EncryptAfterHardwareTest della classe Win32_EncryptableVolume

  • Articolo

Il metodo EncryptAfterHardwareTest della classe Win32_EncryptableVolume inizia la crittografia di un volume del sistema operativo completamente decrittografato dopo un test hardware. Per eseguire questo test hardware è necessario un riavvio. Usare questo metodo anziché il metodo Encrypt per verificare che BitLocker funzioni come previsto.

Nota

Se il disco rigido è crittografato dall'hardware, questo metodo non crittografa i dati. Imposta invece lo stato della banda su sbloccato da "sbloccato perpetuamente". Se la banda è bloccata, sbloccata o di sola lettura, l'unità viene considerata crittografata.

 

Sintassi

uint32 EncryptAfterHardwareTest(
  [in, optional] uint32 EncryptionMethod,
  [in, optional] uint32 EncryptionFlags
);

Parametri

EncryptionMethod [in, facoltativo]

Tipo: uint32

Specifica l'algoritmo di crittografia e le dimensioni delle chiavi usate per crittografare il volume. Lasciare vuoto questo parametro per usare il valore predefinito di zero. Se il volume è parzialmente o completamente crittografato, il valore di questo parametro deve essere 0 o corrispondere al metodo di crittografia esistente del volume. Se l'impostazione di Criteri di gruppo corrispondente è stata abilitata con un valore valido, il valore di questo parametro deve essere 0 o corrispondere all'impostazione Criteri di gruppo.

Se l'impostazione di Criteri di gruppo corrispondente non è valida, viene usata l'impostazione predefinita di AES 128 con il diffusore.

Valore Significato
Non specificato
0
 Usare l'impostazione di Criteri di gruppo corrente, se disponibile e valida o il metodo di crittografia predefinito in caso contrario.
1
 AES 128 CON DIFFUSORE
Crittografare il volume usando l'algoritmo Advanced Encryption Standard (AES) avanzato con un livello di diffusione e usando una dimensione della chiave AES di 128 bit.
2
 AES 256 CON DIFFUSORE
Crittografare il volume usando l'algoritmo Advanced Encryption Standard (AES) avanzato con un livello di diffusore e usando una dimensione della chiave AES di 256 bit.
AES_128
3
 Crittografare il volume usando l'algoritmo Advanced Encryption Standard (AES) e usando una dimensione della chiave AES di 128 bit.
AES_256
4
 Crittografare il volume usando l'algoritmo Advanced Encryption Standard (AES) e usando una dimensione della chiave AES di 256 bit.

 

EncryptionFlags [in, facoltativo]

Tipo: uint32

Flag che descrivono il comportamento di crittografia.

Windows 7, Windows Server 2008 R2, Windows Vista Enterprise e Windows Server 2008: Questo parametro non è disponibile.

Combinazione di 32 bit con i bit seguenti attualmente definiti.

Valore Significato
0x00000001
 Eseguire la crittografia dei volumi in modalità di crittografia solo dati quando si avvia un nuovo processo di crittografia. Se la crittografia è stata sospesa o arrestata, la chiamata al metodo Encrypt riprende in modo efficace la conversione e il valore di questo bit viene ignorato. Questo bit ha effetto solo quando i metodi Encrypt o EncryptAfterHardwareTest avviano la crittografia dallo stato completamente decrittografato, decrittografia in stato di avanzamento o decrittografia sospesa. Se questo bit è zero, significa che non è impostato, quando si avvia un nuovo processo di crittografia, verrà eseguita la conversione in modalità completa.
0x00000002
 Eseguire la cancellazione su richiesta dello spazio libero del volume. La chiamata al metodo Encrypt con questo set di bit è consentita solo quando il volume non esegue la conversione o la cancellazione e si trova in uno stato "crittografato".
0x00010000
 Eseguire l'operazione richiesta in modo sincrono. La chiamata verrà bloccata finché l'operazione richiesta non è stata completata o interrotta. Questo flag è supportato solo con il metodo Encrypt . Questo flag può essere specificato quando Encrypt viene chiamato per riprendere la crittografia arrestata o interrotta o la cancellazione o quando è in corso la crittografia o la cancellazione. Ciò consente al chiamante di riprendere in modo sincrono l'attesa fino al completamento o all'interruzione del processo.

 

Valore restituito

Tipo: uint32

Questo metodo restituisce uno dei codici seguenti o un altro codice di errore se ha esito negativo.

Questo metodo restituisce immediatamente. Se il volume è già crittografato e non vengono restituiti altri errori, questo metodo restituisce zero.

