Win32_EncryptableVolume-Klasse
Die WMI-Anbieterklasse Win32_EncryptableVolume stellt einen Speicherbereich auf einer Festplatte dar, der mithilfe der BitLocker-Laufwerkverschlüsselung geschützt werden kann. Nur NTFS-Volumes können verschlüsselt werden. Dabei kann es sich um ein Volume, das ein Betriebssystem enthält, oder um ein Datenvolume auf dem lokalen Datenträger handeln. Es kann sich nicht um ein Netzlaufwerk handeln.
Um die Vorteile von BitLocker zu nutzen, müssen Sie eine Schutzmethode für den Verschlüsselungsschlüssel des Volumes angeben und dann das Volume vollständig verschlüsseln.
Um den Verschlüsselungsschlüssel des Volumes zu schützen, fügen Sie mithilfe der folgenden Methoden Schlüsselschutzvorrichtungen hinzu:
- ProtectKeyWithCertificateFile
- ProtectKeyWithCertificateThumbprint
- ProtectKeyWithExternalKey
- ProtectKeyWithNumericalPassword
- ProtectKeyWithPassphrase
- ProtectKeyWithTPM
- ProtectKeyWithTPMAndPIN
- ProtectKeyWithTPMAndPINAndStartupKey
- ProtectKeyWithTPMAndStartupKey
Jeder Schlüsselschutzvorrichtungstyp bietet eine andere Authentifizierungsfunktionalität zum Entsperren des Zugriffs auf die verschlüsselten Daten. Externe Schlüssel und numerische Kennwörter können während Wiederherstellungsszenarien eine Authentifizierung bereitstellen. Bei TPM-basierten (Trusted Platform Module) Schlüsselschutzvorrichtungen müssen Sie möglicherweise zuerst das TPM ordnungsgemäß initialisieren. Weitere Informationen finden Sie im Artikel zur WMI-Anbieterklasse Win32_Tpm.
Verwenden Sie die Encrypt- oder EncryptAfterHardwareTest-Methode, um mit der Verschlüsselung zu beginnen. Schlüsselschutzvorrichtungen müssen vor dem Starten der Verschlüsselung hinzugefügt werden. Andernfalls müssen Sie die DisableKeyProtectors-Methode verwenden, um einen nicht geschützten unverschlüsselten Schlüssel verfügbar zu machen. Wenn der Computer während der Verschlüsselung ausgeschaltet wird, wird die Verschlüsselung beim Neustart des Computers automatisch fortgesetzt.
Sie können die GetConversionStatus- und GetProtectionStatus-Methoden verwenden, um den Status eines Volumes zu überprüfen, auf das zugegriffen werden kann.
Syntax
class Win32_EncryptableVolume
{
string DeviceID;
string PersistentVolumeID;
string DriveLetter;
uint32 ProtectionStatus;
};
Member
Die Win32_EncryptableVolume-Klasse verfügt über die folgenden Membertypen:
Methoden
Die Win32_EncryptableVolume-Klasse verfügt über die folgenden Methoden.
