Méthode ProtectKeyWithTPMAndStartupKey de la classe Win32_EncryptableVolume
La méthode ProtectKeyWithTPMAndStartupKey de la classe Win32_EncryptableVolume sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, le cas échéant, amélioré par une clé externe qui doit être présentée à l’ordinateur au démarrage.
La validation par le module TPM et l’entrée d’un périphérique de mémoire USB contenant la clé externe sont nécessaires pour accéder à la clé de chiffrement du volume et déverrouiller le contenu du volume. Utilisez la méthode SaveExternalKeyToFile pour enregistrer cette clé externe dans un fichier sur un périphérique de mémoire USB et l’utiliser en tant que clé de démarrage.
Cette méthode s’applique uniquement au volume qui contient le système d’exploitation en cours d’exécution.
Un protecteur de clé de type « TPM et clé de démarrage » est créé pour le volume, s’il n’en existe pas déjà un.
Syntaxe
uint32 ProtectKeyWithTPMAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Paramètres
-
FriendlyName [in, facultatif]
-
Type : chaîne
Identificateur de chaîne attribué par l’utilisateur pour ce protecteur de clé. Si ce paramètre n’est pas spécifié, une valeur vide est utilisée.
-
PlatformValidationProfile [in, facultatif]
-
Type : uint8[]
Tableau d’entiers qui spécifie la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement du volume de disque.
Un profil de validation de plateforme se compose d’un ensemble d’index PCR (Platform Configuration Register) allant de 0 à 23, inclus. Les valeurs répétées dans le paramètre sont ignorées. Chaque index PCR est associé aux services qui s’exécutent au démarrage du système d’exploitation. Chaque fois que l’ordinateur démarre, le module TPM case activée que les services que vous avez spécifiés dans le profil de validation de la plateforme n’ont pas changé. Si l’un de ces services change alors que la protection BDE (BitLocker Drive Encryption) reste activée, le TPM ne libère pas la clé de chiffrement pour déverrouiller le volume de disque et l’ordinateur passe en mode de récupération.
Si ce paramètre est spécifié alors que le paramètre de stratégie de groupe correspondant a été activé, il doit correspondre au paramètre stratégie de groupe.
Si ce paramètre n’est pas spécifié, la valeur par défaut 0, 2, 4, 5, 8, 9, 10 et 11 est utilisée. Le profil de validation de la plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées aux éléments suivants :
- Racine principale de l’approbation de la mesure (CRTM)
- BIOS
- Extensions de plateforme (PCR 0)
- Option ROM Code (PCR 2)
- Code d’enregistrement de démarrage maître (MBR) (PCR 4)
- Table de partition d’enregistrement de démarrage maître (MBR) (PCR 5)
- Secteur de démarrage NTFS (PCR 8)
- Bloc de démarrage NTFS (PCR 9)
- Gestionnaire de démarrage (PCR 10)
- BitLocker Access Control (PCR 11)
Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de configuration au démarrage précoce, utilisez un profil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Les ordinateurs basés sur l’interface UEFI (Unified Extensible Firmware Interface) n’utilisent pas pcr 5 par défaut.
La modification du profil par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de plateforme (malveillantes ou autorisées) est augmentée ou diminuée en fonction de l’inclusion ou de l’exclusion, respectivement, des RCP. Pour que la protection BitLocker soit activée, le profil de validation de la plateforme doit inclure LA PCR 11.
