ProtectKeyWithTPMAndStartupKey-Methode der Win32_EncryptableVolume-Klasse
Die ProtectKeyWithTPMAndStartupKey-Methode der Win32_EncryptableVolume-Klasse sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware (Trusted Platform Module) auf dem Computer, sofern verfügbar, erweitert durch einen externen Schlüssel, der beim Start dem Computer angezeigt werden muss.
Sowohl die Überprüfung durch das TPM als auch die Eingabe eines USB-Speichergeräts, das den externen Schlüssel enthält, sind erforderlich, um auf den Verschlüsselungsschlüssel des Volumes zuzugreifen und den Volumeinhalt zu entsperren. Verwenden Sie die SaveExternalKeyToFile-Methode , um diesen externen Schlüssel in einer Datei auf einem USB-Speichergerät für die Verwendung als Startschlüssel zu speichern.
Diese Methode gilt nur für das Volume, das das derzeit ausgeführte Betriebssystem enthält.
Eine Schlüsselschutzvorrichtung vom Typ "TPM und Startschlüssel" wird für das Volume erstellt, sofern noch keine vorhanden ist.
Syntax
uint32 ProtectKeyWithTPMAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Parameter
-
FriendlyName [in, optional]
-
Typ: Zeichenfolge
Ein benutzerseitig zugewiesener Zeichenfolgenbezeichner für diesen Schlüsselschutz. Wenn dieser Parameter nicht angegeben wird, wird ein leerer Wert verwendet.
-
PlatformValidationProfile [in, optional]
-
Typ: uint8[]
Ein Array ganzzahliger Zahlen, das angibt, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den Verschlüsselungsschlüssel des Datenträgervolumes schützt.
Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes (Platform Configuration Register) von 0 bis einschließlich 23. Wiederholungswerte im Parameter werden ignoriert. Jeder PCR-Index ist Diensten zugeordnet, die beim Starten des Betriebssystems ausgeführt werden. Jedes Mal, wenn der Computer gestartet wird, überprüft das TPM, ob sich die dienste, die Sie im Plattformüberprüfungsprofil angegeben haben, nicht geändert haben. Wenn sich einer dieser Dienste ändert, während der BDE-Schutz (BitLocker Drive Encryption) aktiviert bleibt, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Datenträgervolume zu entsperren, und der Computer wechselt in den Wiederherstellungsmodus.
Wenn dieser Parameter angegeben wird, während die entsprechende Gruppenrichtlinie-Einstellung aktiviert wurde, muss er mit der Gruppenrichtlinie-Einstellung übereinstimmen.
Wenn dieser Parameter nicht angegeben wird, wird der Standardwert 0, 2, 4, 5, 8, 9, 10 und 11 verwendet. Das Standardprofil der Plattformüberprüfung schützt den Verschlüsselungsschlüssel vor Änderungen an den folgenden Elementen:
- Core Root of Trust of Measurement (CRTM)
- BIOS
- Plattformerweiterungen (PCR 0)
- Options-ROM-Code (PCR 2)
- Master Boot Record (MBR)-Code (PCR 4)
- Master Boot Record (MBR) Partitionstabelle (PCR 5)
- NTFS-Startsektor (PCR 8)
- NTFS-Startblock (PCR 9)
- Start-Manager (PCR 10)
- BitLocker-Zugriffssteuerung (PCR 11)
Für die Sicherheit Ihres Computers empfehlen wir das Standardprofil. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor Änderungen an der Konfiguration des frühen Startvorgangs zu gewährleisten. Auf UEFI-basierten Computern (Unified Extensible Firmware Interface) wird PCR 5 standardmäßig nicht verwendet.
Das Ändern des Standardprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Vertraulichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Einbeziehung bzw. Ausschluss der PCRs erhöht oder verringert. Damit der BitLocker-Schutz aktiviert wird, muss das Plattformüberprüfungsprofil PCR 11 enthalten.
Wert Bedeutung - 0
Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen - 1
Plattform- und Hauptplatinenkonfiguration und -daten - 2
Option ROM-Code - 3
Option ROM-Konfiguration und -Daten - 4
Master Boot Record (MBR) Code - 5
MbR-Partitionstabelle (Master Boot Record) - 6
Zustandsübergangs- und Aktivierungsereignisse - 7
Computer Manufacturer-Specific - 8
NTFS-Startsektor - 9
NTFS-Startblock - 10
Start-Manager - 11
BitLocker-Access Control - 12
Definiert für die Verwendung durch das statische Betriebssystem - 13
Definiert für die Verwendung durch das statische Betriebssystem - 14
Definiert für die Verwendung durch das statische Betriebssystem - 15
Definiert für die Verwendung durch das statische Betriebssystem - 16
Wird zum Debuggen verwendet - 17
Dynamische CRTM - 18
Plattform definiert - 19
Wird von einem vertrauenswürdigen Betriebssystem verwendet - 20
Wird von einem vertrauenswürdigen Betriebssystem verwendet - 21
Wird von einem vertrauenswürdigen Betriebssystem verwendet - 22
Wird von einem vertrauenswürdigen Betriebssystem verwendet - 23
Anwendungsunterstützung -
ExternalKey [in, optional]
-
Typ: uint8[]
Ein Array von Bytes, das den externen 256-Bit-Schlüssel angibt, der zum Entsperren des Volumes beim Starten des Computers verwendet wird.
Wenn kein externer Schlüssel angegeben wird, wird einer nach dem Zufallsprinzip generiert. Verwenden Sie die GetKeyProtectorExternalKey-Methode , um den zufällig generierten Schlüssel abzurufen.
-
VolumeKeyProtectorID [out]
-
Typ: Zeichenfolge
Eine Zeichenfolge, die den eindeutigen Bezeichner darstellt, der dem erstellten Schlüsselschutz zugeordnet ist, der zum Verwalten der Schlüsselschutzvorrichtung verwendet werden kann.
Wenn das Laufwerk die Hardwareverschlüsselung unterstützt und BitLocker keinen Bandbesitz übernommen hat, wird die ID-Zeichenfolge auf "BitLocker" festgelegt, und der Schlüsselschutz wird pro Band in Metadaten geschrieben.
Rückgabewert
Typ: uint32
Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn sie fehlschlägt.
| Rückgabecode/-wert | BESCHREIBUNG |
|---|---|
|
Die Methode war erfolgreich. |
|
Das Volume ist gesperrt. |
|
Auf diesem Computer ist kein kompatibles TPM gefunden. |
|
Das TPM kann den Verschlüsselungsschlüssel des Volumes nicht schützen, da das Volume nicht das derzeit ausgeführte Betriebssystem enthält. |
|
Der PlatformValidationProfile-Parameter wird angegeben, seine Werte liegen jedoch nicht innerhalb des bekannten Bereichs oder stimmen nicht mit der derzeit gültigen Gruppenrichtlinie-Einstellung überein. Der ExternalKey-Parameter wird bereitgestellt, ist aber kein Array der Größe 32. |
|
Auf diesem Computer befindet sich eine startbare CD/DVD. Entfernen Sie die CD/DVD, und starten Sie den Computer neu. |
|
Eine Schlüsselschutzvorrichtung dieses Typs ist bereits vorhanden. |
Sicherheitsüberlegungen
Für die Sicherheit Ihres Computers wird das Standardprofil empfohlen. Verwenden Sie ein Profil der PCRs 0, 2, 4, 5, 8, 9, 10 und 11, um zusätzlichen Schutz vor frühzeitigen Codeänderungen zu gewährleisten. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor Änderungen an der Konfiguration des frühen Starts zu gewährleisten.
Die Änderung vom Standardprofil wirkt sich auf die Sicherheit oder Benutzerfreundlichkeit Ihres Computers aus.
Bemerkungen
Für ein Volume kann maximal eine Schlüsselschutzvorrichtung vom Typ "TPM und Startschlüssel" vorhanden sein. Wenn Sie den Anzeigenamen oder das Plattformvalidierungsprofil ändern möchten, das von einer vorhandenen Schlüsselschutzvorrichtung "TPM plus Startschlüssel" verwendet wird, müssen Sie zuerst die vorhandene Schlüsselschutzvorrichtung entfernen und dann ProtectKeyWithTPMAndStartupKey aufrufen, um eine neue zu erstellen. Es sollten zusätzliche Schlüsselschutzvorrichtungen angegeben werden, um das Volume in Wiederherstellungsszenarien zu entsperren, in denen kein Zugriff auf den Verschlüsselungsschlüssel des Volumes abgerufen werden kann. Beispielsweise, wenn das TPM nicht erfolgreich anhand des Plattformvalidierungsprofils überprüft werden kann oder wenn usb-Speicher verloren geht, der den externen Schlüssel enthält.
Verwenden Sie ProtectKeyWithExternalKey oder ProtectKeyWithNumericalPassword , um eine oder mehrere Schlüsselschutzvorrichtungen zum Wiederherstellen eines anderweitig gesperrten Volumes zu erstellen.
Es ist zwar möglich, sowohl eine Schlüsselschutzvorrichtung vom Typ "TPM" als auch eine andere vom Typ "TPM und Startschlüssel" zu verwenden, aber das Vorhandensein des Schlüsselschutztyps "TPM" negiert die Auswirkungen anderer TPM-basierter Schlüsselschutzvorrichtungen.
MOF-Dateien (Managed Object Format) enthalten die Definitionen für WMI-Klassen (Windows Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe der Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) |
Windows Vista Enterprise, Windows Vista Ultimate [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) |
Windows Server 2008 [nur Desktop-Apps] |
| Namespace |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für