Metodo ProtectKeyWithTPMAndPINAndStartupKey della classe Win32_EncryptableVolume

  • Articolo

Il metodo ProtectKeyWithTPMAndPINAndStartupKey della classe Win32_EncryptableVolume protegge la chiave di crittografia del volume usando il modulo TPM (Trusted Platform Module) nel computer, se disponibile, avanzato da un PIN (Personal Identification Number) specificato dall'utente e da una chiave esterna che deve essere presentata al computer all'avvio.

Sono necessari tre fattori di autenticazione per sbloccare il contenuto crittografato del volume:

  1. Convalida da parte del TPM
  2. Input di un PIN da 4 a 20 cifre o, se i criteri di gruppo "Consenti PIN avanzati per l'avvio" sono abilitati, da 4 a 20 lettere, simboli, spazi o numeri
  3. Input di un dispositivo di memoria USB contenente la chiave esterna

Usare il metodo SaveExternalKeyToFile per salvare questa chiave esterna in un file in un dispositivo di memoria USB per l'utilizzo come chiave di avvio. Questo metodo si applica solo al volume del sistema operativo. Viene creata una protezione della chiave di tipo "TPM e PIN e chiave di avvio".

Sintassi

uint32 ProtectKeyWithTPMAndPINAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile,
  [in]           string PIN,
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

Parametri

FriendlyName [in, facoltativo]

Tipo: stringa

Stringa che etichetta questa protezione chiave. Se questo parametro non è specificato, viene usato un valore vuoto.

PlatformValidationProfile [in, facoltativo]

Tipo: uint8

Matrice di interi che specifica come il TPM del computer protegge la chiave di crittografia del volume. Un profilo di convalida della piattaforma è costituito da un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23. I valori di ripetizione nel parametro vengono ignorati. Ogni indice PCR è associato ai servizi eseguiti all'avvio del sistema operativo. Ogni volta che il computer viene avviato, il TPM verificherà che i servizi specificati nel profilo di convalida della piattaforma non siano stati modificati. Se uno di questi servizi cambia mentre la protezione BitLocker rimane attiva, il TPM non rilascia la chiave di crittografia per sbloccare il volume e il computer entra in modalità di ripristino.

Se questo parametro non è specificato, vengono usati gli indici predefiniti di 0, 2, 4, 5, 8, 9, 10 e 11. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia rispetto alle modifiche apportate alla radice principale di attendibilità della misura (CRTM), BIOS e estensioni della piattaforma (PCR 0), codice ROM opzione (PCR 2), codice record di avvio master (MBR 4), tabella di partizione del record di avvio master (MBR) (PCR 5), il settore di avvio NTFS (PCR 8), il blocco di avvio NTFS (PCR 9), Gestione avvio (PCR 10) e bitLocker Controllo di accesso (PCR 11). I computer basati su UEFI (Extensible Firmware Interface) unificati non usano PCR 5 per impostazione predefinita.

È consigliabile usare il profilo di convalida della piattaforma predefinito. Per una protezione aggiuntiva rispetto alle modifiche iniziali della configurazione di avvio, usare un profilo di pcr 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

La modifica del profilo predefinito influisce sulla sicurezza e la gestibilità del computer. La sensibilità di BitLocker alle modifiche della piattaforma (dannose o autorizzate) è aumentata o ridotta a seconda dell'inclusione o dell'esclusione, rispettivamente, delle pcr. Per abilitare la protezione bitLocker, il profilo di convalida della piattaforma deve includere PCR 11.

Valore Significato
0
 Radice principale di attendibilità della misura (CRTM), BIOS e estensioni della piattaforma
1
 Configurazione della piattaforma e della scheda madre e dati
2
 Codice ROM opzione
3
 Configurazione e dati dell'opzione ROM
4
 Codice MBR (Master Boot Record)
5
 Tabella di partizione master boot record (MBR)
6
 Eventi di transizione e riattivazione dello stato
7
 Manufacturer-Specific computer
8
 Settore di avvio NTFS
9
 Blocco di avvio NTFS
10
 Gestione avvio
11
 BitLocker Controllo di accesso
12
 Definito per l'uso dal sistema operativo statico
13
 Definito per l'uso dal sistema operativo statico
14
 Definito per l'uso dal sistema operativo statico
15
 Definito per l'uso dal sistema operativo statico
16
 Usato per il debug
17
 CRTM dinamico
18
 Piattaforma definita
19
 Usato da un sistema operativo attendibile
20
 Usato da un sistema operativo attendibile
21
 Usato da un sistema operativo attendibile
22
 Usato da un sistema operativo attendibile
23
 Supporto delle applicazioni

 

PIN [in]

Tipo: stringa

Contiene un numero di identificazione personale da 4 a 20 cifre o, se i criteri di gruppo "Consenti pin avanzati per l'avvio" sono abilitati, 4 e 20 lettere, simboli, spazi o numeri. Questa stringa deve essere fornita al computer all'avvio.

