EncryptAfterHardwareTest-Methode der Win32 _ EncryptableVolume-Klasse

Die EncryptAfterHardwareTest-Methode der Win32 _ EncryptableVolume-Klasse beginnt nach einem Hardwaretest mit der Verschlüsselung eines vollständig entschlüsselten Betriebssystemvolumes. Für diesen Hardwaretest ist ein Neustart erforderlich. Verwenden Sie diese Methode anstelle der Encrypt-Methode, um zu überprüfen, ob BitLocker wie erwartet funktioniert.

Hinweis

Wenn die Festplatte hardware verschlüsselt ist, verschlüsselt diese Methode keine Daten. Stattdessen wird der Bandstatus auf entsperrt von "unbefristet entsperrt" fest. Wenn das Band gesperrt, entsperrt oder schreibgeschützt ist, gilt das Laufwerk als verschlüsselt.

Syntax

uint32 EncryptAfterHardwareTest(
  [in, optional] uint32 EncryptionMethod,
  [in, optional] uint32 EncryptionFlags
);

Parameter

EncryptionMethod [ in, optional]

Typ: uint32

Gibt den Verschlüsselungsalgorithmus und die Schlüsselgröße an, die zum Verschlüsseln des Volumes verwendet werden. Lassen Sie diesen Parameter leer, um den Standardwert 0 (null) zu verwenden. Wenn das Volume teilweise oder vollständig verschlüsselt ist, muss der Wert dieses Parameters 0 sein oder mit der vorhandenen Verschlüsselungsmethode des Volumes übereinstimmen. Wenn die entsprechende Gruppenrichtlinie mit einem gültigen Wert aktiviert wurde, muss der Wert dieses Parameters 0 sein oder mit der Gruppenrichtlinie übereinstimmen.

Wenn die entsprechende Gruppenrichtlinie ungültig ist, wird der Standardwert AES 128 mit Diffusor verwendet.

Wert Bedeutung
Nicht angegeben 0
Verwenden Sie die aktuelle Gruppenrichtlinie, falls verfügbar und gültig, oder andernfalls die Standardverschlüsselungsmethode.
1
AES 128 MIT DIFFUSER
Verschlüsseln Sie das Volume mithilfe des AES-Algorithmus (Advanced Encryption Standard), der mit einer Diffuserschicht verbessert wurde, und mit einer AES-Schlüsselgröße von 128 Bits.
2
AES 256 MIT DIFFUSER
Verschlüsseln Sie das Volume mithilfe des AES-Algorithmus (Advanced Encryption Standard), der mit einer Diffuserschicht verbessert wurde, und mit einer AES-Schlüsselgröße von 256 Bits.
AES _ 128
3
Verschlüsseln Sie das Volume mit dem AES-Algorithmus (Advanced Encryption Standard) und einer AES-Schlüsselgröße von 128 Bit.
AES _ 256
4
Verschlüsseln Sie das Volume mit dem AES-Algorithmus (Advanced Encryption Standard) und einer AES-Schlüsselgröße von 256 Bit.

EncryptionFlags [ in, optional]

Typ: uint32

Flags, die das Verschlüsselungsverhalten beschreiben.

Windows 7, Windows Server 2008 R2, Windows Vista Enterprise und Windows Server 2008: Dieser Parameter ist nicht verfügbar.

Eine Kombination aus 32 Bits und den derzeit definierten folgenden Bits.

Wert Bedeutung
0x00000001
Führen Sie die Volumeverschlüsselung im Datenverschlüsselungsmodus aus, wenn Sie einen neuen Verschlüsselungsprozess starten. Wenn die Verschlüsselung angehalten oder beendet wurde, wird die Konvertierung durch Aufrufen der Encrypt-Methode effektiv fortgesetzt, und der Wert dieses Bit wird ignoriert. Dieses Bit hat nur Dann Auswirkungen, wenn die Encrypt- oder EncryptAfterHardwareTest-Methode die Verschlüsselung vom vollständig entschlüsselten Zustand, der Entschlüsselung im Status "Wird durchgeführt" oder dem angehaltenen Entschlüsselungszustand aus startet. Wenn dieses Bit 0 (null) ist, was bedeutet, dass es nicht festgelegt ist, wird beim Starten eines neuen Verschlüsselungsprozesses die Konvertierung im vollständigen Modus durchgeführt.
0x00000002
Führen Sie eine bedarfsbasierte Zurücksetzung des freien Speicherplatzes auf dem Volume durch. Das Aufrufen der Encrypt-Methode mit diesem Bitsatz ist nur zulässig, wenn das Volume derzeit nicht konvertiert oder zurückf wird und sich in einem "verschlüsselten" Zustand befindet.
0x00010000
Führen Sie den angeforderten Vorgang synchron aus. Der Aufruf wird blockiert, bis der angeforderte Vorgang abgeschlossen oder unterbrochen wurde. Dieses Flag wird nur mit der Encrypt-Methode unterstützt. Dieses Flag kann angegeben werden, wenn Encrypt aufgerufen wird, um die beendete oder unterbrochene Verschlüsselung oder das Zurückschneiden fort aufzunehmen, oder wenn die Verschlüsselung oder das Zurückschneiden in Bearbeitung ist. Dadurch kann der Aufrufer synchron warten, bis der Prozess abgeschlossen oder unterbrochen wird.

Rückgabewert

Typ: uint32

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn ein Fehler auftritt.

Diese Methode gibt sofort zurück. Wenn das Volume bereits vollständig verschlüsselt ist und keine anderen Fehler zurückgegeben werden, gibt diese Methode 0 (null) zurück.

Rückgabecode/-wert BESCHREIBUNG
S_OK
0 (0x0)
Die Methode war erfolgreich.
E_INVALIDARG
2147942487 (0x80070057)
Der EncryptionMethod-Parameter wird bereitgestellt, liegt aber nicht innerhalb des bekannten Bereichs oder passt nicht zur aktuellen Gruppenrichtlinie.
FVE_E_CANNOT_ENCRYPT_NO_KEY
2150694958 (0x8031002E)
Für das Volume ist kein Verschlüsselungsschlüssel vorhanden.
Deaktivieren Sie die Schlüsselschutzvorrichtungen entweder mithilfe der DisableKeyProtectors-Methode, oder verwenden Sie eine der folgenden Methoden, um Schlüsselschutzvorrichtungen für das Volume anzugeben:
FVE_E_CLUSTERING_NOT_SUPPORTED
2150694942 (0x8031001E)
Das Volume kann nicht verschlüsselt werden, da dieser Computer als Teil eines Serverclusters konfiguriert ist.
FVE_E_NO_PROTECTORS_TO_TEST
2150694971 (0x8031003B)
Es wurden keine Schlüsselschutzvorrichtungen vom Typ "TPM", "TPM und PIN", "TPM und PIN und Startschlüssel", "TPM und Startschlüssel" oder "Externer Schlüssel" gefunden. Der Hardwaretest umfasst nur die vorherigen Schlüsselschutzvorrichtungen.
Wenn Sie weiterhin einen Hardwaretest ausführen möchten, müssen Sie eine der folgenden Methoden verwenden, um Schlüsselschutzvorrichtungen für das Volume anzugeben:
FVE_E_NOT_DECRYPTED
2150694969 (0x80310039)
Das Volume ist teilweise oder vollständig verschlüsselt.
Der Hardwaretest wird angewendet, bevor die Verschlüsselung erfolgt. Wenn Sie den Test weiterhin ausführen möchten, verwenden Sie zunächst die Decrypt-Methode und dann eine der folgenden Methoden, um Schlüsselschutzvorrichtungen hinzuzufügen:
FVE_E_NOT_OS_VOLUME
2150694952 (0x80310028)
Das Volume ist ein Datenvolumen.
Der Hardwaretest gilt nur für Volumes, die das Betriebssystem starten können. Führen Sie diese Methode auf dem aktuell gestarteten Betriebssystem-Volume aus.
FVE_E_POLICY_PASSWORD_REQUIRED
2150694956 (0x8031002C)
Es sind keine Schlüsselschutzvorrichtungen vom Typ "Numerisches Kennwort" angegeben. Der Gruppenrichtlinie erfordert eine Sicherung von Wiederherstellungsinformationen, die Active Directory Domain Services. Um mindestens eine Schlüsselschutzvorrichtung dieses Typs hinzuzufügen, verwenden Sie die ProtectKeyWithNumericalPassword-Methode.

Hinweise

Wenn Sie diese Methode ohne den zweiten optionalen Parameter verwenden (gemäß der Windows 7- und Windows Vista Enterprise-Definition), initiiert die Methode immer die Konvertierung im vollständigen Modus, um abwärtskompatibles Verhalten zu erhalten. Auf diese Weise wird die Sicherheitserwartung vorhandener Anwendungen und Skripts nicht durch hinzufügen des zweiten optionalen Parameters in Windows 8 und Windows Server 2012.

Im Gegensatz zur Encrypt-Methode führt diese Methode Folgendes aus:

  • Testet, ob das TPM das Volume entsperren kann, wenn eine TPM-bezogene Schlüsselschutzvorrichtung vorhanden ist.
  • Testet, ob der Computer beim Start einen USB-Flashlaufwerk lesen kann, der eine externe Schlüsseldatei enthält, wenn das Volume durch einen externen Schlüssel (einschließlich eines Startschlüssels) entsperrt wird.
  • Erfordert einen Neustart des Computers, um den Hardwaretest ausführen zu können.
  • Beginnt die Verschlüsselung nur, wenn der Hardwaretest erfolgreich ist.
  • Kann nicht auf einem Datenvolumen, auf einem teilweise oder vollständig verschlüsselten Volume oder zum Fortsetzen der Verschlüsselung verwendet werden.

Verwenden Sie vor dem Ausführen dieser Methode die folgenden Methoden, um die zugehörigen Schlüsselschutzvorrichtungen zu erstellen:

Führen Sie nach dem Ausführen dieser Methode die folgenden zusätzlichen Schritte aus:

  1. Fügen Sie auf dem Computer einen USB-Flashlaufwerk ein, der eine externe Schlüsseldatei enthält. Dieser Schritt gilt nur, wenn das Volume über eine Schlüsselschutzvorrichtung vom Typ "Externer Schlüssel" oder "TPM und Startschlüssel" verfügt.
  2. Starten Sie den Computer neu.

Beim Neustart des Computers wird der Hardwaretest automatisch ausgeführt.

Die Verschlüsselung beginnt, wenn der Hardwaretest erfolgreich ist. Versuchen Sie andernfalls, Hardwarefehler zu beheben. Führen Sie GetHardwareTestStatus nach dem Neustart des Computers aus, um Testergebnisse zu erhalten.

Managed Object Format -Dateien (MOF) enthalten die Definitionen für Windows WMI-Klassen (Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe der Server-Manager. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows Vista Enterprise, Windows Vista [ Ultimate-Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Nur Server [ 2008-Desktop-Apps]
Namespace
\CimV2-Stammsicherheit \ \ MicrosoftVolumeEncryption
MOF
Win32 _ encryptablevolume.mof

Weitere Informationen

Win32 _ EncryptableVolume