Метод ProtectKeyWithTPMAndPINAndStartupKey класса Win32_EncryptableVolume
Метод ProtectKeyWithTPMAndPINAndStartupKey класса Win32_EncryptableVolume защищает ключ шифрования тома с помощью доверенного платформенного модуля (TPM) на компьютере, если он доступен, дополненный как указанным пользователем личным идентификационным номером (PIN-кодом), так и внешним ключом, который должен быть представлен компьютеру при запуске.
Для разблокировки зашифрованного содержимого тома требуются три фактора проверки подлинности:
- Проверка доверенным платформенный платформенный модуль
- Ввод пин-кода от 4 до 20 цифр или, если включена политика "Разрешить расширенные ПИН-коды для запуска", от 4 до 20 букв, символов, пробелов или цифр
- Входные данные USB-устройства памяти, содержащего внешний ключ
Используйте метод SaveExternalKeyToFile , чтобы сохранить этот внешний ключ в файл на USB-устройстве памяти для использования в качестве ключа запуска. Этот метод применяется только к тому операционной системы. Создается предохранитель ключа типа TPM, ПИН-код и ключ запуска.
Синтаксис
uint32 ProtectKeyWithTPMAndPINAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile,
[in] string PIN,
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Параметры
-
FriendlyName [in, необязательный]
-
Тип: строка
Строка, которая помечает этот предохранитель ключа. Если этот параметр не указан, используется пустое значение.
-
PlatformValidationProfile [в, необязательно]
-
Тип: uint8
Массив целых чисел, указывающий, как TPM компьютера защищает ключ шифрования тома. Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы (PCR) в диапазоне от 0 до 23 включительно. Повторяющиеся значения в параметре игнорируются. Каждый индекс PCR связан со службами, которые запускаются при запуске операционной системы. При каждом запуске компьютера доверенный платформенный модуль будет проверка, что службы, указанные в профиле проверки платформы, не изменились. Если какая-либо из этих служб изменится, пока защита BitLocker остается включенной, доверенный платформенный модуль не выпустит ключ шифрования для разблокировки тома, и компьютер перейдет в режим восстановления.
Если этот параметр не указан, используются индексы по умолчанию 0, 2, 4, 5, 8, 9, 10 и 11. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в core root of Trust of Measurement (CRTM), BIOS и расширения платформы (PCR 0), option ROM Code (PCR 2), Master Boot Record (MBR) Code (PCR 4), Master Boot Record (MBR) Partition Table (PCR 5), NTFS Boot Sector (PCR 8), NTFS Boot Block (PCR 9), диспетчер загрузки (PCR 10) и контроль доступа BitLocker (PCR 11). Компьютеры на основе единого расширяемого интерфейса встроенного ПО (UEFI) по умолчанию не используют PCR 5.
Рекомендуется использовать профиль проверки платформы по умолчанию. Для дополнительной защиты от ранних изменений конфигурации запуска используйте профиль PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
Изменение профиля по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения pcR соответственно. Для включения защиты BitLocker профиль проверки платформы должен включать PCR 11.
Значение Значение - 0
Основной корень доверия измерения (CRTM), BIOS и расширения платформы - 1
Конфигурация платформы и системной платы и данные - 2
Код ПЗУ параметра - 3
Конфигурация и данные ПЗУ параметра - 4
Код главной загрузочной записи (MBR) - 5
Таблица секций главной загрузочной записи (MBR) - 6
События перехода состояния и пробуждения - 7
Manufacturer-Specific компьютеров - 8
Загрузочный сектор NTFS - 9
Загрузочный блок NTFS - 10
Диспетчер загрузки - 11
Контроль доступа BitLocker - 12
Определяется для использования статической операционной системой - 13
Определяется для использования статической операционной системой - 14
Определяется для использования статической операционной системой - 15
Определяется для использования статической операционной системой - 16
Используется для отладки - 17
Динамический CRTM - 18
Платформа определена - 19
Используется доверенной операционной системой - 20
Используется доверенной операционной системой - 21
Используется доверенной операционной системой - 22
Используется доверенной операционной системой - 23
Поддержка приложений -
ПИН-код [in]
-
Тип: строка
Содержит от 4 до 20 цифр личного идентификационного номера (ПИН-код) или, если включена политика "Разрешить расширенные ПИН-коды для запуска", 4 и 20 букв, символов, пробелов или цифр. Эта строка должна быть предоставлена компьютеру при запуске.