Codice/valore restituito Descrizione
S_OK
0 (0x0)
 Il metodo è stato eseguito correttamente.
E_INVALIDARG
2147942487 (0x80070057)
 Il parametro EncryptionMethod viene fornito ma non è compreso nell'intervallo noto o non corrisponde all'impostazione di Criteri di gruppo corrente.
FVE_E_CANNOT_ENCRYPT_NO_KEY
2150694958 (0x8031002E)
 Nessuna chiave di crittografia per il volume.
Disabilitare le protezioni delle chiavi usando il metodo DisableKeyProtectors o usare uno dei metodi seguenti per specificare le protezioni delle chiavi per il volume:
FVE_E_CLUSTERING_NOT_SUPPORTED
2150694942 (0x8031001E)
 Impossibile crittografare il volume perché questo computer è configurato come parte di un cluster server.
FVE_E_NO_PROTECTORS_TO_TEST
2150694971 (0x8031003B)
 Non sono disponibili protezioni chiave del tipo "TPM", "TPM e PIN", "TPM E PIN e chiave di avvio", "TPM e chiave di avvio" o "Chiave esterna". Il test hardware prevede solo le protezioni chiave precedenti.
Se si vuole comunque eseguire un test hardware, è necessario usare uno dei metodi seguenti per specificare le protezioni delle chiavi per il volume:
FVE_E_NOT_DECRYPTED
2150694969 (0x80310039)
 Il volume è parzialmente o completamente crittografato.
Il test hardware si applica prima che si verifichi la crittografia. Se si vuole comunque eseguire il test, usare prima il metodo Decrypt e quindi usare uno dei metodi seguenti per aggiungere le protezioni delle chiavi:
FVE_E_NOT_OS_VOLUME
2150694952 (0x80310028)
 Il volume è un volume di dati.
Il test hardware si applica solo ai volumi che possono avviare il sistema operativo. Eseguire questo metodo nel volume del sistema operativo attualmente avviato.
FVE_E_POLICY_PASSWORD_REQUIRED
2150694956 (0x8031002C)
 Non sono specificate protezioni con chiave del tipo "Password numerica". Il Criteri di gruppo richiede un backup delle informazioni di ripristino per Active Directory Domain Services. Per aggiungere almeno una protezione con chiave di quel tipo, utilizzare il metodo ProtectKeyWithNumericalPassword .

 

Commenti

Quando si usa questo metodo senza il secondo parametro facoltativo (in base alla definizione di Windows 7 e Windows Vista Enterprise), il metodo avvierà sempre la conversione in modalità completa per mantenere il comportamento compatibile con le versioni precedenti. In questo modo, le aspettative di sicurezza delle applicazioni e degli script esistenti non verranno interrotte con l'aggiunta del secondo parametro facoltativo in Windows 8 e Windows Server 2012.

A differenza del metodo Encrypt , questo metodo esegue le operazioni seguenti:

  • Verifica se il TPM sarà in grado di sbloccare il volume, se esiste una protezione con chiave correlata al TPM.
  • Verifica se il computer può leggere un'unità flash USB che contiene un file di chiave esterna durante l'avvio, se il volume verrà sbloccato da una chiave esterna (inclusa una chiave di avvio).
  • Richiede un riavvio del computer per eseguire il test hardware.
  • Avvia la crittografia solo se il test hardware ha esito positivo.
  • Non può essere usato in un volume di dati, in un volume parzialmente o completamente crittografato o per riprendere la crittografia.

Prima di eseguire questo metodo, usare i metodi seguenti per creare le protezioni con chiave correlate:

Dopo aver eseguito questo metodo, eseguire questi passaggi aggiuntivi:

  1. Inserire nel computer un'unità flash USB contenente un file di chiave esterna. Questo passaggio si applica solo se il volume ha una protezione con chiave di tipo "Chiave esterna" o "TPM e chiave di avvio".
  2. Riavviare il computer.

Al riavvio del computer, il test hardware viene eseguito automaticamente.

La crittografia inizia se il test hardware ha esito positivo. In caso contrario, tentare di risolvere eventuali errori hardware. Eseguire GetHardwareTestStatus dopo il riavvio del computer per ottenere i risultati del test.

I file MOF (Managed Object Format) contengono le definizioni per le classi WMI (Windows Management Instrumentation). I file MOF non vengono installati come parte di Windows SDK. Vengono installati nel server quando si aggiunge il ruolo associato usando il Server Manager. Per altre informazioni sui file MOF, vedere Managed Object Format (MOF).

Requisiti

Requisito Valore
Client minimo supportato
 Windows Vista Enterprise, Windows Vista Ultimate [solo app desktop]
Server minimo supportato
 Windows Server 2008 [solo app desktop]
Spazio dei nomi
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Vedi anche

Win32_EncryptableVolume