Compartilhar via

Método ProtectKeyWithTPMAndPINAndStartupKey da classe Win32_EncryptableVolume

  • Artigo

O método ProtectKeyWithTPMAndPINAndStartupKey da classe Win32_EncryptableVolume protege a chave de criptografia do volume usando o TPM (Trusted Platform Module) no computador, se disponível, aprimorado por um PIN (número de identificação pessoal) especificado pelo usuário e por uma chave externa que deve ser apresentada ao computador na inicialização.

Três fatores de autenticação são necessários para desbloquear o conteúdo criptografado do volume:

  1. Validação pelo TPM
  2. Entrada de um PIN de 4 a 20 dígitos ou, se a política de grupo "Permitir PINs avançados para inicialização" estiver habilitada, de 4 a 20 letras, símbolos, espaços ou números
  3. Entrada de um dispositivo de memória USB que contém a chave externa

Use o método SaveExternalKeyToFile para salvar essa chave externa em um arquivo em um dispositivo de memória USB para uso como uma chave de inicialização. Esse método se aplica somente ao volume do sistema operacional. Um protetor de chave do tipo "TPM E PIN e chave de inicialização" é criado.

Sintaxe

uint32 ProtectKeyWithTPMAndPINAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile,
  [in]           string PIN,
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

Parâmetros

FriendlyName [in, opcional]

Tipo: cadeia de caracteres

Uma cadeia de caracteres que rotula esse protetor de chave. Se esse parâmetro não for especificado, um valor em branco será usado.

PlatformValidationProfile [in, opcional]

Tipo: uint8

Uma matriz de inteiros que especifica como o TPM do computador protege a chave de criptografia do volume. Um perfil de validação de plataforma consiste em um conjunto de índices de PCR (Registro de Configuração de Plataforma) que variam de 0 a 23, inclusive. Os valores de repetição no parâmetro são ignorados. Cada índice PCR é associado aos serviços executados quando o sistema operacional é iniciado. Sempre que o computador for iniciado, o TPM marcar que os serviços especificados no perfil de validação da plataforma não tenham sido alterados. Se qualquer um desses serviços mudar enquanto a proteção do BitLocker permanecer ativada, o TPM não liberará a chave de criptografia para desbloquear o volume e o computador entrará no modo de recuperação.

Se esse parâmetro não for especificado, os índices padrão de 0, 2, 4, 5, 8, 9, 10 e 11 serão usados. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações na CRTM (Raiz Principal de Confiança de Medida), BIOS e Extensões de Plataforma (PCR 0), Código DE Opção ROM (PCR 2), Código MBR (Registro Mestre de Inicialização) (PCR 4), Tabela de Partição de Registro de Inicialização Mestre (MBR) (PCR 5), Setor de Inicialização NTFS (PCR 8), Bloco de Inicialização NTFS (PCR 9), o Gerenciador de Inicialização (PCR 10) e o Controle de Acesso do BitLocker (PCR 11). Os computadores baseados em UEFI (Unified Extensible Firmware Interface) não usam o PCR 5 por padrão.

O perfil de validação de plataforma padrão é recomendado. Para proteção adicional contra alterações de configuração de inicialização antecipadas, use um perfil de PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

A alteração do perfil padrão afeta a segurança e a capacidade de gerenciamento do computador. A sensibilidade do BitLocker às modificações de plataforma (mal-intencionadas ou autorizadas) é aumentada ou reduzida dependendo da inclusão ou exclusão, respectivamente, dos PCRs. Para que a proteção do BitLocker seja habilitada, o perfil de validação da plataforma deve incluir o PCR 11.

Valor Significado
0
 Raiz principal da confiança de medida (CRTM), BIOS e extensões de plataforma
1
 Configuração e dados da plataforma e da placa-mãe
2
 Código ROM de opção
3
 Configuração e dados de ROM de opção
4
 Código MBR (registro de inicialização mestre)
5
 Tabela de partição MBR (Registro mestre de inicialização)
6
 Eventos de transição e ativação de estado
7
 Computador Manufacturer-Specific
8
 Setor de Inicialização do NTFS
9
 Bloco de Inicialização NTFS
10
 Gerenciador de Inicialização
11
 Controle de Acesso do BitLocker
12
 Definido para uso pelo sistema operacional estático
13
 Definido para uso pelo sistema operacional estático
14
 Definido para uso pelo sistema operacional estático
15
 Definido para uso pelo sistema operacional estático
16
 Usado para depuração
17
 CRTM dinâmico
18
 Plataforma definida
19
 Usado por um sistema operacional confiável
20
 Usado por um sistema operacional confiável
21
 Usado por um sistema operacional confiável
22
 Usado por um sistema operacional confiável
23
 Suporte a aplicativos

 

PIN [in]

Tipo: cadeia de caracteres

Contém um PIN (número de identificação pessoal) de 4 a 20 dígitos ou, se a política de grupo "Permitir PINs avançados para inicialização" estiver habilitada, 4 e 20 letras, símbolos, espaços ou números. Essa cadeia de caracteres deve ser fornecida ao computador na inicialização.

