Classe Win32_EncryptableVolume
A classe de provedor WMI Win32_EncryptableVolume representa uma área de armazenamento em um disco rígido que pode ser protegida usando a Criptografia de Unidade de Disco BitLocker. Somente volumes NTFS podem ser criptografados. Pode ser um volume que contém um sistema operacional ou pode ser um volume de dados no disco local. Não pode ser uma unidade de rede.
Para perceber os benefícios do BitLocker, você precisa especificar um método de proteção para a chave de criptografia do volume e, em seguida, criptografar totalmente o volume.
Para proteger a chave de criptografia do volume, adicione protetores de chave usando estes métodos:
- ProtectKeyWithCertificateFile
- ProtectKeyWithCertificateThumbprint
- ProtectKeyWithExternalKey
- ProtectKeyWithNumericalPassword
- ProtectKeyWithPassphrase
- ProtectKeyWithTPM
- ProtectKeyWithTPMAndPIN
- ProtectKeyWithTPMAndPINAndStartupKey
- ProtectKeyWithTPMAndStartupKey
Cada tipo de protetor de chave fornece uma experiência de autenticação diferente para desbloquear o acesso aos dados criptografados. Chaves externas e senhas numéricas podem fornecer autenticação durante cenários de recuperação. Para protetores de chave baseados em TPM, talvez seja necessário primeiro inicializar corretamente o TPM. Para obter mais informações, consulte a classe de provedor WMI Win32_Tpm.
Use o método Encrypt ou EncryptAfterHardwareTest para iniciar a criptografia. Os protetores de chave precisam ser adicionados antes de iniciar a criptografia, caso contrário, você precisa usar o método DisableKeyProtectors para expor uma chave não criptografada. Se o computador for desligado enquanto a criptografia estiver em andamento, a criptografia será retomada automaticamente quando o computador for reiniciado.
Você pode usar os métodos GetConversionStatus e GetProtectionStatus para verificar o status de um volume acessível.
Sintaxe
class Win32_EncryptableVolume
{
string DeviceID;
string PersistentVolumeID;
string DriveLetter;
uint32 ProtectionStatus;
};
Membros
A classe Win32_EncryptableVolume tem estes tipos de membros:
Métodos
A classe Win32_EncryptableVolume tem estes métodos.
| Método | Descrição |
|---|---|
| BackupRecoveryInformationToActiveDirectory | Salva todas as chaves externas e informações relacionadas necessárias para recuperação no Active Directory. |
| ChangeExternalKey | Altera a chave externa associada a um volume criptografado. |
| ChangePassphrase | Usa a nova senha para obter uma nova chave derivada. |
| ChangePIN | Altera um PIN associado a um volume criptografado. |
| ClearAllAutoUnlockKeys | Remove todas as chaves externas e informações relacionadas salvas no volume do sistema operacional em execução no momento que são usadas para desbloquear automaticamente os volumes de dados. |
| Decrypt | Inicia a descriptografia de um volume totalmente criptografado ou retoma a descriptografia de um volume parcialmente criptografado. |
| DeleteKeyProtector | Exclui um determinado protetor de chave para o volume. |
| DeleteKeyProtectors | Exclui todos os protetores de chave do volume. |
| DisableAutoUnlock | Remove a chave externa salva no volume do sistema operacional em execução no momento para que o volume não seja desbloqueado automaticamente quando for montado. |
| DisableKeyProtectors | Desabilita todos os protetores de chave associados a este volume. |
| EnableAutoUnlock | Permite que um volume de dados seja desbloqueado automaticamente quando o volume é montado. |
| EnableKeyProtectors | Habilita todos os protetores de chave desabilitados. |
| Encrypt | Inicia a criptografia de um volume totalmente descriptografado ou retoma a criptografia de um volume parcialmente criptografado. |
