ProtectKeyWithTPM-Methode der Win32_EncryptableVolume-Klasse

  • Artikel

Die ProtectKeyWithTPM-Methode der Win32_EncryptableVolume-Klasse sichert den Verschlüsselungsschlüssel des Volumes mithilfe der TPM-Sicherheitshardware (Trusted Platform Module) auf dem Computer, sofern verfügbar.

Für das Volume wird eine Schlüsselschutzvorrichtung vom Typ "TPM" erstellt, sofern noch keine vorhanden ist.

Diese Methode gilt nur für das Volume, das das derzeit ausgeführte Betriebssystem enthält, und wenn auf dem Volume noch keine Schlüsselschutzvorrichtung vorhanden ist.

Syntax

uint32 ProtectKeyWithTPM(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [out]          string VolumeKeyProtectorID
);

Parameter

FriendlyName [in, optional]

Typ: Zeichenfolge

Eine Zeichenfolge, die einen vom Benutzer zugewiesenen Zeichenfolgenbezeichner für diese Schlüsselschutzvorrichtung angibt. Wenn dieser Parameter nicht angegeben wird, wird ein leerer Wert verwendet.

PlatformValidationProfile [in, optional]

Typ: uint8[]

Ein Array von ganzen Zahlen, das angibt, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den Verschlüsselungsschlüssel des Datenträgervolumes schützt.

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes (Platform Configuration Register) im Bereich von 0 bis 23 einschließlich. Wiederholungswerte im Parameter werden ignoriert. Jeder PCR-Index ist Diensten zugeordnet, die beim Starten des Betriebssystems ausgeführt werden. Jedes Mal, wenn der Computer gestartet wird, überprüft das TPM, ob die Dienste, die Sie im Plattformvalidierungsprofil angegeben haben, nicht geändert wurden. Wenn sich einer dieser Dienste ändert, während der BDE-Schutz (BitLocker Drive Encryption) aktiviert bleibt, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Datenträgervolume zu entsperren, und der Computer wechselt in den Wiederherstellungsmodus.

Wenn dieser Parameter angegeben wird, während die entsprechende Gruppenrichtlinie Einstellung aktiviert wurde, muss er mit der einstellung Gruppenrichtlinie übereinstimmen.

Wenn dieser Parameter nicht angegeben ist, wird der Standardwert 0, 2, 4, 5, 8, 9, 10 und 11 verwendet. Das Standardprofil für die Plattformvalidierung schützt den Verschlüsselungsschlüssel vor Änderungen am Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0), Option ROM-Code (PCR 2), MBR-Code (PCR 4), MBR-Partitionstabelle (MBR) (MBR) Partitionstabelle (PCR 5), NTFS-Startsektor (PCR 8), NTFS-Startcode (PCR 9). Der Start-Manager (PCR 10) und die BitLocker-Laufwerkverschlüsselung Access Control (PCR 11). Für die Sicherheit Ihres Computers wird das Standardprofil empfohlen. Auf UEFI-basierten Computern (Unified Extensible Firmware Interface) wird PCR 5 standardmäßig nicht verwendet. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor Änderungen an der Konfiguration des frühen Starts zu gewährleisten.

Das Ändern vom Standardprofil wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Einbeziehung bzw. Ausschluss der PCRs erhöht oder verringert. Damit der BitLocker-Schutz aktiviert wird, muss das Plattformvalidierungsprofil PCR 11 enthalten.

Wert Bedeutung
0
 Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen.
1
 Plattform- und Hauptplatinenkonfiguration und -daten
2
 Options-ROM-Code
3
 Option ROM-Konfiguration und -Daten
4
 Master Boot Record (MBR) Code
5
 MBR-Partitionstabelle (Master Boot Record)
6
 Zustandsübergang und Aktivierungsereignisse
7
 Computer Manufacturer-Specific
8
 NTFS-Startsektor
9
 NTFS-Startcode
10
 Start-Manager
11
 BitLocker-Laufwerkverschlüsselung Access Control
12
 Definiert für die Verwendung durch das statische Betriebssystem
13
 Definiert für die Verwendung durch das statische Betriebssystem
14
 Definiert für die Verwendung durch das statische Betriebssystem
15
 Definiert für die Verwendung durch das statische Betriebssystem
16
 Wird zum Debuggen verwendet
17
 Dynamische CRTM
18
 Plattformdefiniert
19
 Wird vom vertrauenswürdigen Betriebssystem verwendet
20
 Wird vom vertrauenswürdigen Betriebssystem verwendet
21
 Wird vom vertrauenswürdigen Betriebssystem verwendet
22
 Wird vom vertrauenswürdigen Betriebssystem verwendet
23
 Anwendungsunterstützung

