Поделиться через


Метод ProtectKeyWithTPMAndPIN класса Win32_EncryptableVolume

Метод ProtectKeyWithTPMAndPIN класса Win32_EncryptableVolume защищает ключ шифрования тома с помощью аппаратного обеспечения безопасности доверенного платформенного модуля (TPM) на компьютере, если оно доступно, дополненное указанным пользователем личным идентификационным номером (ПИН-кодом), который должен быть предоставлен компьютеру при запуске.

Для доступа к ключу шифрования тома и разблокировки содержимого тома необходимы как проверка TPM, так и ввод личной идентификационной строки.

Этот метод применим только для тома, содержащего текущую операционную систему.

Для тома создается предохранитель ключа типа TPM и ПИН-код, если он еще не существует.

Синтаксис

uint32 ProtectKeyWithTPMAndPIN(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [in]           string PIN,
  [out]          string VolumeKeyProtectorID
);

Параметры

FriendlyName [in, необязательный]

Тип: строка

Назначаемый пользователем строковый идентификатор для этого предохранителя ключа. Если этот параметр не указан, используется пустое значение.

PlatformValidationProfile [в, необязательно]

Тип: uint8[]

Массив целых чисел, указывающий, как оборудование безопасности доверенного платформенного модуля (TPM) компьютера защищает ключ шифрования тома диска.

Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы (PCR) в диапазоне от 0 до 23 включительно. Повторяющиеся значения в параметре игнорируются. Каждый индекс PCR связан со службами, которые запускаются при запуске операционной системы. При каждом запуске компьютера доверенный платформенный модуль будет проверка, что службы, указанные в профиле проверки платформы, не изменились. Если какая-либо из этих служб изменится, пока защита шифрования дисков BitLocker (BDE) остается включенной, доверенный платформенный модуль не освобождает ключ шифрования для разблокировки тома диска, и компьютер перейдет в режим восстановления.

Если этот параметр указан, пока включен соответствующий параметр групповая политика, он должен соответствовать параметру групповая политика.

Если этот параметр не указан, используется значение по умолчанию 0, 2, 4, 5, 8, 9, 10 и 11. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в следующих элементах:

  • Основной корень доверия измерения (CRTM)
  • BIOS
  • Расширения платформы (PCR 0)
  • Дополнительный код ПЗУ (PCR 2)
  • Код главной загрузочной записи (MBR) (PCR 4)
  • Таблица разделов главной загрузочной записи (MBR) (PCR 5)
  • Загрузочный сектор NTFS (PCR 8)
  • Загрузочный блок NTFS (PCR 9)
  • Диспетчер загрузки (PCR 10)
  • BitLocker контроль доступа (PCR 11)

Для обеспечения безопасности компьютера рекомендуется использовать профиль по умолчанию. Для дополнительной защиты от ранних изменений конфигурации запуска используйте профиль PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Компьютеры на основе единого расширяемого интерфейса встроенного ПО (UEFI) по умолчанию не используют PCR 5.

Изменение профиля по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения pcR соответственно. Для включения защиты BitLocker профиль проверки платформы должен включать PCR 11.

Значение Значение
0
Основной корень доверия измерения (CRTM), BIOS и расширения платформы
1
Конфигурация платформы и системной платы и данные
2
Код ПЗУ параметра
3
Конфигурация и данные ПЗУ параметра
4
Код главной загрузочной записи (MBR)
5
Таблица секций главной загрузочной записи (MBR)
6
События перехода состояния и пробуждения
7
Manufacturer-Specific компьютеров
8
Загрузочный сектор NTFS
9
Загрузочный блок NTFS
10
Диспетчер загрузки
11
Контроль доступа BitLocker
12
Определяется для использования статической операционной системой
13
Определяется для использования статической операционной системой
14
Определяется для использования статической операционной системой
15
Определяется для использования статической операционной системой
16
Используется для отладки
17
Динамический CRTM
18
Платформа определена
19
Используется доверенной операционной системой
20
Используется доверенной операционной системой
21
Используется доверенной операционной системой
22
Используется доверенной операционной системой
23
Поддержка приложений

 

ПИН-код [in]

Тип: строка

Указанная пользователем личная идентификационная строка. Эта строка должна состоять из последовательности из 6–20 цифр или, если включена политика "Разрешить расширенные ПИН-коды для запуска", от 6 до 20 букв, символов, пробелов или цифр.