-
ExternalKey [in, необязательный]
-
Тип: uint8[]
Массив байтов, указывающий 256-разрядный внешний ключ, используемый для разблокировки тома при запуске компьютера. Оставьте этот параметр пустым, чтобы случайным образом создать внешний ключ. Используйте метод GetKeyProtectorExternalKey для получения случайно созданного ключа.
-
VolumeKeyProtectorID [out]
-
Тип: строка
Обновленный уникальный строковый идентификатор, используемый для управления защитой зашифрованного ключа тома.
Если диск поддерживает аппаратное шифрование и BitLocker не получил права владения группой, для строки идентификатора устанавливается значение "BitLocker", а предохранитель ключа записывается в метаданные каждого диапазона.
Возвращаемое значение
Тип: uint32
Этот метод возвращает один из следующих кодов или другой код ошибки в случае сбоя.
Возвращаемый код или значение | Описание |
---|---|
|
Метод выполнен успешно. |
|
Указан параметр PlatformValidationProfile, но его значения не находятся в известном диапазоне или не соответствуют текущему параметру групповая политика. Параметр ExternalKey указан, но он не является массивом размером 32. |
|
На этом компьютере есть загрузочный компакт-диск/DVD-диск. Извлеките компакт-диск или DVD-диск и перезагрузите компьютер. |
|
TPM не может защитить ключ шифрования тома, так как том не содержит текущей операционной системы. |
|
Параметр NewPIN содержит недопустимые символы. Если групповая политика "Разрешить расширенные ПИН-коды для запуска" отключен, поддерживаются только номера. |
|
Том заблокирован. |
|
Предоставленный параметр NewPIN имеет длину более 20 символов, короче 4 символов или меньше минимальной длины, указанной в групповая политика. |
|
Предохранитель ключа этого типа уже существует. |
|
На этом компьютере не найден совместимый доверенный платформенный модуль. |
Комментарии
Для тома в любое время может существовать не более одного предохранителя ключа типа TPM, PIN-код и ключ запуска. Если вы хотите изменить отображаемое имя или профиль проверки платформы, используемый существующим предохранителем ключа TPM And PIN-код и ключ запуска, необходимо сначала удалить существующий предохранитель ключа, а затем вызвать Метод ProtectKeyWithTPMAndPINAndStartupKey , чтобы создать новую.
Для разблокировки тома в сценариях восстановления, где невозможно получить доступ к ключу шифрования тома, необходимо указать дополнительные предохранители ключей. например, если доверенный платформенный модуль не может успешно выполнить проверку по профилю проверки платформы или когда ПИН-код потерян. Используйте ProtectKeyWithExternalKey или ProtectKeyWithNumericalPassword , чтобы создать один или несколько предохранителей ключа для восстановления заблокированного в противном случае тома.
Хотя можно иметь как предохранитель ключа типа "TPM", так и другой тип "TPM And PIN-код и ключ запуска", наличие типа предохранителя ключа "TPM" сводит на нет влияние других предохранителей ключей на основе доверенного платформенного модуля.
MOF-файлы содержат определения для классов инструментария управления Windows (WMI). MOF-файлы не устанавливаются в составе пакета Windows SDK. Они устанавливаются на сервере при добавлении связанной роли с помощью диспетчер сервера. Дополнительные сведения о MOF-файлах см. в разделе Формат управляемого объекта (MOF).
Требования
Требование | Значение |
---|---|
Минимальная версия клиента |
Windows Vista Enterprise с пакетом обновления 1 (SP1), Windows Vista Ultimate с пакетом обновления 1 (SP1) [только классические приложения] |
Минимальная версия сервера |
Windows Server 2008 [только классические приложения] |
Пространство имен |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
MOF |
|
См. также раздел