ProtectKeyWithTPMAndStartupKey-Methode der Win32 _ EncryptableVolume-Klasse

Die ProtectKeyWithTPMAndStartupKey-Methode der Win32 _ EncryptableVolume-Klasse schützt den Verschlüsselungsschlüssel des Volumes mithilfe der Trusted Platform Module-Sicherheitshardware (TPM) auf dem Computer, sofern verfügbar, erweitert durch einen externen Schlüssel, der dem Computer beim Start präsentiert werden muss.

Sowohl die Überprüfung durch das TPM als auch die Eingabe eines USB-Speichergeräts, das den externen Schlüssel enthält, sind erforderlich, um auf den Verschlüsselungsschlüssel des Volumes zu zugreifen und den Volumeinhalt zu entsperren. Verwenden Sie die SaveExternalKeyToFile-Methode, um diesen externen Schlüssel zur Verwendung als Startschlüssel in einer Datei auf einem USB-Speichergerät zu speichern.

Diese Methode gilt nur für das Volume, das das derzeit ausgeführte Betriebssystem enthält.

Für das Volume wird eine Schlüsselschutzvorrichtung vom Typ "TPM und Startschlüssel" erstellt, sofern noch keine vorhanden ist.

Syntax

uint32 ProtectKeyWithTPMAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

Parameter

FriendlyName [ in, optional]

Typ: Zeichenfolge

Ein vom Benutzer zugewiesener Zeichenfolgenbezeichner für diese Schlüsselschutzvorrichtung. Wenn dieser Parameter nicht angegeben wird, wird ein leerer Wert verwendet.

PlatformValidationProfile [ in, optional]

Typ: uint8 [ ]

Ein Array von ganzen Zahlen, das angibt, wie die Trusted Platform Module-Sicherheitshardware (TPM) des Computers den Verschlüsselungsschlüssel des Datenträgervolumens sichert.

Ein Plattformvalidierungsprofil besteht aus einem Satz von PCR-Indizes (Platform Configuration Register) im Bereich von 0 bis 23 (einschließlich). Wiederholungswerte im -Parameter werden ignoriert. Jeder PCR-Index ist Diensten zugeordnet, die beim Starten des Betriebssystems ausgeführt werden. Jedes Mal, wenn der Computer gestartet wird, überprüft das TPM, ob die Dienste, die Sie im Plattformvalidierungsprofil angegeben haben, nicht geändert wurden. Wenn einer dieser Dienste geändert wird, während der BitLocker-Laufwerkverschlüsselung-Schutz (BDE) aktiviert bleibt, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Datenträgervolumen zu entsperren, und der Computer wird in den Wiederherstellungsmodus wechseln.

Wenn dieser Parameter angegeben wird, während die entsprechende Gruppenrichtlinie aktiviert wurde, muss er mit der Gruppenrichtlinie übereinstimmen.

Wenn dieser Parameter nicht angegeben wird, wird der Standardwert 0, 2, 4, 5, 8, 9, 10 und 11 verwendet. Das Standardprofil für die Plattformvalidierung sichert den Verschlüsselungsschlüssel vor Änderungen an den folgenden Elementen:

  • Core Root of Trust of Measurement (CRTM)
  • BIOS
  • Plattformerweiterungen (PCR 0)
  • Options-ROM-Code (PCR 2)
  • Master Boot Record (MBR)-Code (PCR 4)
  • Master Boot Record (MBR) Partition Table (PCR 5)
  • NTFS-Startsektor (PCR 8)
  • NTFS-Startblock (PCR 9)
  • Start-Manager (PCR 10)
  • BitLocker-Zugriffssteuerung (PCR 11)

Aus Sicherheitsgründen wird das Standardprofil empfohlen. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor frühen Startkonfigurationsänderungen zu erhalten. UEFI-basierte Computer (Unified Extensible Firmware Interface) verwenden pcr 5 standardmäßig nicht.

Das Ändern des Standardprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Ein- bzw. Ausschluss der PCRs erhöht oder verringert. Damit der BitLocker-Schutz aktiviert wird, muss das Plattformvalidierungsprofil PCR 11 enthalten.

Wert Bedeutung
0
Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen
1
Plattform- und Hauptplatinenkonfiguration und -daten
2
Rom-Code der Option
3
Option ROM-Konfiguration und -Daten
4
MbR-Code (Master Boot Record)
5
MbR-Partitionstabelle (Master Boot Record)
6
Zustandsübergangs- und Aktivierungsereignisse
7
Computer Manufacturer-Specific
8
NTFS-Startsektor
9
NTFS-Startblock
10
Start-Manager
11
BitLocker-Access Control
12
Definiert für die Verwendung durch das statische Betriebssystem
13
Definiert für die Verwendung durch das statische Betriebssystem
14
Definiert für die Verwendung durch das statische Betriebssystem
15
Definiert für die Verwendung durch das statische Betriebssystem
16
Wird zum Debuggen verwendet
17
Dynamische CRTM
18
Plattformdefiniert
19
Wird von einem vertrauenswürdigen Betriebssystem verwendet.
20
Wird von einem vertrauenswürdigen Betriebssystem verwendet.
21
Wird von einem vertrauenswürdigen Betriebssystem verwendet.
22
Wird von einem vertrauenswürdigen Betriebssystem verwendet.
23
Anwendungsunterstützung

ExternalKey [ in, optional]

Typ: uint8 [ ]

Ein Bytearray, das den externen 256-Bit-Schlüssel angibt, mit dem das Volume beim Starten des Computers entsperrt wird.

Wenn kein externer Schlüssel angegeben wird, wird einer nach dem Zufallsprinzip generiert. Verwenden Sie die GetKeyProtectorExternalKey-Methode, um den zufällig generierten Schlüssel zu erhalten.

VolumeKeyProtectorID [ out]

Typ: Zeichenfolge

Eine Zeichenfolge, bei der es sich um den eindeutigen Bezeichner handelt, der der erstellten Schlüsselschutzvorrichtung zugeordnet ist und zum Verwalten der Schlüsselschutzvorrichtung verwendet werden kann.

Wenn das Laufwerk Hardwareverschlüsselung unterstützt und BitLocker keinen Bandbesitz übernommen hat, wird die ID-Zeichenfolge auf "BitLocker" festgelegt, und die Schlüsselschutzvorrichtung wird in die Metadaten pro Band geschrieben.

Rückgabewert

Typ: uint32

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn er fehlschlägt.

Rückgabecode/-wert Beschreibung
S _ OK
0 (0x0)
Die Methode war erfolgreich.
FVE _ E _ LOCKED _ VOLUME
2150694912 (0x80310000)
Das Volume ist gesperrt.
TBS _ _E-DIENST WIRD 2150121480 NICHT _ _ AUSGEFÜHRT
(0x80284008)
Auf diesem Computer wurde kein kompatibles TPM gefunden.
FVE _ E _ FOREIGN _ VOLUME
2150694947 (0x80310023)
Das TPM kann den Verschlüsselungsschlüssel des Volumes nicht sichern, da das Volume nicht das derzeit ausgeführte Betriebssystem enthält.
E _ INVALIDARG
2147942487 (0x80070057)
Der PlatformValidationProfile-Parameter wird bereitgestellt, aber seine Werte liegen nicht innerhalb des bekannten Bereichs, oder er stimmt nicht mit der Gruppenrichtlinie Einstellung überein, die derzeit wirksam ist.
Der ExternalKey-Parameter wird bereitgestellt, ist aber kein Array der Größe 32.
FVE _ E _ BOOTABLE _ CDDVD
2150694960 (0x80310030)
Auf diesem Computer befindet sich eine startbare CD/DVD. Entfernen Sie die CD/DVD, und starten Sie den Computer neu.
FVE _ E _ PROTECTOR _ EXISTS
2150694961 (0x80310031)
Eine Schlüsselschutzvorrichtung dieses Typs ist bereits vorhanden.

Sicherheitsüberlegungen

Für die Sicherheit Ihres Computers wird das Standardprofil empfohlen. Verwenden Sie ein Profil der PCRs 0, 2, 4, 5, 8, 9, 10 und 11, um zusätzlichen Schutz vor Änderungen am frühen Startcode zu bieten. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor Änderungen an der Frühen Startkonfiguration zu bieten.

Das Ändern des Standardprofils wirkt sich auf die Sicherheit oder Benutzerfreundlichkeit Ihres Computers aus.

Hinweise

Höchstens eine Schlüsselschutzvorrichtung vom Typ "TPM und Startschlüssel" kann jederzeit für ein Volume vorhanden sein. Wenn Sie den Anzeigenamen oder das Plattformvalidierungsprofil ändern möchten, das von einer vorhandenen Schlüsselschutzvorrichtung "TPM plus Startschlüssel" verwendet wird, müssen Sie zuerst die vorhandene Schlüsselschutzvorrichtung entfernen und dann ProtectKeyWithTPMAndStartupKey aufrufen, um eine neue zu erstellen. Es sollten zusätzliche Schlüsselschutzvorrichtungen angegeben werden, um das Volume in Wiederherstellungsszenarien zu entsperren, in denen kein Zugriff auf den Verschlüsselungsschlüssel des Volumes abgerufen werden kann. Beispielsweise, wenn das TPM nicht erfolgreich anhand des Plattformvalidierungsprofils überprüft werden kann oder wenn der USB-Speicher, der den externen Schlüssel enthält, verloren geht.

Verwenden Sie ProtectKeyWithExternalKey oder ProtectKeyWithNumericalPassword, um eine oder mehrere Schlüsselschutzvorrichtungen zum Wiederherstellen eines ansonsten gesperrten Volumes zu erstellen.

Es ist zwar möglich, sowohl eine Schlüsselschutzvorrichtung vom Typ "TPM" als auch einen anderen vom Typ "TPM und Startschlüssel" zu verwenden, aber das Vorhandensein des Schlüsselschutzvorrichtungstyps "TPM" negiert die Auswirkungen anderer TPM-basierter Schlüsselschutzvorrichtungen.

Managed Object Format -Dateien (MOF) enthalten die Definitionen für WMI-Klassen (Windows Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe der Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows Vista Enterprise, nur Windows Vista [ Ultimate-Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Nur Server [ 2008-Desktop-Apps]
Namespace
\CIMV2-Stammsicherheit \ \ MicrosoftVolumeEncryption
MOF
Win32 _ encryptablevolume.mof

Weitere Informationen

Win32 _ EncryptableVolume

Win32 _ Tpm