VolumeKeyProtectorID [out]

Тип: строка

Обновленный уникальный строковый идентификатор, используемый для управления защитой зашифрованного ключа тома.

Если диск поддерживает аппаратное шифрование и BitLocker не получил права владения группой, для строки идентификатора устанавливается значение "BitLocker", а предохранитель ключа записывается в метаданные каждого диапазона.

Возвращаемое значение

Тип: uint32

Этот метод возвращает один из следующих кодов или другой код ошибки в случае сбоя.

Возвращаемый код/значение Описание
S_OK
0 (0x0)
Метод выполнен успешно.
E_INVALIDARG
2147942487 (0x80070057)
Указан параметр PlatformValidationProfile, но его значения не находятся в известном диапазоне или не соответствуют действующему групповая политика параметру.
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
На этом компьютере есть загрузочный компакт-диск/DVD-диск. Извлеките компакт-диск или DVD-диск и перезагрузите компьютер.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
TPM не может защитить ключ шифрования тома, так как том не содержит текущей операционной системы.
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
Параметр NewPIN содержит недопустимые символы. Если групповая политика "Разрешить расширенные ПИН-коды для запуска" отключен, поддерживаются только номера.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
Том заблокирован.
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
Предоставленный параметр NewPIN может быть длиннее 20 символов, короче 6 символов или короче минимальной длины, указанной в групповая политика.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
Предохранитель ключа этого типа уже существует.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
На этом компьютере не найден совместимый доверенный платформенный модуль.

 

Вопросы безопасности

Для обеспечения безопасности компьютера рекомендуется использовать профиль по умолчанию. Для дополнительной защиты от ранних изменений кода запуска используйте профиль PCR 0, 2, 4, 5, 8, 9, 10 и 11. Для дополнительной защиты от изменений конфигурации раннего запуска используйте профиль PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

Изменение профиля по умолчанию влияет на безопасность или удобство использования компьютера.

Комментарии

Для тома в любое время может существовать не более одного предохранителя ключа типа TPM и ПИН-код. Если вы хотите изменить отображаемое имя или профиль проверки платформы, используемый существующим предохранителем ключа TPM и PIN-код, необходимо сначала удалить существующий предохранитель ключа, а затем вызвать Метод ProtectKeyWithTPMAndPIN , чтобы создать новый.

Для разблокировки тома в сценариях восстановления, где невозможно получить доступ к ключу шифрования тома, необходимо указать дополнительные предохранители ключей. например, если доверенный платформенный модуль не может успешно выполнить проверку по профилю проверки платформы или когда ПИН-код потерян.

Используйте ProtectKeyWithExternalKey или ProtectKeyWithNumericalPassword , чтобы создать один или несколько предохранителей ключа для восстановления заблокированного в противном случае тома.

Хотя можно использовать как предохранитель ключа типа TPM, так и другой тип TPM и ПИН-код, наличие типа предохранителя ключа TPM отрицает влияние других предохранителей ключей на основе доверенного платформенного модуля.

MOF-файлы содержат определения для классов инструментария управления Windows (WMI). MOF-файлы не устанавливаются в составе пакета Windows SDK. Они устанавливаются на сервере при добавлении связанной роли с помощью диспетчер сервера. Дополнительные сведения о MOF-файлах см. в разделе Формат управляемого объекта (MOF).

Требования

Требование Значение
Минимальная версия клиента
Windows Vista Enterprise, Windows Vista Ultimate [только классические приложения]
Минимальная версия сервера
Windows Server 2008 [только классические приложения]
Пространство имен
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

См. также раздел

Win32_EncryptableVolume

Win32_Tpm