| Methode | Beschreibung |
|---|---|
| BackupRecoveryInformationToActiveDirectory | Speichert alle externen Schlüssel und zugehörigen Informationen, die für die Wiederherstellung in Active Directory erforderlich sind. |
| ChangeExternalKey | Ändert den externen Schlüssel, der einem verschlüsselten Volume zugeordnet ist. |
| ChangePassphrase | Verwendet die neue Passphrase, um einen neuen abgeleiteten Schlüssel abzurufen. |
| ChangePIN | Ändert eine PIN, die einem verschlüsselten Volume zugeordnet ist. |
| ClearAllAutoUnlockKeys | Entfernt alle auf dem derzeit ausgeführten Betriebssystemvolume gespeicherten externen Schlüssel und zugehörigen Informationen, die zum automatischen Entsperren von Datenvolumes verwendet werden. |
| Decrypt | Startet die Entschlüsselung eines vollständig verschlüsselten Volumes oder setzt die Entschlüsselung eines teilweise verschlüsselten Volumes fort. |
| DeleteKeyProtector | Löscht eine bestimmte Schlüsselschutzvorrichtung für das Volume. |
| DeleteKeyProtectors | Löscht alle Schlüsselschutzvorrichtungen für das Volume. |
| DisableAutoUnlock | Entfernt den externen Schlüssel, der auf dem derzeit ausgeführten Betriebssystemvolume gespeichert ist, sodass das Volume nicht automatisch entsperrt wird, wenn es eingebunden wird. |
| DisableKeyProtectors | Deaktiviert alle Schlüsselschutzvorrichtungen, die diesem Volume zugeordnet sind. |
| EnableAutoUnlock | Ermöglicht die automatische Entsperrung eines Datenvolumes beim Einbinden des Volumes. |
| EnableKeyProtectors | Aktiviert alle deaktivierten Schlüsselschutzvorrichtungen. |
| Encrypt | Startet die Verschlüsselung eines vollständig entschlüsselten Volumes oder setzt die Verschlüsselung eines teilweise verschlüsselten Volumes fort. |
| EncryptAfterHardwareTest | Startet die Verschlüsselung eines vollständig entschlüsselten Volumes nach einem Hardwaretest. |
| FindValidCertificates | Listet alle Zertifikate auf dem System auf, die den angegebenen Kriterien entsprechen, und gibt eine Liste von Fingerabdrücken zurück. |
| GetConversionStatus | Gibt den Status der Verschlüsselung oder Entschlüsselung für das Volume an. |
| GetEncryptionMethod | Gibt den Verschlüsselungsalgorithmus und die Schlüsselgröße an, die für das Volume verwendet werden. |
| GetExternalKeyFileName | Gibt den Namen der Datei zurück, die den externen Schlüssel enthält. |
| GetExternalKeyFromFile | Gibt den externen Schlüssel aus einer Datei zurück. |
| GetHardwareTestStatus | Gibt Statusinformationen für einen Hardwaretest zurück. |
| GetIdentificationField | Gibt die Bezeichnerzeichenfolge zurück, die in den Metadaten des Volumes verfügbar ist. |
| GetKeyPackage | Gibt Informationen zurück, die im Fall einer schwerwiegenden Beschädigung des Laufwerks dabei helfen können, verschlüsselte Daten zu retten. |
| GetKeyProtectorCertificate | Ruft den öffentlichen Schlüssel und den Zertifikatfingerabdruck für eine öffentliche Schlüsselschutzvorrichtung ab. |
| GetKeyProtectorExternalKey | Ruft den externen Schlüssel für eine bestimmte Schlüsselschutzvorrichtung des entsprechenden Typs ab. |
| GetKeyProtectorFriendlyName | Ruft den Anzeigenamen ab, der zum Identifizieren einer bestimmten Schlüsselschutzvorrichtung verwendet wird. |
| GetKeyProtectorNumericalPassword | Ruft das numerische Kennwort für eine bestimmte Schlüsselschutzvorrichtung des entsprechenden Typs ab. |
| GetKeyProtectorPlatformValidationProfile | Ruft das Plattformvalidierungsprofil für eine bestimmte Schlüsselschutzvorrichtung des entsprechenden Typs ab. |
| GetKeyProtectors | Listet die Schutzvorrichtungen auf, die zum Sichern des Verschlüsselungsschlüssels des Volumes verwendet werden. |
| GetKeyProtectorType | Gibt den Typ einer bestimmten Schlüsselschutzvorrichtung an. |
| GetLockStatus | Gibt an, ob über das derzeit ausgeführte Betriebssystem auf den Inhalt des Volumes zugegriffen werden kann. |
