Método ProtectKeyWithTPMAndStartupKey da classe Win32_EncryptableVolume
O método ProtectKeyWithTPMAndStartupKey da classe Win32_EncryptableVolume protege a chave de criptografia do volume usando o Hardware de Segurança do TPM (Trusted Platform Module) no computador, se disponível, aprimorado por uma chave externa que deve ser apresentada ao computador na inicialização.
A validação pelo TPM e a entrada de um dispositivo de memória USB que contém a chave externa são necessárias para acessar a chave de criptografia do volume e desbloquear o conteúdo do volume. Use o método SaveExternalKeyToFile para salvar essa chave externa em um arquivo em um dispositivo de memória USB para uso como uma chave de inicialização.
Esse método só é aplicável para o volume que contém o sistema operacional em execução no momento.
Um protetor de chave do tipo "TPM e Chave de Inicialização" será criado para o volume, caso ainda não exista.
Sintaxe
uint32 ProtectKeyWithTPMAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Parâmetros
-
FriendlyName [in, opcional]
-
Tipo: cadeia de caracteres
Um identificador de cadeia de caracteres atribuído pelo usuário para esse protetor de chave. Se esse parâmetro não for especificado, um valor em branco será usado.
-
PlatformValidationProfile [in, opcional]
-
Tipo: uint8[]
Uma matriz de inteiros que especifica como o Hardware de Segurança do TPM (Trusted Platform Module) do computador protege a chave de criptografia do volume de disco.
Um perfil de validação de plataforma consiste em um conjunto de índices pcr (registro de configuração de plataforma) que variam de 0 a 23, inclusive. Os valores de repetição no parâmetro são ignorados. Cada índice PCR é associado aos serviços executados quando o sistema operacional é iniciado. Sempre que o computador for iniciado, o TPM marcar que os serviços especificados no perfil de validação da plataforma não foram alterados. Se qualquer um desses serviços for alterado enquanto a proteção BDE (Criptografia de Unidade de Disco BitLocker) permanecer ativada, o TPM não liberará a chave de criptografia para desbloquear o volume de disco e o computador entrará no modo de recuperação.
Se esse parâmetro for especificado enquanto a configuração de Política de Grupo correspondente tiver sido habilitada, ele deverá corresponder à configuração de Política de Grupo.
Se esse parâmetro não for especificado, o padrão de 0, 2, 4, 5, 8, 9, 10 e 11 será usado. O perfil de validação de plataforma padrão protege a chave de criptografia contra alterações nos seguintes elementos:
- Raiz principal de confiança de medida (CRTM)
- BIOS
- Extensões de plataforma (PCR 0)
- Código de ROM de opção (PCR 2)
- Código MBR (Registro Mestre de Inicialização) (PCR 4)
- Tabela de partição MBR (Registro Mestre de Inicialização) (PCR 5)
- Setor de inicialização do NTFS (PCR 8)
- Bloco de inicialização NTFS (PCR 9)
- Gerenciador de Inicialização (PCR 10)
- BitLocker Controle de Acesso (PCR 11)
Para a segurança do computador, recomendamos o perfil padrão. Para proteção adicional contra alterações de configuração de inicialização antecipada, use um perfil de PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Os computadores baseados em UEFI (Unified Extensible Firmware Interface) não usam PCR 5 por padrão.
A alteração do perfil padrão afeta a segurança e a capacidade de gerenciamento do computador. A sensibilidade do BitLocker às modificações da plataforma (mal-intencionadas ou autorizadas) é aumentada ou reduzida dependendo da inclusão ou exclusão, respectivamente, das PCRs. Para que a proteção do BitLocker seja habilitada, o perfil de validação da plataforma deve incluir PCR 11.
