EncryptAfterHardwareTest-Methode der Win32_EncryptableVolume-Klasse

Die EncryptAfterHardwareTest-Methode der Win32_EncryptableVolume-Klasse beginnt mit der Verschlüsselung eines vollständig entschlüsselten Betriebssystemvolumes nach einem Hardwaretest. Für diesen Hardwaretest ist ein Neustart erforderlich. Verwenden Sie diese Methode anstelle der Encrypt-Methode , um zu überprüfen, ob BitLocker wie erwartet funktioniert.

Hinweis

Wenn die Festplatte hardwareverschlüsselt ist, werden mit dieser Methode keine Daten verschlüsselt. Stattdessen wird das Band status von "unbefristet entsperrt" festgelegt. Wenn das Band gesperrt, entsperrt oder schreibgeschützt ist, gilt das Laufwerk als verschlüsselt.

 

Syntax

uint32 EncryptAfterHardwareTest(
  [in, optional] uint32 EncryptionMethod,
  [in, optional] uint32 EncryptionFlags
);

Parameter

EncryptionMethod [in, optional]

Typ: uint32

Gibt den Verschlüsselungsalgorithmus und die Schlüsselgröße an, die zum Verschlüsseln des Volumes verwendet werden. Lassen Sie diesen Parameter leer, um den Standardwert 0 zu verwenden. Wenn das Volume teilweise oder vollständig verschlüsselt ist, muss der Wert dieses Parameters 0 sein oder der vorhandenen Verschlüsselungsmethode des Volumes entsprechen. Wenn die entsprechende Gruppenrichtlinie Einstellung mit einem gültigen Wert aktiviert wurde, muss der Wert dieses Parameters 0 sein oder der Gruppenrichtlinie-Einstellung entsprechen.

Wenn die entsprechende Gruppenrichtlinie Einstellung ungültig ist, wird der Standardwert AES 128 mit Diffusor verwendet.

Wert Bedeutung
Nicht angegeben
0
Verwenden Sie die aktuelle Gruppenrichtlinie einstellung, falls verfügbar und gültig, oder andernfalls die Standardverschlüsselungsmethode.
1
AES 128 MIT DIFFUSOR
Verschlüsseln Sie das Volume mithilfe des AES-Algorithmus (Advanced Encryption Standard), der um eine Diffusorebene erweitert wurde, und verwenden Sie eine AES-Schlüsselgröße von 128 Bit.
2
AES 256 MIT DIFFUSOR
Verschlüsseln Sie das Volume mithilfe des AES-Algorithmus (Advanced Encryption Standard), der um eine Diffusorebene erweitert wurde, und verwenden Sie eine AES-Schlüsselgröße von 256 Bit.
AES_128
3
Verschlüsseln Sie das Volume mit dem AES-Algorithmus (Advanced Encryption Standard) und einer AES-Schlüsselgröße von 128 Bit.
AES_256
4
Verschlüsseln Sie das Volume mit dem AES-Algorithmus (Advanced Encryption Standard) und einer AES-Schlüsselgröße von 256 Bit.

 

EncryptionFlags [in, optional]

Typ: uint32

Flags, die das Verschlüsselungsverhalten beschreiben.

Windows 7, Windows Server 2008 R2, Windows Vista Enterprise und Windows Server 2008: Dieser Parameter ist nicht verfügbar.

Eine Kombination aus 32 Bits mit den folgenden derzeit definierten Bits.

Wert Bedeutung
0x00000001
Führen Sie die Volumeverschlüsselung im reinen Datenverschlüsselungsmodus aus, wenn Sie einen neuen Verschlüsselungsprozess starten. Wenn die Verschlüsselung angehalten oder beendet wurde, wird beim Aufrufen der Encrypt-Methode die Konvertierung effektiv fortgesetzt, und der Wert dieses Bits wird ignoriert. Dieses Bit hat nur Auswirkungen, wenn entweder die Encrypt - oder EncryptAfterHardwareTest-Methoden die Verschlüsselung aus dem vollständig entschlüsselten Zustand, dem Status "Entschlüsselung in Bearbeitung" oder "Angehaltener Entschlüsselung" starten. Wenn dieses Bit null ist, d. h., es ist nicht festgelegt, wird beim Starten eines neuen Verschlüsselungsprozesses die Konvertierung im Vollmodus ausgeführt.
0x00000002
Ausführen einer bedarfsgesteuerten Zurücksetzung des freien Speicherplatzes des Volumes. Das Aufrufen der Encrypt-Methode mit diesem Bitsatz ist nur zulässig, wenn das Volume derzeit nicht konvertiert oder löscht und sich im "verschlüsselten" Zustand befindet.
0x00010000
Führen Sie den angeforderten Vorgang synchron aus. Der Aufruf wird blockiert, bis der angeforderte Vorgang abgeschlossen oder unterbrochen wurde. Dieses Flag wird nur mit der Encrypt-Methode unterstützt. Dieses Flag kann angegeben werden, wenn Encrypt aufgerufen wird, um die beendete oder unterbrochene Verschlüsselung oder das Löschen fortzusetzen, oder wenn eine Verschlüsselung oder ein Löschvorgang ausgeführt wird. Dadurch kann der Aufrufer synchron warten, bis der Prozess abgeschlossen oder unterbrochen wird, fortgesetzt werden.

 

Rückgabewert

Typ: uint32

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn sie fehlschlägt.

Diese Methode gibt sofort zurück. Wenn das Volume bereits vollständig verschlüsselt ist und keine anderen Fehler zurückgegeben werden, gibt diese Methode null zurück.