| GetProtectionStatus | Gibt an, ob das Volume und sein Verschlüsselungsschlüssel (falls vorhanden) gesichert sind. |
| GetVersion | Gibt die FVE-Metadatenversion des Volumes an. |
| IsAutoUnlockEnabled | Gibt an, ob das Volume beim Einbinden automatisch entsperrt wird. |
| IsAutoUnlockKeyStored | Gibt an, ob im derzeit ausgeführten Betriebssystemvolume externe Schlüssel und zugehörige Informationen vorhanden sind, die zum automatischen Entsperren von Datenvolumes verwendet werden können. |
| IsKeyProtectorAvailable | Gibt an, ob Schutzvorrichtungen für das Volume verfügbar sind. |
| IsNumericalPasswordValid | Gibt an, ob das numerische Kennwort die speziellen Formatanforderungen erfüllt. |
| Sperren | Hebt die Bereitstellung des Volumes auf und entfernt den Verschlüsselungsschlüssel des Volumes aus dem Systemspeicher. |
| PauseConversion | Hält die Verschlüsselung oder Entschlüsselung eines Volumes an. |
| PrepareVolume | Erstellt ein BitLocker-Volume mit dem angegebenen Dateisystemtyp des Ermittlungsvolumes. |
| ProtectKeyWithCertificateFile | Überprüft den Objektbezeichner (Object Identifier, OID) der erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) der bereitgestellten Zertifikatdatei. |
| ProtectKeyWithCertificateThumbprint | Überprüft den EKU-Objektbezeichner des bereitgestellten Zertifikatfingerabdrucks. |
| ProtectKeyWithExternalKey | Sichert den Verschlüsselungsschlüssel des Volumes mit einem externen 256-Bit-Schlüssel. |
| ProtectKeyWithNumericalPassword | Sichert den Verschlüsselungsschlüssel des Volumes mit einem speziell formatierten 48-stelligen Kennwort. |
| ProtectKeyWithPassphrase | Verwendet die Passphrase, um den abgeleiteten Schlüssel abzurufen. |
| ProtectKeyWithTPM | Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar). |
| ProtectKeyWithTPMAndPIN | Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar) mit erweitertem Schutz durch eine benutzerseitig angegebene PIN, die beim Start für den Computer bereitgestellt werden muss. |
| ProtectKeyWithTPMAndPINAndStartupKey | Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar) mit erweitertem Schutz durch eine benutzerseitig angegebene PIN und einen externen Schlüssel, die beim Start für den Computer bereitgestellt werden müssen. |
| ProtectKeyWithTPMAndStartupKey | Sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware auf dem Computer (sofern verfügbar) mit erweitertem Schutz durch einen externen Schlüssel, der beim Start für den Computer bereitgestellt werden muss. |
| ResumeConversion | Setzt die Verschlüsselung oder Entschlüsselung eines Volumes fort. |
| SaveExternalKeyToFile | Schreibt den externen Schlüssel, der der angegebenen Volume-Schlüsselschutzvorrichtung zugeordnet ist, in einen angegebenen Dateispeicherort. |
| SetIdentificationField | Legt die angegebene Bezeichnerzeichenfolge in den Metadaten des Volumes fest. |
| UnlockWithCertificateFile | Verwendet die bereitgestellte Zertifikatdatei, um den abgeleiteten Schlüssel abzurufen und das verschlüsselte Volume zu entsperren. |
| UnlockWithCertificateThumbprint | Verwendet den bereitgestellten Zertifikatfingerabdruck, um den abgeleiteten Schlüssel abzurufen und das verschlüsselte Volume zu entsperren. |
| UnlockWithExternalKey | Verwendet einen bereitgestellten externen Schlüssel, um auf den Inhalt eines Datenvolumes zuzugreifen. |
| UnlockWithNumericalPassword | Verwendet ein bereitgestelltes numerisches Kennwort, um auf den Inhalt eines Datenvolumes zuzugreifen. |
| UnlockWithPassphrase | Verwendet die Passphrase, um den abgeleiteten Schlüssel abzurufen. Nachdem der abgeleitete Schlüssel berechnet wurde, wird er verwendet, um den Hauptschlüssel des verschlüsselten Volumes zu entsperren. |
| UpgradeVolume | Aktualisiert ein Volume vom Windows Vista-Format auf das Windows 7-Format. |
Eigenschaften
Die Win32_EncryptableVolume-Klasse verfügt über die folgenden Eigenschaften.
