ProtectKeyWithTPM-Methode der Win32 _ EncryptableVolume-Klasse

Die ProtectKeyWithTPM-Methode der Win32 _ EncryptableVolume-Klasse schützt den Verschlüsselungsschlüssel des Volumes mithilfe der Trusted Platform Module -Sicherheitshardware (TPM) auf dem Computer, sofern verfügbar.

Eine Schlüsselschutzvorrichtung vom Typ "TPM" wird für das Volume erstellt, sofern noch keine vorhanden ist.

Diese Methode gilt nur für das Volume, das das derzeit ausgeführte Betriebssystem enthält, und , wenn auf dem Volume noch keine Schlüsselschutzvorrichtung vorhanden ist.

Syntax

uint32 ProtectKeyWithTPM(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [out]          string VolumeKeyProtectorID
);

Parameter

FriendlyName [ in, optional]

Typ: Zeichenfolge

Eine Zeichenfolge, die einen vom Benutzer zugewiesenen Zeichenfolgenbezeichner für diese Schlüsselschutzvorrichtung angibt. Wenn dieser Parameter nicht angegeben ist, wird ein leerer Wert verwendet.

PlatformValidationProfile [ in, optional]

Typ: uint8 [ ]

Ein Array von ganzen Zahlen, das angibt, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den Verschlüsselungsschlüssel des Datenträgervolumes schützt.

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes (Platform Configuration Register) im Bereich von 0 bis einschließlich 23. Wiederholungswerte im -Parameter werden ignoriert. Jeder PCR-Index ist Diensten zugeordnet, die beim Starten des Betriebssystems ausgeführt werden. Bei jedem Start des Computers überprüft das TPM, ob sich die dienste, die Sie im Plattformvalidierungsprofil angegeben haben, nicht geändert haben. Wenn sich einer dieser Dienste ändert, während BitLocker-Laufwerkverschlüsselung Schutz (BDE) aktiviert bleibt, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Datenträgervolume zu entsperren, und der Computer wechselt in den Wiederherstellungsmodus.

Wenn dieser Parameter angegeben wird, während die entsprechende Gruppenrichtlinie Einstellung aktiviert wurde, muss er mit der einstellung Gruppenrichtlinie übereinstimmen.

Wenn dieser Parameter nicht angegeben ist, wird der Standardwert 0, 2, 4, 5, 8, 9, 10 und 11 verwendet. Das Standardmäßige Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen am Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0), am Options-ROM-Code (PCR 2), am Master Boot Record (MBR) Code (PCR 4), an der Partitionstabelle für den Masterstartdatensatz (MASTER Boot Record, MBR 5), am NTFS-Startsektor (PCR 8), am NTFS-Startcode (PCR 9). Den Start-Manager (PCR 10) und den BitLocker-Laufwerkverschlüsselung Access Control (PCR 11). Für die Sicherheit Ihres Computers wird das Standardprofil empfohlen. UEFI-basierte Computer (Unified Extensible Firmware Interface) verwenden pcr 5 standardmäßig nicht. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor Änderungen an der Frühen Startkonfiguration zu bieten.

Das Ändern des Standardprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (schädlich oder autorisiert) wird je nach Ein- bzw. Ausschluss der PCRs erhöht oder verringert. Damit der BitLocker-Schutz aktiviert wird, muss das Plattformvalidierungsprofil PCR 11 enthalten.

Wert Bedeutung
0
Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen.
1
Plattform- und Hauptplatinenkonfiguration und Daten
2
Option ROM-Code
3
Option ROM-Konfiguration und -Daten
4
MBR-Code (Master Boot Record)
5
MBR-Partitionstabelle (Master Boot Record)
6
Zustandsübergangs- und Aktivierungsereignisse
7
Computer Manufacturer-Specific
8
NTFS-Startsektor
9
NTFS-Startcode
10
Start-Manager
11
BitLocker-Laufwerkverschlüsselung Access Control
12
Definiert für die Verwendung durch das statische Betriebssystem
13
Definiert für die Verwendung durch das statische Betriebssystem
14
Definiert für die Verwendung durch das statische Betriebssystem
15
Definiert für die Verwendung durch das statische Betriebssystem
16
Wird zum Debuggen verwendet
17
Dynamische CRTM
18
Plattformdefiniert
19
Wird von einem vertrauenswürdigen Betriebssystem verwendet
20
Wird von einem vertrauenswürdigen Betriebssystem verwendet
21
Wird von einem vertrauenswürdigen Betriebssystem verwendet
22
Wird von einem vertrauenswürdigen Betriebssystem verwendet
23
Anwendungsunterstützung

VolumeKeyProtectorID [ out]

Typ: Zeichenfolge

Eine Zeichenfolge, die die erstellte Schutzvorrichtung eindeutig identifiziert und zum Verwalten der Schlüsselschutzvorrichtung verwendet werden kann.