Valeur Signification - 0
Racine principale de l’approbation de la mesure (CRTM), du BIOS et des extensions de plateforme - 1
Configuration et données de la plateforme et de la carte mère - 2
Code ROM d’option - 3
Option ROM Configuration et données - 4
Code MBR (Master Boot Record) - 5
Table de partition MBR (Master Boot Record) - 6
Événements de transition d’état et de veille - 7
Manufacturer-Specific ordinateur - 8
Secteur de démarrage NTFS - 9
Bloc de démarrage NTFS - 10
Gestionnaire de démarrage - 11
Access Control BitLocker - 12
Défini pour une utilisation par le système d’exploitation statique - 13
Défini pour une utilisation par le système d’exploitation statique - 14
Défini pour une utilisation par le système d’exploitation statique - 15
Défini pour une utilisation par le système d’exploitation statique - 16
Utilisé pour le débogage - 17
CRTM dynamique - 18
Plateforme définie - 19
Utilisé par un système d’exploitation approuvé - 20
Utilisé par un système d’exploitation approuvé - 21
Utilisé par un système d’exploitation approuvé - 22
Utilisé par un système d’exploitation approuvé - 23
Prise en charge des applications -
ExternalKey [in, facultatif]
-
Type : uint8[]
Tableau d’octets qui spécifie la clé externe 256 bits utilisée pour déverrouiller le volume au démarrage de l’ordinateur.
Si aucune clé externe n’est spécifiée, une clé est générée de manière aléatoire. Utilisez la méthode GetKeyProtectorExternalKey pour obtenir la clé générée de manière aléatoire.
-
VolumeKeyProtectorID [out]
-
Type : chaîne
Chaîne qui est l’identificateur unique associé au protecteur de clé créé qui peut être utilisé pour gérer le protecteur de clé.
Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris la propriété de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.
Valeur retournée
Type : uint32
Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.
| Code/valeur de retour | Description |
|---|---|
|
La méthode a réussi. |
|
Le volume est verrouillé. |
|
Aucun module de plateforme sécurisée compatible n’est trouvé sur cet ordinateur. |
|
Le module TPM ne peut pas sécuriser la clé de chiffrement du volume, car celui-ci ne contient pas le système d’exploitation en cours d’exécution. |
|
Le paramètre PlatformValidationProfile est fourni, mais ses valeurs ne se trouvent pas dans la plage connue ou ne correspond pas au paramètre stratégie de groupe actuellement en vigueur. Le paramètre ExternalKey est fourni, mais n’est pas un tableau de taille 32. |
|
Un CD/DVD de démarrage se trouve sur cet ordinateur. Supprimez le CD/DVD et redémarrez l’ordinateur. |
|
Un protecteur de clé de ce type existe déjà. |
Considérations relatives à la sécurité
Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de code de démarrage précoces, utilisez un profil de FICHIERS PCR 0, 2, 4, 5, 8, 9, 10 et 11. Pour une protection supplémentaire contre les modifications de configuration au démarrage précoce, utilisez un profil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
La modification du profil par défaut affecte la sécurité ou la facilité d’utilisation de votre ordinateur.
Notes
Tout au plus un protecteur de clé de type « TPM et clé de démarrage » peut exister pour un volume à tout moment. Si vous souhaitez modifier le nom d’affichage ou le profil de validation de la plateforme utilisé par un protecteur de clé « TPM plus clé de démarrage » existant, vous devez d’abord supprimer le protecteur de clés existant, puis appeler ProtectKeyWithTPMAndStartupKey pour en créer un. Des protecteurs de clés supplémentaires doivent être spécifiés pour déverrouiller le volume dans les scénarios de récupération où l’accès à la clé de chiffrement du volume ne peut pas être obtenu ; par exemple, lorsque le module TPM ne peut pas valider correctement par rapport au profil de validation de la plateforme ou lorsque la mémoire USB qui contient la clé externe est perdue.
Utilisez ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword pour créer un ou plusieurs protecteurs de clés pour récupérer un volume autrement verrouillé.
Bien qu’il soit possible d’avoir à la fois un protecteur de clé du type « TPM » et un autre du type « TPM et clé de démarrage », la présence du type de protecteur de clé « TPM » annule les effets d’autres protecteurs de clés basés sur TPM.
Les fichiers MOF (Managed Object Format) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (MOF).
Spécifications
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge |
Windows Vista Entreprise, Windows Vista Édition intégrale [applications de bureau uniquement] |
| Serveur minimal pris en charge |
Windows Server 2008 [applications de bureau uniquement] |
| Espace de noms |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour