Метод ProtectKeyWithTPMAndStartupKey класса Win32_EncryptableVolume
Метод ProtectKeyWithTPMAndStartupKey класса Win32_EncryptableVolume защищает ключ шифрования тома с помощью оборудования безопасности доверенного платформенного модуля (TPM) на компьютере, если оно доступно, дополненного внешним ключом, который должен быть представлен компьютеру при запуске.
Для доступа к ключу шифрования тома и разблокировки содержимого тома требуется как проверка доверенного платформенного модуля, так и ввод usb-устройства памяти, содержащего внешний ключ. Используйте метод SaveExternalKeyToFile , чтобы сохранить этот внешний ключ в файл на USB-устройстве памяти для использования в качестве ключа запуска.
Этот метод применим только для тома, содержащего текущую операционную систему.
Для тома создается предохранитель ключа типа TPM и ключ запуска, если он еще не существует.
Синтаксис
uint32 ProtectKeyWithTPMAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Параметры
-
FriendlyName [in, необязательный]
-
Тип: string
Назначаемый пользователем строковый идентификатор для этого предохранителя ключа. Если этот параметр не указан, используется пустое значение.
-
PlatformValidationProfile [в, необязательно]
-
Тип: uint8[]
Массив целых чисел, указывающий, как оборудование безопасности доверенного платформенного модуля (TPM) компьютера защищает ключ шифрования тома диска.
Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы (PCR) в диапазоне от 0 до 23 включительно. Повторяющиеся значения в параметре игнорируются. Каждый индекс PCR связан со службами, которые запускаются при запуске операционной системы. При каждом запуске компьютера доверенный платформенный модуль будет проверка, что службы, указанные в профиле проверки платформы, не изменились. Если какая-либо из этих служб изменится, пока защита шифрования дисков BitLocker (BDE) остается включенной, доверенный платформенный модуль не выпустит ключ шифрования для разблокировки тома диска, и компьютер перейдет в режим восстановления.
Если этот параметр указан при включении соответствующего параметра групповая политика, он должен соответствовать параметру групповая политика.
Если этот параметр не указан, используется значение по умолчанию 0, 2, 4, 5, 8, 9, 10 и 11. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в следующих элементах:
- Основной корень доверия измерения (CRTM)
- BIOS
- Расширения платформы (PCR 0)
- Код дополнительного ПЗУ (PCR 2)
- Код главной загрузочной записи (MBR) (PCR 4)
- Таблица разделов основной загрузочной записи (MBR) (PCR 5)
- Загрузочный сектор NTFS (PCR 8)
- Загрузочный блок NTFS (PCR 9)
- Диспетчер загрузки (PCR 10)
- BitLocker контроль доступа (PCR 11)
Для обеспечения безопасности компьютера рекомендуется использовать профиль по умолчанию. Для дополнительной защиты от изменений конфигурации раннего запуска используйте профиль PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Компьютеры на основе UEFI по умолчанию не используют PCR 5.
Изменение профиля по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения соответственно PCR. Чтобы включить защиту BitLocker, профиль проверки платформы должен включать PCR 11.
Значение Значение - 0
Core Root of Trust of Measurement (CRTM), BIOS и расширения платформы - 1
Конфигурация платформы и системной платы и данные - 2
Код дополнительного ПЗУ - 3
Конфигурация и данные дополнительного ПЗУ - 4
Код главной загрузочной записи (MBR) - 5
Таблица разделов главной загрузочной записи (MBR) - 6
События перехода состояния и пробуждения - 7
Manufacturer-Specific компьютера - 8
Загрузочный сектор NTFS - 9
Загрузочный блок NTFS - 10
Диспетчер загрузки - 11
Контроль доступа BitLocker - 12
Определяется для использования статической операционной системой - 13
Определяется для использования статической операционной системой - 14
Определяется для использования статической операционной системой - 15
Определяется для использования статической операционной системой - 16
Используется для отладки - 17
Динамический CRTM - 18
Определяемая платформой - 19
Используется доверенной операционной системой - 20
Используется доверенной операционной системой - 21
Используется доверенной операционной системой - 22
Используется доверенной операционной системой - 23
Поддержка приложений -
ExternalKey [in, необязательный]
-
Тип: uint8[]
Массив байтов, указывающий 256-разрядный внешний ключ, используемый для разблокировки тома при запуске компьютера.