ConversionStatus
Datentyp: uint32
Zugriffstyp: Schreibgeschützt
Eine ganze Zahl, die dem Verschlüsselungsstatus des Volumes entspricht. Dieser Wert wird gespeichert, wenn die Klasse instanziiert wird. Zwischen der Instanziierung und dem Zeitpunkt, zu dem Sie den Wert überprüfen, kann sich der Konvertierungsstatus ändern. Verwenden Sie die GetConversionStatus-Methode, um den Wert der ConversionStatus-Eigenschaft in Echtzeit zu überprüfen.
| Wert | Bedeutung |
|---|---|
|
VOLLSTÄNDIG ENTSCHLÜSSELT |
|
VOLLSTÄNDIG VERSCHLÜSSELT |
|
VERSCHLÜSSELUNG WIRD AUSGEFÜHRT |
|
ENTSCHLÜSSELUNG WIRD AUSGEFÜHRT |
|
VERSCHLÜSSELUNG ANGEHALTEN |
|
ENTSCHLÜSSELUNG ANGEHALTEN |
DeviceID
Datentyp: Zeichenfolge
Zugriffstyp: Schreibgeschützt
Qualifizierer: Schlüssel
Ein eindeutiger Bezeichner für das Volume im System. Verwenden Sie diese Eigenschaft, um ein Volume anderen WMI-Anbieterklassen zuzuordnen, z. B. Win32_Volume.
DriveLetter
Datentyp: Zeichenfolge
Zugriffstyp: Schreibgeschützt
Der Laufwerkbuchstabe des Volumes. Dieser Bezeichner kann verwendet werden, um ein Volume anderen WMI-Anbieterklassen zuzuordnen, z. B. Win32_Volume.
Für Volumes ohne Laufwerkbuchstaben ist dieser Wert NULL.
EncryptionMethod
Datentyp: uint32
Zugriffstyp: Schreibgeschützt
Eine ganze Zahl, die den Algorithmus identifiziert, der zum Verschlüsseln des Volumes verwendet wird.
| Wert | Bedeutung |
|---|---|
|
NICHT VERSCHLÜSSELT Das Volume ist weder verschlüsselt noch wurde die Verschlüsselung gestartet. |
|
AES 128 MIT DIFFUSOR |
|
AES 256 MIT DIFFUSOR |
|
AES 128 |
|
AES 256 |
|
HARDWAREVERSCHLÜSSELUNG |
|
XTS-AES 128 Dies ist die Standardeinstellung für Windows 10. |
|
XTS-AES 256 MIT DIFFUSOR |
IsVolumeInitializedForProtection
Datentyp: bool
Zugriffstyp: Schreibgeschützt
Gibt an, ob das Volume für den Start der Verschlüsselung bereit ist. Mindestens eine Schlüsselschutzvorrichtung muss hinzugefügt werden, bevor diese Eigenschaft „True“ lautet und die Verschlüsselung gestartet werden kann.
PersistentVolumeID
Datentyp: Zeichenfolge
Zugriffstyp: Schreibgeschützt
Ein persistenter Bezeichner für das Volume im System. Dieser Bezeichner gilt ausschließlich für Win32_EncryptableVolume.
Dieser Bezeichner ist eine leere Zeichenfolge, wenn das Volume ein vollständig entschlüsseltes NTFS-Standardvolume ist. Andernfalls weist er einen eindeutigen Wert auf.