| EncryptAfterHardwareTest | Inicia a criptografia de um volume totalmente descriptografado após um teste de hardware. |
| FindValidCertificates | Enumera todos os certificados no sistema que correspondem aos critérios indicados e retorna uma lista de impressões digitais. |
| GetConversionStatus | Indica o status da criptografia ou descriptografia no volume. |
| GetEncryptionMethod | Indica o algoritmo de criptografia e o tamanho da chave usados no volume. |
| GetExternalKeyFileName | Retorna o nome do arquivo que contém a chave externa. |
| GetExternalKeyFromFile | Retorna a chave externa de um arquivo. |
| GetHardwareTestStatus | Retorna informações de status em um teste de hardware. |
| GetIdentificationField | Retorna a cadeia de caracteres de identificador que está disponível nos metadados do volume. |
| GetKeyPackage | Retorna informações que ajudam a salvar dados criptografados quando a unidade está gravemente danificada. |
| GetKeyProtectorCertificate | Recupera a chave pública e a impressão digital do certificado para um protetor de chave pública. |
| GetKeyProtectorExternalKey | Recupera a chave externa de um determinado protetor de chave do tipo apropriado. |
| GetKeyProtectorFriendlyName | Recupera o nome de exibição usado para identificar um determinado protetor de chave. |
| GetKeyProtectorNumericalPassword | Recupera a senha numérica de um determinado protetor de chave do tipo apropriado. |
| GetKeyProtectorPlatformValidationProfile | Recupera o perfil de validação de plataforma para um determinado protetor de chave do tipo apropriado. |
| GetKeyProtectors | Lista os protetores usados para proteger a chave de criptografia do volume. |
| GetKeyProtectorType | Indica o tipo de um determinado protetor de chave. |
| GetLockStatus | Indica se o conteúdo do volume está acessível a partir do sistema operacional em execução no momento. |
| GetProtectionStatus | Indica se o volume e a respectiva chave de criptografia (se houver) estão protegidos. |
| GetVersion | Indica a versão de metadados FVE do volume. |
| IsAutoUnlockEnabled | Indica se o volume é desbloqueado automaticamente quando montado. |
| IsAutoUnlockKeyStored | Indica se, no volume do sistema operacional em execução no momento, existem chaves externas e informações relacionadas que podem ser usadas para desbloquear automaticamente volumes de dados. |
| IsKeyProtectorAvailable | Indica se os protetores estão disponíveis para o volume. |
| IsNumericalPasswordValid | Indica se a senha numérica atende aos requisitos de formato especial. |
| Lock | Desmonta o volume e remove a chave de criptografia do volume da memória do sistema. |
| PauseConversion | Pausa a criptografia ou descriptografia de um volume. |
| PrepareVolume | Cria um volume BitLocker com o tipo de sistema de arquivos especificado do volume de descoberta. |
| ProtectKeyWithCertificateFile | Valida o EKU (uso avançado de chave) do OID (identificador de objeto) do arquivo de certificado fornecido. |
| ProtectKeyWithCertificateThumbprint | Valida o EKU (uso avançado de chave) do OID (identificador de objeto) da impressão digital de certificado fornecida. |
| ProtectKeyWithExternalKey | Protege a chave de criptografia do volume com uma chave externa de 256 bits. |
| ProtectKeyWithNumericalPassword | Protege a chave de criptografia do volume com uma senha de 48 dígitos especialmente formatada. |
| ProtectKeyWithPassphrase | Usa a senha para obter a chave derivada. |
| ProtectKeyWithTPM | Protege a chave de criptografia do volume usando o hardware de segurança de TPM (Trusted Platform Module) no computador, se disponível. |
| ProtectKeyWithTPMAndPIN | Protege a chave de criptografia do volume usando o hardware de segurança do TPM (Trusted Platform Module) no computador, se disponível, aprimorado por um PIN (número de identificação pessoal) especificado pelo usuário que precisa ser fornecido ao computador na inicialização. |
