Méthode ProtectKeyWithTPMAndPINAndStartupKey de la _ classe Win32 EncryptableVolume

La méthode ProtectKeyWithTPMAndPINAndStartupKey de la classe Win32 _ EncryptableVolume sécurise la clé de chiffrement du volume à l’aide de la module de plateforme sécurisée (TPM) (TPM) sur l’ordinateur, si elle est disponible, améliorée à la fois par un code confidentiel (pin) spécifié par l’utilisateur et par une clé externe qui doit être présentée à l’ordinateur au démarrage.

Trois facteurs d’authentification sont nécessaires pour déverrouiller le contenu chiffré du volume :

  1. Validation par le module de plateforme sécurisée
  2. Entrée d’une broche de 4 à 20 chiffres ou si la stratégie de groupe « autoriser les codes confidentiels améliorés pour le démarrage » est activée, de 4 à 20 lettres, symboles, espaces ou nombres
  3. Entrée d’un périphérique de mémoire USB contenant la clé externe

Utilisez la méthode SaveExternalKeyToFile pour enregistrer cette clé externe dans un fichier sur un périphérique de mémoire USB en vue de son utilisation en tant que clé de démarrage. Cette méthode s’applique uniquement au volume du système d’exploitation. Un protecteur de clé de type « TPM et PIN et clé de démarrage » est créé.

Syntaxe

uint32 ProtectKeyWithTPMAndPINAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile,
  [in]           string PIN,
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

Paramètres

FriendlyName [ dans, facultatif]

Type : chaîne

Chaîne qui étiquette ce protecteur de clé. Si ce paramètre n’est pas spécifié, une valeur vide est utilisée.

PlatformValidationProfile [ dans, facultatif]

Type : UInt8

Tableau d’entiers qui spécifie la façon dont le module de plateforme sécurisée de l’ordinateur sécurise la clé de chiffrement du volume. Un profil de validation de plateforme se compose d’un ensemble d’index de registre de configuration de plateforme (PCR) compris entre 0 et 23 inclus. Les valeurs de répétition dans le paramètre sont ignorées. Chaque index PCR est associé à des services qui s’exécutent au démarrage du système d’exploitation. Chaque fois que l’ordinateur démarre, le module de plateforme sécurisée vérifie que les services que vous avez spécifiés dans le profil de validation de plateforme n’ont pas changé. Si l’un de ces services change alors que la protection BitLocker reste activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le volume et l’ordinateur passe en mode de récupération.

Si ce paramètre n’est pas spécifié, les index par défaut de 0, 2, 4, 5, 8, 9, 10 et 11 sont utilisés. Le profil de validation de plateforme par défaut protège la clé de chiffrement contre les modifications apportées à la racine principale de l’approbation de mesure (CRTM). le BIOS et les extensions de plateforme (PCR 0), le code option ROM (PCR 2), le code MBR (Master Boot Record) (PCR 4), la table de partition MBR (Master Boot Record) (PCR 5), le secteur de démarrage NTFS (PCR 8), le bloc de démarrage NTFS (PCR 9), le gestionnaire de démarrage (PCR 10) et le Access Control BitLocker (PCR 11). Les ordinateurs basés sur Unified Extensible Firmware Interface (UEFI) n’utilisent pas la PCR 5 par défaut.

Le profil de validation de plateforme par défaut est recommandé. Pour bénéficier d’une protection supplémentaire contre les changements de configuration de démarrage précoces, utilisez un profil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

La modification du profil par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de la plateforme (malveillantes ou autorisées) est augmentée ou réduite en fonction de l’inclusion ou de l’exclusion, respectivement, du PCR. Pour que la protection BitLocker soit activée, le profil de validation de plateforme doit inclure PCR 11.

Valeur Signification
0
Racine principale de l’approbation de la mesure (CRTM), du BIOS et des extensions de plateforme
1
Configuration et données de la plateforme et de la carte mère
2
Code option ROM
3
Configuration et données de la ROM optionnelle
4
Code d’enregistrement de démarrage principal (MBR)
5
Table de partition d’enregistrement de démarrage principal (MBR)
6
Événements de transition d’État et de mise en éveil
7
Ordinateur Manufacturer-Specific
8
Secteur de démarrage NTFS
9
Bloc de démarrage NTFS
10
Gestionnaire de démarrage
11
Access Control BitLocker
12
Défini pour être utilisé par le système d’exploitation statique
13
Défini pour être utilisé par le système d’exploitation statique
14
Défini pour être utilisé par le système d’exploitation statique
15
Défini pour être utilisé par le système d’exploitation statique
16
Utilisé pour le débogage
17
CRTM dynamique
19
Plateforme définie
19
Utilisé par un système d’exploitation approuvé
20
Utilisé par un système d’exploitation approuvé
21
Utilisé par un système d’exploitation approuvé
22
Utilisé par un système d’exploitation approuvé
23
Prise en charge des applications

Code confidentiel [ dans]

Type : chaîne

Contient un numéro d’identification personnel (PIN) de 4 à 20 chiffres ou, si la stratégie de groupe « autoriser les codes confidentiels améliorés pour le démarrage » est activée, 4 et 20 lettres, symboles, espaces ou nombres. Cette chaîne doit être fournie à l’ordinateur au démarrage.