Valor Significado - 0
Raiz principal de crtm (confiança de medida), BIOS e extensões de plataforma - 1
Configuração e dados da plataforma e da placa-mãe - 2
Código de ROM de opção - 3
Configuração e dados do Option ROM - 4
Código MBR (Registro Mestre de Inicialização) - 5
Tabela de partição do registro mestre de inicialização (MBR) - 6
Eventos de transição e ativação de estado - 7
Manufacturer-Specific de computador - 8
Setor de inicialização do NTFS - 9
Bloco de inicialização NTFS - 10
Gerenciador de Inicialização - 11
Controle de Acesso do BitLocker - 12
Definido para uso pelo sistema operacional estático - 13
Definido para uso pelo sistema operacional estático - 14
Definido para uso pelo sistema operacional estático - 15
Definido para uso pelo sistema operacional estático - 16
Usado para depuração - 17
CRTM dinâmico - 18
Plataforma definida - 19
Usado por um sistema operacional confiável - 20
Usado por um sistema operacional confiável - 21
Usado por um sistema operacional confiável - 22
Usado por um sistema operacional confiável - 23
Suporte a aplicativos -
ExternalKey [in, opcional]
-
Tipo: uint8[]
Uma matriz de bytes que especifica a chave externa de 256 bits usada para desbloquear o volume quando o computador é iniciado.
Se nenhuma chave externa for especificada, uma será gerada aleatoriamente. Use o método GetKeyProtectorExternalKey para obter a chave gerada aleatoriamente.
-
VolumeKeyProtectorID [out]
-
Tipo: cadeia de caracteres
Uma cadeia de caracteres que é o identificador exclusivo associado ao protetor de chave criado que pode ser usado para gerenciar o protetor de chave.
Se a unidade der suporte à criptografia de hardware e o BitLocker não tiver tomado a propriedade da banda, a cadeia de caracteres de ID será definida como "BitLocker" e o protetor de chave será gravado em por metadados de banda.
Valor retornado
Tipo: uint32
Esse método retornará um dos códigos a seguir ou outro código de erro se falhar.
| Código/valor de retorno | Descrição |
|---|---|
|
O método foi bem-sucedido. |
|
O volume está bloqueado. |
|
Nenhum TPM compatível é encontrado neste computador. |
|
O TPM não pode proteger a chave de criptografia do volume porque o volume não contém o sistema operacional em execução no momento. |
|
O parâmetro PlatformValidationProfile é fornecido, mas seus valores não estão dentro do intervalo conhecido ou não corresponde à configuração de Política de Grupo atualmente em vigor. O parâmetro ExternalKey é fornecido, mas não é uma matriz de tamanho 32. |
|
Um CD/DVD inicializável é encontrado neste computador. Remova o CD/DVD e reinicie o computador. |
|
Já existe um protetor de chave desse tipo. |
Considerações de segurança
Para a segurança do computador, recomendamos o perfil padrão. Para proteção adicional contra alterações de código de inicialização antecipadas, use um perfil de PCRs 0, 2, 4, 5, 8, 9, 10 e 11. Para proteção adicional contra alterações de configuração de inicialização antecipada, use um perfil de PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
A alteração do perfil padrão afeta a segurança ou a usabilidade do computador.
Comentários
No máximo, um protetor de chave do tipo "TPM e Chave de Inicialização" pode existir para um volume a qualquer momento. Se você quiser alterar o nome de exibição ou o perfil de validação de plataforma usado por um protetor de chave "TPM mais Chave de Inicialização" existente, primeiro remova o protetor de chave existente e, em seguida, chame ProtectKeyWithTPMAndStartupKey para criar um novo. Protetores de chave adicionais devem ser especificados para desbloquear o volume em cenários de recuperação em que o acesso à chave de criptografia do volume não pode ser obtido; por exemplo, quando o TPM não pode ser validado com êxito no perfil de validação da plataforma ou quando a memória USB que contém a chave externa é perdida.
Use ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword para criar um ou mais protetores de chave para recuperar um volume bloqueado de outra forma.
Embora seja possível ter um protetor de chave do tipo "TPM" e outro do tipo "TPM e Chave de Inicialização", a presença do tipo protetor de chave "TPM" nega os efeitos de outros protetores de chave baseados em TPM.
Os arquivos MOF (Managed Object Format) contêm as definições para classes WMI (Instrumentação de Gerenciamento do Windows). Os arquivos MOF não são instalados como parte do SDK do Windows. Eles são instalados no servidor quando você adiciona a função associada usando o Gerenciador do Servidor. Para obter mais informações sobre arquivos MOF, consulte MOF (Managed Object Format).
Requisitos
| Requisito | Valor |
|---|---|
| Cliente mínimo com suporte |
Windows Vista Enterprise, Windows Vista Ultimate [somente aplicativos da área de trabalho] |
| Servidor mínimo com suporte |
Windows Server 2008 [somente aplicativos da área de trabalho] |
| Namespace |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Confira também