Metodo ProtectKeyWithTPMAndStartupKey della classe Win32_EncryptableVolume
Il metodo ProtectKeyWithTPMAndStartupKey della classe Win32_EncryptableVolume protegge la chiave di crittografia del volume usando l'hardware di sicurezza TPM (Trusted Platform Module) nel computer, se disponibile, migliorato da una chiave esterna che deve essere presentata al computer all'avvio.
Sia la convalida da parte del TPM che dell'input di un dispositivo di memoria USB che contiene la chiave esterna sono necessari per accedere alla chiave di crittografia del volume e sbloccare il contenuto del volume. Utilizzare il metodo SaveExternalKeyToFile per salvare questa chiave esterna in un file in un dispositivo di memoria USB per l'utilizzo come chiave di avvio.
Questo metodo è applicabile solo per il volume che contiene il sistema operativo attualmente in esecuzione.
Viene creata una protezione con chiave di tipo "TPM e chiave di avvio" per il volume, se non ne esiste già una.
Sintassi
uint32 ProtectKeyWithTPMAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Parametri
-
FriendlyName [in, facoltativo]
-
Tipo: string
Identificatore di stringa assegnato dall'utente per questa protezione con chiave. Se questo parametro non viene specificato, viene utilizzato un valore vuoto.
-
PlatformValidationProfile [in, facoltativo]
-
Tipo: uint8[]
Matrice di numeri interi che specifica il modo in cui l'hardware TPM (Trusted Platform Module) del computer protegge la chiave di crittografia del volume del disco.
Un profilo di convalida della piattaforma è costituito da un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23 inclusi. I valori ripetuti nel parametro vengono ignorati. Ogni indice PCR è associato ai servizi eseguiti all'avvio del sistema operativo. Ogni volta che il computer viene avviato, il TPM verificherà che i servizi specificati nel profilo di convalida della piattaforma non siano stati modificati. Se uno di questi servizi cambia mentre la protezione BDE (BitLocker Drive Encryption) rimane attiva, il TPM non rilascia la chiave di crittografia per sbloccare il volume del disco e il computer entra in modalità di ripristino.
Se questo parametro viene specificato mentre è stata abilitata l'impostazione Criteri di gruppo corrispondente, deve corrispondere all'impostazione di Criteri di gruppo.
Se questo parametro non viene specificato, viene utilizzato il valore predefinito 0, 2, 4, 5, 8, 9, 10 e 11. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia rispetto alle modifiche apportate agli elementi seguenti:
- Radice principale di attendibilità della misura (CRTM)
- BIOS
- Estensioni della piattaforma (PCR 0)
- Codice ROM opzione (PCR 2)
- Codice MBR (Master Boot Record) (PCR 4)
- Tabella di partizione MBR (Master Boot Record) (PCR 5)
- Settore di avvio NTFS (PCR 8)
- Blocco di avvio NTFS (PCR 9)
- Boot Manager (PCR 10)
- BitLocker Controllo di accesso (PCR 11)
Per la sicurezza del computer, è consigliabile usare il profilo predefinito. Per una protezione aggiuntiva dalle modifiche alla configurazione di avvio anticipato, usare un profilo di richieste pull 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. I computer basati su UEFI (Unified Extensible Firmware Interface) non usano PCR 5 per impostazione predefinita.
La modifica dal profilo predefinito influisce sulla sicurezza e sulla gestibilità del computer. La sensibilità di BitLocker alle modifiche della piattaforma (dannose o autorizzate) viene aumentata o ridotta a seconda dell'inclusione o dell'esclusione, rispettivamente, delle richieste pull. Per abilitare la protezione BitLocker, il profilo di convalida della piattaforma deve includere PCR 11.
Valore Significato - 0
Radice principale di attendibilità delle misurazioni (CRTM), BIOS ed estensioni della piattaforma - 1
Configurazione e dati della piattaforma e della scheda madre - 2
Codice ROM opzione - 3
Configurazione e dati rom delle opzioni - 4
Codice MBR (Master Boot Record) - 5
Tabella di partizione MBR (Master Boot Record) - 6
Eventi di transizione e riattivazione dello stato - 7
Manufacturer-Specific computer - 8
Settore di avvio NTFS - 9
Blocco di avvio NTFS - 10
Boot Manager - 11
BitLocker Controllo di accesso - 12
Definito per l'uso dal sistema operativo statico - 13
Definito per l'uso dal sistema operativo statico - 14
Definito per l'uso dal sistema operativo statico - 15
Definito per l'uso dal sistema operativo statico - 16
Usato per il debug - 17
CRTM dinamico - 18
Piattaforma definita - 19
Usato da un sistema operativo attendibile - 20
Usato da un sistema operativo attendibile - 21
Usato da un sistema operativo attendibile - 22
Usato da un sistema operativo attendibile - 23
Supporto delle applicazioni -
ExternalKey [in, facoltativo]
-
Tipo: uint8[]
Matrice di byte che specifica la chiave esterna a 256 bit usata per sbloccare il volume all'avvio del computer.