Wenn das Laufwerk Hardwareverschlüsselung unterstützt und BitLocker keinen Bandbesitz übernommen hat, wird die ID-Zeichenfolge auf "BitLocker" festgelegt, und die Schlüsselschutzvorrichtung wird pro Bandmetadaten in geschrieben.

Rückgabewert

Typ: uint32

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn er fehlschlägt.

Rückgabecode/-wert Beschreibung
S _ OK
0 (0x0)
Die Methode war erfolgreich.
FVE _ E _ LOCKED _ VOLUME
2150694912 (0x80310000)
Das Volume ist gesperrt.
TBS _ _E-DIENST WIRD 2150121480 NICHT _ _ AUSGEFÜHRT
(0x80284008)
Auf diesem Computer wurde kein kompatibles TPM gefunden.
FVE _ E _ FOREIGN _ VOLUME
2150694947 (0x80310023)
Das TPM kann den Verschlüsselungsschlüssel des Volumes nicht sichern, da das Volume nicht das derzeit ausgeführte Betriebssystem enthält.
E _ INVALIDARG
2147942487 (0x80070057)
Der PlatformValidationProfile-Parameter wird bereitgestellt, aber seine Werte liegen nicht innerhalb des bekannten Bereichs, oder er stimmt nicht mit der Gruppenrichtlinie Einstellung überein, die derzeit wirksam ist.
FVE _ E _ PROTECTOR _ EXISTS
2150694961 (0x80310031)
Eine Schlüsselschutzvorrichtung dieses Typs ist bereits vorhanden.

Sicherheitsüberlegungen

Aus Sicherheitsgründen wird das Standardprofil empfohlen. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor frühen Startkonfigurationsänderungen zu erhalten.

Das Ändern des Standardprofils wirkt sich auf die Sicherheit oder Nutzbarkeit Ihres Computers aus.

Hinweise

Für ein Volume kann jederzeit mindestens eine Schlüsselschutzvorrichtung vom Typ "TPM" vorhanden sein. Wenn Sie den Anzeigenamen oder das Plattformvalidierungsprofil ändern möchten, das von einer vorhandenen TPM-Schlüsselschutzvorrichtung verwendet wird, müssen Sie zuerst die vorhandene Schlüsselschutzvorrichtung entfernen und dann ProtectKeyWithTPM aufrufen, um eine neue zu erstellen.

Bei den PCR-Indizes 0 bis 5 werden die aktuellen Messungen in den Registern verwendet, um den Verschlüsselungsschlüssel zu schützen. Bei den PCR-Werten 8 bis 11 werden die Messungen verwendet, die im nächsten Startzyklus erwartet werden.

Es sollten zusätzliche Schlüsselschutzvorrichtungen angegeben werden, um das Volume in Wiederherstellungsszenarien zu entsperren, in denen kein Zugriff auf den Verschlüsselungsschlüssel des Volumes möglich ist. Beispielsweise, wenn das TPM nicht erfolgreich anhand des Plattformvalidierungsprofils überprüft werden kann. Verwenden Sie ProtectKeyWithExternalKey oder ProtectKeyWithNumericalPassword, um eine oder mehrere Schlüsselschutzvorrichtungen zum Wiederherstellen eines ansonsten gesperrten Volumes zu erstellen.

Managed Object Format -Dateien (MOF) enthalten die Definitionen für Windows WMI-Klassen (Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe der Server-Manager. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows Vista Enterprise, nur Windows Vista [ Ultimate-Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Nur Server [ 2008-Desktop-Apps]
Namespace
\CimV2-Stammsicherheit \ \ MicrosoftVolumeEncryption
MOF
Win32 _ encryptablevolume.mof

Weitere Informationen

Win32 _ EncryptableVolume

Win32 _ Tpm