ProtectionStatus
Datentyp: uint32
Zugriffstyp: Schreibgeschützt
Der Status des Volumes, unabhängig davon, ob das Volume durch BitLocker geschützt wird. Dieser Wert wird gespeichert, wenn die Klasse instanziiert wird. Zwischen der Instanziierung und dem Zeitpunkt, zu dem Sie den Wert überprüfen, kann sich der Schutzstatus ändern. Verwenden Sie die GetProtectionStatus-Methode, um den Wert der ProtectionStatus-Eigenschaft in Echtzeit zu überprüfen.
| Wert | Bedeutung |
|---|---|
|
SCHUTZ DEAKTIVIERT Das Volume ist nicht verschlüsselt, teilweise verschlüsselt, oder der Verschlüsselungsschlüssel des Volumes ist als Klartext auf der Festplatte verfügbar. |
|
SCHUTZ AKTIVIERT Das Volume ist vollständig verschlüsselt, und der Verschlüsselungsschlüssel des Volumes ist nicht als Klartext auf der Festplatte verfügbar. |
|
SCHUTZ UNBEKANNT Der Schutzstatus des Volumes kann nicht ermittelt werden. Eine mögliche Ursache ist, dass das Volume gesperrt ist. |
VolumeType
Datentyp: uint32
Zugriffstyp: Schreibgeschützt
Eine ganze Zahl, die den Typ des Volumes identifiziert. Dieser Wert ist wichtig, damit bei der Verschlüsselung geeignete Schlüsselschutzvorrichtungen und Verschlüsselungsmethoden verwendet werden.
| Wert | Bedeutung |
|---|---|
|
SYSTEM Das Volume enthält das Windows-Betriebssystem. Standard-Schlüsselschutzvorrichtungen sind in der Regel TPMs, manchmal in Verbindung mit einer PIN und einem numerischen Kennwort (Wiederherstellung) |
|
FESTPLATTE Dieses Volume ist ein Nicht-Systemspeichergerät für das System. Häufig wird empfohlen, die automatische Entsperrung in Verbindung mit dem Systemvolume zu konfigurieren. |
|
WECHSELMEDIUM Dieses Volume kann nicht im laufenden Betrieb aus dem System entfernt werden. In der Regel gibt dieser Wert ein externes Laufwerk oder USB-Laufwerk an. Aufgrund von Kompatibilitätsproblemen mit anderen Systemen können verschiedene Verschlüsselungsmethoden berücksichtigt werden. |
Sicherheitsüberlegungen
Die WMI-Anbieterklasse Win32_EncryptableVolume nutzt die Namespacesicherheit der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) und das Subsystem der BitLocker-Laufwerkverschlüsselung für die Zugriffssteuerung.
Um die Win32_EncryptableVolume-Methoden verwenden zu können, müssen die folgenden Bedingungen erfüllt sein:
Sie müssen über Administratorrechte verfügen.
Die Verbindungsverschlüsselung muss in der Lage sein, eine Verbindung mit dem Anbieter herzustellen.
Weitere Informationen zum Erstellen einer verschlüsselten Verbindung finden Sie unter Anfordern einer verschlüsselten Verbindung mit einem Namespace.
Um Remoteverbindungen zuzulassen, muss WMI-Remotedatenverkehr zulässig sein. Weitere Informationen zum Zulassen von WMI-Datenverkehr finden Sie unter Einrichten einer WMI-Remoteverbindung (ab Windows Vista).
Die Standardeinstellung für die Namespacesicherheit enthält einen Eintrag, mit dem die Bearbeitung standardmäßig zugelassen werden kann. Weitere Informationen zur WMI-Namespaceüberwachung finden Sie unter Zugriff auf WMI-Namespaces.
Hinweise
MOF-Dateien (Managed Object Format) enthalten die Definitionen für WMI-Klassen. MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mit dem Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) |
Windows Vista Enterprise, Windows Vista Ultimate [nur Desktop-Apps] |
| Minimal unterstützter Server |
Windows Server 2008 [nur Desktop-Apps] |
| Namespace |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|