ExternalKey [in, opcional]

Tipo: uint8[]

Uma matriz de bytes que especifica a chave externa de 256 bits usada para desbloquear o volume quando o computador é iniciado. Deixe esse parâmetro em branco para gerar aleatoriamente a chave externa. Use o método GetKeyProtectorExternalKey para obter a chave gerada aleatoriamente.

VolumeKeyProtectorID [out]

Tipo: cadeia de caracteres

O identificador de cadeia de caracteres exclusivo atualizado usado para gerenciar um protetor de chave de volume criptografado.

Se a unidade der suporte à criptografia de hardware e o BitLocker não tiver tomado a propriedade da banda, a cadeia de caracteres de ID será definida como "BitLocker" e o protetor de chave será gravado por metadados de banda.

Valor retornado

Tipo: uint32

Esse método retornará um dos códigos a seguir ou outro código de erro se falhar.

Retornar código/valor Descrição
S_OK
0 (0x0)
 O método foi bem-sucedido.
E_INVALIDARG
2147942487 (0x80070057)
 O parâmetro PlatformValidationProfile é fornecido, mas seus valores não estão dentro do intervalo conhecido ou não corresponde à configuração de Política de Grupo que está atualmente em vigor.
O parâmetro ExternalKey é fornecido, mas não é uma matriz de tamanho 32.
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 Um CD/DVD inicializável é encontrado neste computador. Remova o CD/DVD e reinicie o computador.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 O TPM não pode proteger a chave de criptografia do volume porque o volume não contém o sistema operacional em execução no momento.
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
 O parâmetro NewPIN contém caracteres que não são válidos. Quando o Política de Grupo "Permitir PINs avançados para inicialização" estiver desabilitado, somente números serão suportados.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 O volume está bloqueado.
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
 O parâmetro NewPIN fornecido é maior que 20 caracteres, menor que 4 caracteres ou menor que o comprimento mínimo especificado por Política de Grupo.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 Um protetor de chave desse tipo já existe.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 Nenhum TPM compatível é encontrado neste computador.

 

Comentários

No máximo, um protetor de chave do tipo "TPM e PIN e chave de inicialização" pode existir para um volume a qualquer momento. Se você quiser alterar o nome de exibição ou o perfil de validação da plataforma usado por um protetor de chave "TPM e PIN e chave de inicialização" existente, primeiro remova o protetor de chave existente e, em seguida, chame ProtectKeyWithTPMAndPINAndStartupKey para criar um novo.

Protetores de chave adicionais devem ser especificados para desbloquear o volume em cenários de recuperação em que o acesso à chave de criptografia do volume não pode ser obtido; por exemplo, quando o TPM não consegue validar com êxito o perfil de validação da plataforma ou quando o PIN é perdido. Use ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword para criar um ou mais protetores de chave para recuperar um volume bloqueado de outra forma.

Embora seja possível ter um protetor de chave do tipo "TPM" e outro do tipo "TPM E PIN e chave de inicialização", a presença do tipo protetor de chave "TPM" nega os efeitos de outros protetores de chave baseados em TPM.

Os arquivos MOF (Managed Object Format) contêm as definições para classes WMI (Instrumentação de Gerenciamento do Windows). Os arquivos MOF não são instalados como parte do SDK do Windows. Eles são instalados no servidor quando você adiciona a função associada usando o Gerenciador do Servidor. Para obter mais informações sobre arquivos MOF, consulte MOF (Managed Object Format).

Requisitos

Requisito Valor
Cliente mínimo com suporte
 Windows Vista Enterprise com SP1, Windows Vista Ultimate com SP1 [somente aplicativos da área de trabalho]
Servidor mínimo com suporte
 Windows Server 2008 [somente aplicativos da área de trabalho]
Namespace
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Confira também

Win32_EncryptableVolume