Метод ProtectKeyWithTPM класса Win32_EncryptableVolume

  • Статья

Метод ProtectKeyWithTPM класса Win32_EncryptableVolume защищает ключ шифрования тома с помощью оборудования безопасности доверенного платформенного модуля (TPM) на компьютере, если оно доступно.

Для тома создается предохранитель ключа типа TPM, если он еще не существует.

Этот метод применим только для тома, содержащего текущую операционную систему, и если предохранитель ключа еще не существует на томе.

Синтаксис

uint32 ProtectKeyWithTPM(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [out]          string VolumeKeyProtectorID
);

Параметры

FriendlyName [in, необязательный]

Тип: string

Строка, указывающая назначаемый пользователем строковый идентификатор для этого предохранителя ключа. Если этот параметр не указан, используется пустое значение.

PlatformValidationProfile [в, необязательно]

Тип: uint8[]

Массив целых чисел, указывающий, каким образом оборудование безопасности доверенного платформенного модуля (TPM) компьютера защищает ключ шифрования тома диска.

Профиль проверки платформы состоит из набора индексов регистра конфигурации платформы (PCR) в диапазоне от 0 до 23 включительно. Повторяющиеся значения в параметре игнорируются. Каждый индекс PCR связан со службами, которые запускаются при запуске операционной системы. При каждом запуске компьютера доверенный платформенный модуль будет проверка, что службы, указанные в профиле проверки платформы, не изменились. Если какая-либо из этих служб изменится, пока защита шифрования дисков BitLocker (BDE) остается включенной, доверенный платформенный модуль не выпустит ключ шифрования для разблокировки тома диска, и компьютер перейдет в режим восстановления.

Если этот параметр указан при включении соответствующего параметра групповая политика, он должен соответствовать параметру групповая политика.

Если этот параметр не указан, используется значение по умолчанию 0, 2, 4, 5, 8, 9, 10 и 11. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений в основном корне доверия измерения (CRTM), BIOS и расширения платформы (PCR 0), код дополнительного ПЗУ (PCR 2), код основной загрузочной записи (MBR) (PCR 4), таблица разделов главной загрузочной записи (MBR) (PCR 5), загрузочный сектор NTFS (PCR 8), код загрузки NTFS (PCR 9), диспетчер загрузки (PCR 10) и шифрование диска BitLocker контроль доступа (PCR 11). Для обеспечения безопасности компьютера рекомендуется использовать профиль по умолчанию. Компьютеры на основе UEFI по умолчанию не используют PCR 5. Для дополнительной защиты от изменений конфигурации раннего запуска используйте профиль PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

Изменение профиля по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения соответственно PCR. Чтобы включить защиту BitLocker, профиль проверки платформы должен включать PCR 11.

Значение Значение
0
 Core Root of Trust of Measurement (CRTM), BIOS и Platform Extensions.
1
 Конфигурация платформы и системной платы и данные
2
 Код дополнительного ПЗУ
3
 Конфигурация и данные дополнительного ПЗУ
4
 Код главной загрузочной записи (MBR)
5
 Таблица разделов главной загрузочной записи (MBR)
6
 События перехода состояния и пробуждения
7
 Manufacturer-Specific компьютера
8
 Загрузочный сектор NTFS
9
 Код загрузки NTFS
10
 Диспетчер загрузки
11
 Контроль доступа шифрования диска BitLocker
12
 Определяется для использования статической операционной системой
13
 Определяется для использования статической операционной системой
14
 Определяется для использования статической операционной системой
15
 Определяется для использования статической операционной системой
16
 Используется для отладки
17
 Динамический CRTM
18
 Определяемая платформой
19
 Используется доверенной операционной системой
20
 Используется доверенной операционной системой
21
 Используется доверенной операционной системой
22
 Используется доверенной операционной системой
23
 Поддержка приложений

 

VolumeKeyProtectorID [out]

Тип: string

Строка, однозначно идентифицирующая созданный предохранитель и которая может использоваться для управления предохранителем ключа.

Если диск поддерживает аппаратное шифрование и BitLocker не стал владельцем группы, для строки идентификатора устанавливается значение BitLocker, а предохранитель ключа записывается в метаданные каждого диапазона.

Возвращаемое значение

Тип: uint32

Этот метод возвращает один из следующих кодов или другой код ошибки в случае сбоя.

Возвращаемый код/значение Описание
S_OK
0 (0x0)
 Метод выполнен успешно.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 Том заблокирован.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 На этом компьютере не найден совместимый доверенный платформенный модуль.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 TPM не может защитить ключ шифрования тома, так как том не содержит текущей операционной системы.
E_INVALIDARG
2147942487 (0x80070057)
 Параметр PlatformValidationProfile указан, но его значения не находятся в известном диапазоне или не соответствуют действующему групповая политика параметру.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 Предохранитель ключа этого типа уже существует.

 

Вопросы безопасности

Для обеспечения безопасности компьютера рекомендуется использовать профиль по умолчанию. Для дополнительной защиты от изменений конфигурации раннего запуска используйте профиль PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

Изменение профиля по умолчанию влияет на безопасность или удобство использования компьютера.

Комментарии

Для тома в любое время может существовать не более одного предохранителя ключа типа TPM. Если вы хотите изменить отображаемое имя или профиль проверки платформы, используемый существующим предохранителем ключа TPM, необходимо сначала удалить существующий предохранитель ключа, а затем вызвать ProtectKeyWithTPM , чтобы создать новый.

Для индексов PCR от 0 до 5 текущие измерения в регистрах используются для защиты ключа шифрования. Для значений PCR от 8 до 11 используются измерения, которые, как ожидается, будут существовать в следующем начальном цикле.

Для разблокировки тома в сценариях восстановления, где невозможно получить доступ к ключу шифрования тома, необходимо указать дополнительные предохранители ключей. например, если доверенный платформенный модуль не может успешно выполнить проверку по профилю проверки платформы. Используйте ProtectKeyWithExternalKey или ProtectKeyWithNumericalPassword , чтобы создать один или несколько предохранителей ключа для восстановления заблокированного в противном случае тома.

MOF-файлы содержат определения для классов инструментария управления Windows (WMI). MOF-файлы не устанавливаются в составе пакета Windows SDK. Они устанавливаются на сервере при добавлении связанной роли с помощью диспетчер сервера. Дополнительные сведения о MOF-файлах см. в разделе Формат управляемого объекта (MOF).

Требования

Требование Значение
Минимальная версия клиента
 Windows Vista Enterprise, Windows Vista Ultimate [только классические приложения]
Минимальная версия сервера
 Windows Server 2008 [только классические приложения]
Пространство имен
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

См. также раздел

Win32_EncryptableVolume

Win32_Tpm