Rückgabecode/-wert BESCHREIBUNG
S_OK
0 (0x0)
Die Methode war erfolgreich.
E_INVALIDARG
2147942487 (0x80070057)
Der EncryptionMethod-Parameter wird bereitgestellt, liegt aber nicht innerhalb des bekannten Bereichs oder stimmt nicht mit der aktuellen einstellung Gruppenrichtlinie überein.
FVE_E_CANNOT_ENCRYPT_NO_KEY
2150694958 (0x8031002E)
Für das Volume ist kein Verschlüsselungsschlüssel vorhanden.
Deaktivieren Sie Schlüsselschutzvorrichtungen mithilfe der DisableKeyProtectors-Methode , oder verwenden Sie eine der folgenden Methoden, um Schlüsselschutzvorrichtungen für das Volume anzugeben:
FVE_E_CLUSTERING_NOT_SUPPORTED
2150694942 (0x8031001E)
Das Volume kann nicht verschlüsselt werden, da dieser Computer als Teil eines Serverclusters konfiguriert ist.
FVE_E_NO_PROTECTORS_TO_TEST
2150694971 (0x8031003B)
Es sind keine Schlüsselschutzvorrichtungen vom Typ "TPM", "TPM und PIN", "TPM und PIN und Startschlüssel", "TPM und Startschlüssel" oder "Externer Schlüssel" vorhanden. Der Hardwaretest umfasst nur die vorherigen Schlüsselschutzvorrichtungen.
Wenn Sie dennoch einen Hardwaretest ausführen möchten, müssen Sie eine der folgenden Methoden verwenden, um Schlüsselschutzvorrichtungen für das Volume anzugeben:
FVE_E_NOT_DECRYPTED
2150694969 (0x80310039)
Das Volume ist teilweise oder vollständig verschlüsselt.
Der Hardwaretest wird angewendet, bevor die Verschlüsselung erfolgt. Wenn Sie den Test trotzdem ausführen möchten, verwenden Sie zunächst die Decrypt-Methode und dann eine der folgenden Methoden, um Schlüsselschutzvorrichtungen hinzuzufügen:
FVE_E_NOT_OS_VOLUME
2150694952 (0x80310028)
Das Volume ist ein Datenvolume.
Der Hardwaretest gilt nur für Volumes, die das Betriebssystem starten können. Führen Sie diese Methode auf dem derzeit gestarteten Betriebssystemvolume aus.
FVE_E_POLICY_PASSWORD_REQUIRED
2150694956 (0x8031002C)
Es werden keine Schlüsselschutzvorrichtungen vom Typ "Numerisches Kennwort" angegeben. Die Gruppenrichtlinie erfordert eine Sicherung der Wiederherstellungsinformationen, um Active Directory Domain Services. Um mindestens eine Schlüsselschutzvorrichtung dieses Typs hinzuzufügen, verwenden Sie die ProtectKeyWithNumericalPassword-Methode .

 

Bemerkungen

Wenn Sie diese Methode ohne den zweiten optionalen Parameter (gemäß der Definition von Windows 7 und Windows Vista Enterprise) verwenden, initiiert die Methode immer die Konvertierung im Vollmodus, um abwärtskompatibles Verhalten beizubehalten. Auf diese Weise wird die Sicherheitserwartung vorhandener Anwendungen und Skripts nicht durch das Hinzufügen des zweiten optionalen Parameters in Windows 8 und Windows Server 2012 unterbrochen.

Im Gegensatz zur Encrypt-Methode führt diese Methode Folgendes aus:

  • Testet, ob das TPM das Volume entsperren kann, wenn eine TPM-bezogene Schlüsselschutzvorrichtung vorhanden ist.
  • Testet, ob der Computer einen USB-Speicherstick lesen kann, der eine externe Schlüsseldatei enthält, wenn das Volume durch einen externen Schlüssel (einschließlich eines Startschlüssels) entsperrt wird.
  • Erfordert einen Neustart des Computers, um den Hardwaretest auszuführen.
  • Beginnt die Verschlüsselung nur, wenn der Hardwaretest erfolgreich ist.
  • Kann nicht auf einem Datenvolume, auf einem teilweise oder vollständig verschlüsselten Volume oder zum Fortsetzen der Verschlüsselung verwendet werden.

Verwenden Sie vor dem Ausführen dieser Methode die folgenden Methoden, um die zugehörigen Schlüsselschutzvorrichtungen zu erstellen:

Führen Sie nach dem Ausführen dieser Methode die folgenden zusätzlichen Schritte aus:

  1. Schließen Sie einen USB-Speicherstick an den Computer an, der eine externe Schlüsseldatei enthält. Dieser Schritt gilt nur, wenn das Volume über eine Schlüsselschutzvorrichtung vom Typ "Externer Schlüssel" oder "TPM und Startschlüssel" verfügt.
  2. Starten Sie den Computer neu.

Beim Neustart des Computers wird der Hardwaretest automatisch ausgeführt.

Die Verschlüsselung beginnt, wenn der Hardwaretest erfolgreich ist. Versuchen Sie andernfalls, Hardwarefehler zu beheben. Führen Sie GetHardwareTestStatus nach dem Neustart des Computers aus, um Testergebnisse zu erhalten.

MOF-Dateien (Managed Object Format) enthalten die Definitionen für WMI-Klassen (Windows Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe der Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows Vista Enterprise, Windows Vista Ultimate [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Server 2008 [nur Desktop-Apps]
Namespace
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Siehe auch

Win32_EncryptableVolume