 

VolumeKeyProtectorID [out]

Typ: Zeichenfolge

Eine Zeichenfolge, die die erstellte Schutzvorrichtung eindeutig identifiziert und zum Verwalten der Schlüsselschutzvorrichtung verwendet werden kann.

Wenn das Laufwerk die Hardwareverschlüsselung unterstützt und BitLocker keinen Bandbesitz übernommen hat, wird die ID-Zeichenfolge auf "BitLocker" festgelegt, und die Schlüsselschutzvorrichtung wird in die Metadaten pro Band geschrieben.

Rückgabewert

Typ: uint32

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn sie fehlschlägt.

Rückgabecode/-wert BESCHREIBUNG
S_OK
0 (0x0)
 Die Methode war erfolgreich.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 Das Volume ist gesperrt.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 Auf diesem Computer ist kein kompatibles TPM gefunden.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 Das TPM kann den Verschlüsselungsschlüssel des Volumes nicht schützen, da das Volume nicht das derzeit ausgeführte Betriebssystem enthält.
E_INVALIDARG
2147942487 (0x80070057)
 Der PlatformValidationProfile-Parameter wird angegeben, seine Werte befinden sich jedoch nicht innerhalb des bekannten Bereichs oder entsprechen nicht der Gruppenrichtlinie Einstellung, die derzeit gilt.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 Ein Schlüsselschutz dieses Typs ist bereits vorhanden.

 

Sicherheitsüberlegungen

Für die Sicherheit Ihres Computers empfehlen wir das Standardprofil. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor Änderungen an der Konfiguration des frühen Startvorgangs zu gewährleisten.

Das Ändern des Standardprofils wirkt sich auf die Sicherheit oder Benutzerfreundlichkeit Ihres Computers aus.

Bemerkungen

Für ein Volume kann höchstens eine Schlüsselschutzvorrichtung vom Typ "TPM" vorhanden sein. Wenn Sie den Anzeigenamen oder das Plattformvalidierungsprofil ändern möchten, das von einer vorhandenen TPM-Schlüsselschutzvorrichtung verwendet wird, müssen Sie zuerst die vorhandene Schlüsselschutzvorrichtung entfernen und dann ProtectKeyWithTPM aufrufen, um eine neue zu erstellen.

Für DIE PCR-Indizes 0 bis 5 werden die aktuellen Messungen in den Registern verwendet, um den Verschlüsselungsschlüssel zu schützen. Für die PCR-Werte 8 bis 11 werden die messungen verwendet, die voraussichtlich im nächsten Startzyklus vorhanden sind.

Es sollten zusätzliche Schlüsselschutzvorrichtungen angegeben werden, um das Volume in Wiederherstellungsszenarien zu entsperren, in denen kein Zugriff auf den Verschlüsselungsschlüssel des Volumes abgerufen werden kann. Beispielsweise, wenn das TPM nicht erfolgreich anhand des Plattformvalidierungsprofils überprüft werden kann. Verwenden Sie ProtectKeyWithExternalKey oder ProtectKeyWithNumericalPassword , um eine oder mehrere Schlüsselschutzvorrichtungen zum Wiederherstellen eines anderweitig gesperrten Volumes zu erstellen.

MOF-Dateien (Managed Object Format) enthalten die Definitionen für WMI-Klassen (Windows Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe des Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Verwaltetes Objektformat (MOF).

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
 Windows Vista Enterprise, Windows Vista Ultimate [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
 Windows Server 2008 [nur Desktop-Apps]
Namespace
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Siehe auch

Win32_EncryptableVolume

Win32_Tpm