| ProtectKeyWithTPMAndPINAndStartupKey | Protege a chave de criptografia do volume usando o hardware de segurança do TPM (Trusted Platform Module) no computador, se disponível, aprimorado por um PIN (número de identificação pessoal) especificado pelo usuário e por uma chave externa que precisam ser fornecidos ao computador na inicialização. |
| ProtectKeyWithTPMAndStartupKey | Protege a chave de criptografia do volume usando o hardware de segurança do TPM (Trusted Platform Module) no computador, se disponível, aprimorado por uma chave externa que precisam ser fornecidos ao computador na inicialização. |
| ResumeConversion | Retoma a criptografia ou descriptografia de um volume. |
| SaveExternalKeyToFile | Grava a chave externa associada ao protetor de chave de volume especificado em um local de arquivo especificado. |
| SetIdentificationField | Define a cadeia de caracteres de identificador especificada nos metadados do volume. |
| UnlockWithCertificateFile | Usa o arquivo de certificado fornecido para obter a chave derivada e desbloquear o volume criptografado. |
| UnlockWithCertificateThumbprint | Usa a impressão digital de certificado fornecida para obter a chave derivada e desbloquear o volume criptografado. |
| UnlockWithExternalKey | Usa uma chave externa fornecida para acessar o conteúdo de um volume de dados. |
| UnlockWithNumericalPassword | Usa uma senha numérica fornecida para acessar o conteúdo de um volume de dados. |
| UnlockWithPassphrase | Usa a senha para obter a chave derivada. Depois que a chave derivada é calculada, a chave derivada é usada para desbloquear a chave mestra do volume criptografado. |
| UpgradeVolume | Atualiza um volume do formato do Windows Vista para o formato do Windows 7. |
Propriedades
A classe Win32_EncryptableVolume tem estas propriedades.
ConversionStatus
Tipo de dados: uint32
Tipo de acesso: Somente leitura
Um inteiro correspondente ao estado de criptografia do volume. Esse valor é armazenado quando uma classe é instanciada. É possível que o status de conversão mude entre o momento da instanciação e quando você verifica o valor. Para verificar o valor da propriedade ConversionStatus em tempo real, use o método GetConversionStatus.
| Valor | Significado |
|---|---|
|
TOTALMENTE DESCRIPTOGRAFADO |
|
TOTALMENTE CRIPTOGRAFADO |
|
CRIPTOGRAFIA EM ANDAMENTO |
|
DESCRIPTOGRAFIA EM ANDAMENTO |
|
CRIPTOGRAFIA PAUSADA |
|
DESCRIPTOGRAFIA PAUSADA |
DeviceID
Tipo de dados: string
Tipo de acesso: Somente leitura
Qualificadores: Key
Um identificador exclusivo para o volume neste sistema. Use isso para associar um volume a outras classes de provedor WMI, por exemplo, Win32_Volume.
DriveLetter
Tipo de dados: string
Tipo de acesso: Somente leitura
A letra da unidade do volume. Esse identificador pode ser usado para associar um volume a outras classes de provedor WMI, por exemplo, Win32_Volume.
Para volumes sem letras de unidade, esse valor é NULL.
EncryptionMethod
Tipo de dados: uint32
Tipo de acesso: Somente leitura
Um inteiro que identifica o algoritmo usado para criptografar o volume.
| Valor | Significado |
|---|---|
|
NÃO CRIPTOGRAFADO O volume não é criptografado, nem a criptografia foi iniciada. |
|
AES 128 COM DIFUSOR |
|
AES 256 COM DIFUSOR |
|
AES 128 |
|
AES 256 |
|
CRIPTOGRAFIA DE HARDWARE |
|
XTS AES 128 Essa é a configuração padrão para o Windows 10. |
|
XTS-AES 256 COM DIFUSOR |
IsVolumeInitializedForProtection
Tipo de dados: bool
Tipo de acesso: Somente leitura
Indica se o volume está em um estado pronto para iniciar a criptografia. Pelo menos um protetor de chave precisa ser adicionado antes que isso seja True e a criptografia possa começar.