Se non viene specificata alcuna chiave esterna, ne viene generata una in modo casuale. Utilizzare il metodo GetKeyProtectorExternalKey per ottenere la chiave generata in modo casuale.
-
VolumeKeyProtectorID [out]
-
Tipo: string
Stringa che rappresenta l'identificatore univoco associato alla protezione con chiave creata che può essere usata per gestire la protezione con chiave.
Se l'unità supporta la crittografia hardware e BitLocker non ha acquisito la proprietà della banda, la stringa ID è impostata su "BitLocker" e la protezione con chiave viene scritta in per ogni metadati della banda.
Valore restituito
Tipo: uint32
Questo metodo restituisce uno dei codici seguenti o un altro codice di errore in caso di errore.
| Codice/valore restituito | Descrizione |
|---|---|
|
Il metodo è stato eseguito correttamente. |
|
Il volume è bloccato. |
|
In questo computer non viene trovato alcun TPM compatibile. |
|
Il TPM non è in grado di proteggere la chiave di crittografia del volume perché il volume non contiene il sistema operativo attualmente in esecuzione. |
|
Il parametro PlatformValidationProfile viene fornito, ma i relativi valori non sono compresi nell'intervallo noto o non corrispondono all'impostazione Criteri di gruppo attualmente attiva. Il parametro ExternalKey viene fornito ma non è una matrice di dimensioni 32. |
|
Un CD/DVD di avvio si trova in questo computer. Rimuovere il CD/DVD e riavviare il computer. |
|
Esiste già una protezione con chiave di questo tipo. |
Considerazioni relative alla sicurezza
Per la sicurezza del computer, è consigliabile usare il profilo predefinito. Per una maggiore protezione dalle modifiche iniziali del codice di avvio, usare un profilo di pcr 0, 2, 4, 5, 8, 9, 10 e 11. Per una protezione aggiuntiva dalle modifiche alla configurazione di avvio anticipato, usare un profilo di richieste pull 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
La modifica dal profilo predefinito influisce sulla sicurezza o sull'usabilità del computer.
Commenti
Al massimo una protezione con chiave di tipo "TPM e chiave di avvio" può esistere per un volume in qualsiasi momento. Se si desidera modificare il nome visualizzato o il profilo di convalida della piattaforma usato da una protezione con chiave "TPM e chiave di avvio" esistente, è necessario rimuovere prima la protezione con chiave esistente e quindi chiamare ProtectKeyWithTPMAndStartupKey per crearne uno nuovo. È necessario specificare protezioni con chiave aggiuntive per sbloccare il volume negli scenari di ripristino in cui non è possibile ottenere l'accesso alla chiave di crittografia del volume; Ad esempio, quando il TPM non può eseguire correttamente la convalida rispetto al profilo di convalida della piattaforma o quando la memoria USB che contiene la chiave esterna viene persa.
Usare ProtectKeyWithExternalKey o ProtectKeyWithNumericalPassword per creare una o più protezioni con chiave per il ripristino di un volume altrimenti bloccato.
Anche se è possibile avere sia una protezione con chiave del tipo "TPM" che un altro del tipo "TPM e chiave di avvio", la presenza del tipo di protezione con chiave "TPM" nega gli effetti di altre protezioni con chiave basate su TPM.
I file MOF (Managed Object Format) contengono le definizioni per le classi WMI (Windows Management Instrumentation). I file MOF non vengono installati come parte di Windows SDK. Vengono installati nel server quando si aggiunge il ruolo associato usando il Server Manager. Per altre informazioni sui file MOF, vedere Managed Object Format (MOF).
Requisiti
| Requisito | Valore |
|---|---|
| Client minimo supportato |
Windows Vista Enterprise, Windows Vista Ultimate [solo app desktop] |
| Server minimo supportato |
Windows Server 2008 [solo app desktop] |
| Spazio dei nomi |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Vedi anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per