ExternalKey [ dans, facultatif]

Type : UInt8 [ ]

Tableau d’octets qui spécifie la clé externe 256 bits utilisée pour déverrouiller le volume au démarrage de l’ordinateur. Laissez ce paramètre vide pour générer de façon aléatoire la clé externe. Utilisez la méthode GetKeyProtectorExternalKey pour obtenir la clé générée de façon aléatoire.

VolumeKeyProtectorID [ à]

Type : chaîne

Identificateur de chaîne unique mis à jour utilisé pour gérer un protecteur de clé de volume chiffré.

Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris possession de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.

Valeur de retour

Type : UInt32

Cette méthode retourne l’un des codes suivants, ou un autre code d’erreur en cas d’échec.

Code/valeur de retour Description
S _ OK
0 (0x0)
La méthode a réussi.
E _ INVALIDARG
2147942487 (0x80070057)
Le paramètre PlatformValidationProfile est fourni, mais ses valeurs ne sont pas comprises dans la plage connue, ou il ne correspond pas au paramètre stratégie de groupe qui est actuellement en vigueur.
Le paramètre ExternalKey est fourni, mais il ne s’agit pas d’un tableau de taille 32.
FVE _ E _ amorçable _ CDDVD
2150694960 (0x80310030)
Un CD/DVD de démarrage est détecté sur cet ordinateur. Retirez le CD/DVD et redémarrez l’ordinateur.
FVE _ E _ _ VOLUME étranger
2150694947 (0x80310023)
Le module de plateforme sécurisée ne peut pas sécuriser la clé de chiffrement du volume car le volume ne contient pas le système d’exploitation en cours d’exécution.
FVE _ E _ _ _ caractères pin non valides
2150695066 (0x8031009A)
Le paramètre NewPIN contient des caractères qui ne sont pas valides. Lorsque l’stratégie de groupe « autoriser les codes confidentiels améliorés au démarrage » est désactivée, seuls les nombres sont pris en charge.
FVE _ E _ Locked _ volume
2150694912 (0x80310000)
Le volume est verrouillé.
FVE _ _Longueur de _ _ code confidentiel _ non valide pour la stratégie E
2150695016 (0x80310068)
Le paramètre NewPIN fourni comporte plus de 20 caractères, moins de 4 caractères, ou une longueur inférieure à la longueur minimale spécifiée par stratégie de groupe.
FVE _ Le _ protecteur E _ existe
2150694961 (0x80310031)
Un protecteur de clé de ce type existe déjà.
Tbs _ _Service E _ non _ exécuté
2150121480 (0x80284008)
Aucun module de plateforme sécurisée compatible n’a été trouvé sur cet ordinateur.

Notes

Au plus un protecteur de clé de type « TPM et PIN et clé de démarrage » peut exister pour un volume à tout moment. Si vous souhaitez modifier le nom complet ou le profil de validation de plateforme utilisé par un protecteur de clé « TPM et code confidentiel et clé de démarrage » existants, vous devez d’abord supprimer le protecteur de clé existant, puis appeler ProtectKeyWithTPMAndPINAndStartupKey pour en créer un nouveau.

Des protecteurs de clé supplémentaires doivent être spécifiés pour déverrouiller le volume dans les scénarios de récupération où l’accès à la clé de chiffrement du volume ne peut pas être obtenu. par exemple, lorsque le module de plateforme sécurisée ne peut pas être validé avec le profil de validation de plateforme ou que le code confidentiel est perdu. Utilisez ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword pour créer un ou plusieurs protecteurs de clé pour la récupération d’un volume autrement verrouillé.

Bien qu’il soit possible d’avoir à la fois un protecteur de clé du type « TPM » et un autre du type « TPM et clé de démarrage », la présence du type de protecteur de clé « TPM » nie les effets des autres protecteurs de clés basés sur le module de plateforme sécurisée.

les fichiers format MOF (MOF) contiennent les définitions des classes Windows Management Instrumentation (WMI). les fichiers MOF ne sont pas installés dans le cadre de la SDK Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide de l’Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez format MOF (MOF).

Configuration requise

Condition requise Valeur
Client minimal pris en charge
Windows vista Enterprise avec sp1, Windows les applications de bureau vista Ultimate avec sp1 [ uniquement]
Serveur minimal pris en charge
Windows Serveur 2008 [ applications de bureau uniquement]
Espace de noms
Racine \ de \ sécurité cimv2 \ MicrosoftVolumeEncryption
MOF
Win32 _ encryptablevolume. mof

Voir aussi

_EncryptableVolume Win32