PersistentVolumeID
Tipo de dados: string
Tipo de acesso: Somente leitura
Um identificador persistente para o volume neste sistema. Este identificador é exclusivo para Win32_EncryptableVolume.
Este identificador será uma cadeia de caracteres vazia se o volume for um volume NTFS padrão totalmente descriptografado; caso contrário, terá um valor exclusivo.
ProtectionStatus
Tipo de dados: uint32
Tipo de acesso: Somente leitura
O status do volume, se o BitLocker está protegendo ou não o volume. Esse valor é armazenado quando a classe é instanciada. É possível que o status de proteção mude entre o momento da instanciação e quando você verifica o valor. Para verificar o valor da propriedade ProtectionStatus em tempo real, use o método GetProtectionStatus.
| Valor | Significado |
|---|---|
|
PROTEÇÃO DESATIVADA O volume não é criptografado, parcialmente criptografado ou a chave de criptografia do volume está disponível sem criptografia no disco rígido. |
|
PROTEÇÃO ATIVADA O volume é totalmente criptografado e a chave de criptografia para o volume não está disponível sem criptografia no disco rígido. |
|
PROTEÇÃO DESCONHECIDA O status de proteção de volume não pode ser determinado. Uma causa potencial é que o volume está em um estado bloqueado. |
VolumeType
Tipo de dados: uint32
Tipo de acesso: Somente leitura
Um inteiro que identifica o tipo de volume relevante para criptografia para uso de protetores de chave e métodos de criptografia apropriados.
| Valor | Significado |
|---|---|
|
SISTEMA O volume contém o sistema operacional Windows. Os protetores de chave padrão geralmente são TPM, às vezes em conjunto com um PIN e senha numérica (recuperação) |
|
DISCO FIXO Esse volume é um dispositivo de armazenamento que não é do sistema para o sistema. Muitas vezes é recomendado configurar o desbloqueio automático em conjunto com o volume do sistema. |
|
REMOVÍVEL Este volume pode ser removido do sistema durante o uso. Normalmente, isso indicará uma unidade externa ou unidade flash. Diferentes métodos de criptografia podem ser considerados devido a preocupações de compatibilidade com outros sistemas. |
Considerações sobre segurança
A classe de provedor WMI Win32_EncryptableVolume depende da segurança do namespace WMI e do subsistema de Criptografia de Unidade de Disco BitLocker para controle de acesso.
Para usar os métodos Win32_EncryptableVolume, as seguintes condições precisam ser atendidas:
Você precisa ter privilégios de administrador.
A criptografia de conexão precisa ser capaz de se conectar ao provedor.
Para obter mais informações sobre como criar uma conexão criptografada, confira Exigir uma conexão criptografada para um namespace.
Para habilitar conexões remotas, o tráfego WMI remoto precisa ser permitido. Para obter mais informações sobre como habilitar tráfego WMI, confira Conectar-se remotamente ao WMI do Vista em diante.
A configuração de segurança de namespace padrão inclui uma entrada para permitir a edição por padrão. Para obter mais informações sobre auditoria no WMI, consulte Acesso a namespaces do WMI.
Comentários
Os arquivos MOF (Managed Object Format) contêm as definições para classes WMI (Instrumentação de Gerenciamento do Windows). Os arquivos MOF não são instalados como parte do SDK do Windows. Eles são instalados no servidor quando você adiciona a função associada usando o Gerenciador do Servidor. Para obter mais informações sobre arquivos MOF, consulte MOF (Managed Object Format).
Requisitos
| Requisito | Valor |
|---|---|
| Cliente mínimo com suporte |
Windows Vista Enterprise, Windows Vista Ultimate [somente aplicativos da área de trabalho] |
| Servidor mínimo com suporte |
Windows Server 2008 [somente aplicativos da área de trabalho] |
| Namespace |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|