 변수가 제공되지만 크기가 32인 배열은 아닙니다.
FVE_E_BOOTABLE_CDDVD
2150694960(0x80310030)
이 컴퓨터에서 부팅 가능한 CD/DVD를 찾을 수 있습니다. CD/DVD를 제거하고 컴퓨터를 다시 시작합니다.
FVE_E_PROTECTOR_EXISTS
2150694961(0x80310031)
이 형식의 키 보호기가 이미 있습니다.

 

보안 고려 사항

컴퓨터의 보안을 위해 기본 프로필을 사용하는 것이 좋습니다. 초기 시작 코드 변경에 대한 추가 보호를 위해 PCR 0, 2, 4, 5, 8, 9, 10 및 11 프로필을 사용합니다. 초기 시작 구성 변경에 대한 추가 보호를 위해 PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11 프로필을 사용합니다.

기본 프로필에서 변경하면 컴퓨터의 보안 또는 유용성에 영향을 줍니다.

설명

언제든지 볼륨에 대해 "TPM 및 시작 키" 형식의 키 보호기가 하나 이상 존재할 수 있습니다. 기존 "TPM 및 시작 키" 키 보호기에서 사용하는 표시 이름 또는 플랫폼 유효성 검사 프로필을 변경하려면 먼저 기존 키 보호기를 제거한 다음 ProtectKeyWithTPMAndStartupKey 를 호출하여 새 키 보호기를 만들어야 합니다. 볼륨의 암호화 키에 대한 액세스를 가져올 수 없는 복구 시나리오에서 볼륨의 잠금을 해제하려면 추가 키 보호기를 지정해야 합니다. 예를 들어 TPM이 플랫폼 유효성 검사 프로필에 대해 유효성을 성공적으로 검사할 수 없거나 외부 키가 포함된 USB 메모리가 손실된 경우입니다.

ProtectKeyWithExternalKey 또는 ProtectKeyWithNumericalPassword를 사용하여 잠긴 볼륨을 복구하기 위한 하나 이상의 키 보호기를 만듭니다.

"TPM" 형식의 키 보호기와 "TPM 및 시작 키" 형식의 다른 키 보호기를 둘 다 가질 수 있지만 "TPM" 키 보호기 형식이 있으면 다른 TPM 기반 키 보호기의 효과가 무효화됩니다.

MOF(Managed Object Format) 파일에는 WMI(Windows Management Instrumentation) 클래스에 대한 정의가 포함되어 있습니다. MOF 파일은 Windows SDK의 일부로 설치되지 않습니다. 서버 관리자 사용하여 연결된 역할을 추가할 때 서버에 설치됩니다. MOF 파일에 대한 자세한 내용은 MOF(관리 개체 형식)를 참조하세요.

요구 사항

요구 사항
지원되는 최소 클라이언트
Windows Vista Enterprise, Windows Vista Ultimate [데스크톱 앱만 해당]
지원되는 최소 서버
Windows Server 2008 [데스크톱 앱만 해당]
네임스페이스
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

추가 정보

Win32_EncryptableVolume

Win32_Tpm