ExternalKey [in, facoltativo]

Tipo: uint8[]

Matrice di byte che specifica la chiave esterna a 256 bit usata per sbloccare il volume all'avvio del computer. Lasciare vuoto questo parametro per generare in modo casuale la chiave esterna. Usare il metodo GetKeyProtectorExternalKey per ottenere la chiave generata in modo casuale.

VolumeKeyProtectorID [out]

Tipo: stringa

Identificatore di stringa univoco aggiornato usato per gestire una protezione chiave del volume crittografata.

Se l'unità supporta la crittografia hardware e BitLocker non ha acquisito la proprietà della banda, la stringa ID è impostata su "BitLocker" e la protezione delle chiavi viene scritta in base ai metadati band.

Valore restituito

Tipo: uint32

Questo metodo restituisce uno dei codici seguenti o un altro codice di errore se ha esito negativo.

Codice/valore restituito Descrizione
S_OK
0 (0x0)
 Il metodo è stato eseguito correttamente.
E_INVALIDARG
2147942487 (0x80070057)
 Viene fornito il parametro PlatformValidationProfile, ma i relativi valori non sono compresi nell'intervallo noto o non corrispondono all'impostazione Criteri di gruppo attualmente attiva.
Il parametro ExternalKey viene fornito, ma non è una matrice di dimensioni 32.
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 Un CD/DVD di avvio si trova in questo computer. Rimuovere il CD/DVD e riavviare il computer.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 Il TPM non è in grado di proteggere la chiave di crittografia del volume perché il volume non contiene il sistema operativo attualmente in esecuzione.
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
 Il parametro NewPIN contiene caratteri non validi. Quando il Criteri di gruppo "Consenti PIN avanzati per l'avvio" è disabilitato, sono supportati solo i numeri.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 Il volume è bloccato.
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
 Il parametro NewPIN fornito è più lungo di 20 caratteri, più breve di 4 caratteri o minore della lunghezza minima specificata da Criteri di gruppo.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 Esiste già una protezione con chiave di questo tipo.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 In questo computer non viene trovato alcun TPM compatibile.

 

Commenti

Al massimo una protezione con chiave di tipo "TPM E PIN e chiave di avvio" può esistere per un volume in qualsiasi momento. Se si desidera modificare il nome visualizzato o il profilo di convalida della piattaforma usato da una protezione con chiave "TPM e PIN e chiave di avvio" esistente, è prima necessario rimuovere la protezione con chiave esistente e quindi chiamare ProtectKeyWithTPMAndPINAndStartupKey per crearne uno nuovo.

È necessario specificare protezioni con chiave aggiuntive per sbloccare il volume negli scenari di ripristino in cui non è possibile ottenere l'accesso alla chiave di crittografia del volume; Ad esempio, quando il TPM non può convalidare correttamente il profilo di convalida della piattaforma o quando il PIN viene perso. Usare ProtectKeyWithExternalKey o ProtectKeyWithNumericalPassword per creare una o più protezioni con chiave per il ripristino di un volume altrimenti bloccato.

Anche se è possibile avere sia una protezione con chiave del tipo "TPM" che un altro del tipo "TPM e PIN e chiave di avvio", la presenza del tipo di protezione con chiave "TPM" nega gli effetti di altre protezioni basate su TPM.

I file MOF (Managed Object Format) contengono le definizioni per le classi WMI (Windows Management Instrumentation). I file MOF non vengono installati come parte di Windows SDK. Vengono installati nel server quando si aggiunge il ruolo associato usando il Server Manager. Per altre informazioni sui file MOF, vedere Managed Object Format (MOF).

Requisiti

Requisito Valore
Client minimo supportato
 Windows Vista Enterprise con SP1, Windows Vista Ultimate con SP1 [solo app desktop]
Server minimo supportato
 Windows Server 2008 [solo app desktop]
Spazio dei nomi
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Vedi anche

Win32_EncryptableVolume