Если внешний ключ не указан, он создается случайным образом. Используйте метод GetKeyProtectorExternalKey для получения случайно созданного ключа.
-
VolumeKeyProtectorID [out]
-
Тип: string
Строка, которая является уникальным идентификатором, связанным с созданным предохранителем ключа, который можно использовать для управления предохранителем ключа.
Если диск поддерживает аппаратное шифрование и BitLocker не стал владельцем группы, для строки идентификатора устанавливается значение BitLocker, а предохранитель ключа записывается в метаданные каждого диапазона.
Возвращаемое значение
Тип: uint32
Этот метод возвращает один из следующих кодов или другой код ошибки в случае сбоя.
| Возвращаемый код/значение | Описание |
|---|---|
|
Метод выполнен успешно. |
|
Том заблокирован. |
|
На этом компьютере не найден совместимый доверенный платформенный модуль. |
|
TPM не может защитить ключ шифрования тома, так как том не содержит текущей операционной системы. |
|
Указан параметр PlatformValidationProfile, но его значения не находятся в известном диапазоне или не соответствуют действующему групповая политика параметру. Параметр ExternalKey указан, но не является массивом размером 32. |
|
На этом компьютере есть загрузочный компакт-диск/DVD-диск. Извлеките компакт-диск или DVD-диск и перезагрузите компьютер. |
|
Предохранитель ключа этого типа уже существует. |
Вопросы безопасности
Для обеспечения безопасности компьютера рекомендуется использовать профиль по умолчанию. Для дополнительной защиты от ранних изменений кода запуска используйте профиль PCR 0, 2, 4, 5, 8, 9, 10 и 11. Для дополнительной защиты от изменений конфигурации раннего запуска используйте профиль PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
Изменение профиля по умолчанию влияет на безопасность или удобство использования компьютера.
Комментарии
Для тома в любое время может существовать не более одного предохранителя ключа типа "TPM and Startup Key". Если вы хотите изменить отображаемое имя или профиль проверки платформы, используемый существующим предохранителем ключа TPM плюс ключ запуска, необходимо сначала удалить существующий предохранитель ключа, а затем вызвать ProtectKeyWithTPMAndStartupKey , чтобы создать новую. Для разблокировки тома в сценариях восстановления, где невозможно получить доступ к ключу шифрования тома, необходимо указать дополнительные предохранители ключей. например, если доверенный платформенный модуль не может успешно выполнить проверку по профилю проверки платформы или когда теряется USB-память, содержащая внешний ключ.
Используйте ProtectKeyWithExternalKey или ProtectKeyWithNumericalPassword , чтобы создать один или несколько предохранителей ключа для восстановления заблокированного в противном случае тома.
Хотя можно использовать как предохранитель ключа типа "TPM", так и другой тип "TPM And Startup Key", наличие типа предохранителя ключа "TPM" сводит на нет влияние других предохранителей ключей на основе доверенного платформенного модуля.
MOF-файлы содержат определения для классов инструментария управления Windows (WMI). MOF-файлы не устанавливаются в составе пакета Windows SDK. Они устанавливаются на сервере при добавлении связанной роли с помощью диспетчер сервера. Дополнительные сведения о MOF-файлах см. в разделе Формат управляемого объекта (MOF).
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента |
Windows Vista Enterprise, Windows Vista Ultimate [только классические приложения] |
| Минимальная версия сервера |
Windows Server 2008 [только классические приложения] |
| Пространство имен |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по