ProtectKeyWithTPMAndPINAndStartupKey-Methode der Win32_EncryptableVolume-Klasse

  • Artikel

Die ProtectKeyWithTPMAndPINAndStartupKey-Methode der Win32_EncryptableVolume-Klasse sichert den Verschlüsselungsschlüssel des Volumes, indem sie das Trusted Platform Module (TPM) auf dem Computer verwendet, sofern verfügbar, und sowohl durch eine vom Benutzer angegebene persönliche Identifikationsnummer (PIN) als auch durch einen externen Schlüssel erweitert wird, der beim Start dem Computer vorgelegt werden muss.

Drei Authentifizierungsfaktoren sind erforderlich, um den verschlüsselten Inhalt des Volumes zu entsperren:

  1. Überprüfung durch das TPM
  2. Eingabe einer 4 bis 20-stelligen PIN oder, wenn die Gruppenrichtlinie "Erweiterte PINs für den Start zulassen" aktiviert ist, 4 bis 20 Buchstaben, Symbole, Leerzeichen oder Zahlen
  3. Eingabe eines USB-Speichergeräts, das den externen Schlüssel enthält

Verwenden Sie die SaveExternalKeyToFile-Methode , um diesen externen Schlüssel in einer Datei auf einem USB-Speichergerät für die Verwendung als Startschlüssel zu speichern. Diese Methode gilt nur für das Betriebssystemvolume. Es wird eine Schlüsselschutzvorrichtung vom Typ "TPM und PIN und Startschlüssel" erstellt.

Syntax

uint32 ProtectKeyWithTPMAndPINAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile,
  [in]           string PIN,
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

Parameter

FriendlyName [in, optional]

Typ: Zeichenfolge

Eine Zeichenfolge, die diesen Schlüsselschutz beschrifte. Wenn dieser Parameter nicht angegeben wird, wird ein leerer Wert verwendet.

PlatformValidationProfile [in, optional]

Typ: uint8

Ein Array von ganzen Zahlen, das angibt, wie das TPM des Computers den Verschlüsselungsschlüssel des Volumes schützt. Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes (Platform Configuration Register) von 0 bis einschließlich 23. Wiederholungswerte im Parameter werden ignoriert. Jeder PCR-Index ist Diensten zugeordnet, die beim Starten des Betriebssystems ausgeführt werden. Jedes Mal, wenn der Computer gestartet wird, überprüft das TPM, ob sich die dienste, die Sie im Plattformüberprüfungsprofil angegeben haben, nicht geändert haben. Wenn sich einer dieser Dienste ändert, während der BitLocker-Schutz aktiviert bleibt, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Volume zu entsperren, und der Computer wechselt in den Wiederherstellungsmodus.

Wenn dieser Parameter nicht angegeben wird, werden die Standardindizes 0, 2, 4, 5, 8, 9, 10 und 11 verwendet. Das Standardprofil der Plattformvalidierung schützt den Verschlüsselungsschlüssel vor Änderungen am Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0), Option ROM Code (PCR 2), Master Boot Record (MBR) Code (PCR 4), Master Boot Record (MBR) Partition Table (PCR 5), NTFS-Startsektor (PCR 8), NTFS-Startblock (PCR 9). der Start-Manager (PCR 10) und der BitLocker-Access Control (PCR 11). Auf UEFI-basierten Computern (Unified Extensible Firmware Interface) wird PCR 5 standardmäßig nicht verwendet.

Das Standardprofil für die Plattformvalidierung wird empfohlen. Verwenden Sie ein Profil der PCRs 0, 1, 2, 3, 4, 5, 8, 9, 10, 11, um zusätzlichen Schutz vor Änderungen an der Konfiguration des frühen Startvorgangs zu gewährleisten.

Das Ändern des Standardprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Vertraulichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Einbeziehung bzw. Ausschluss der PCRs erhöht oder verringert. Damit der BitLocker-Schutz aktiviert wird, muss das Plattformüberprüfungsprofil PCR 11 enthalten.

Wert Bedeutung
0
 Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen
1
 Plattform- und Hauptplatinenkonfiguration und -daten
2
 Option ROM-Code
3
 Option ROM-Konfiguration und -Daten
4
 Master Boot Record (MBR) Code
5
 MbR-Partitionstabelle (Master Boot Record)
6
 Zustandsübergangs- und Aktivierungsereignisse
7
 Computer Manufacturer-Specific
8
 NTFS-Startsektor
9
 NTFS-Startblock
10
 Start-Manager
11
 BitLocker-Access Control
12
 Definiert für die Verwendung durch das statische Betriebssystem
13
 Definiert für die Verwendung durch das statische Betriebssystem
14
 Definiert für die Verwendung durch das statische Betriebssystem
15
 Definiert für die Verwendung durch das statische Betriebssystem
16
 Wird zum Debuggen verwendet
17
 Dynamische CRTM
18
 Plattform definiert
19
 Wird von einem vertrauenswürdigen Betriebssystem verwendet
20
 Wird von einem vertrauenswürdigen Betriebssystem verwendet
21
 Wird von einem vertrauenswürdigen Betriebssystem verwendet
22
 Wird von einem vertrauenswürdigen Betriebssystem verwendet
23
 Anwendungsunterstützung

 

PIN [in]

Typ: Zeichenfolge

Enthält eine 4 bis 20-stellige persönliche Identifikationsnummer (PIN) oder, wenn die Gruppenrichtlinie "Erweiterte PINs für den Start zulassen" aktiviert ist, 4 und 20 Buchstaben, Symbole, Leerzeichen oder Zahlen. Diese Zeichenfolge muss dem Computer beim Start bereitgestellt werden.

ExternalKey [in, optional]

Typ: uint8[]

Ein Array von Bytes, das den externen 256-Bit-Schlüssel angibt, der zum Entsperren des Volumes beim Starten des Computers verwendet wird. Lassen Sie diesen Parameter leer, um den externen Schlüssel nach dem Zufallsprinzip zu generieren. Verwenden Sie die GetKeyProtectorExternalKey-Methode , um den zufällig generierten Schlüssel abzurufen.

VolumeKeyProtectorID [out]

Typ: Zeichenfolge

Der aktualisierte eindeutige Zeichenfolgenbezeichner, der zum Verwalten einer verschlüsselten Volumeschlüsselschutzvorrichtung verwendet wird.

Wenn das Laufwerk die Hardwareverschlüsselung unterstützt und BitLocker keinen Bandbesitz übernommen hat, wird die ID-Zeichenfolge auf "BitLocker" festgelegt, und der Schlüsselschutz wird pro Band in Metadaten geschrieben.

Rückgabewert

Typ: uint32

Diese Methode gibt einen der folgenden Codes oder einen anderen Fehlercode zurück, wenn ein Fehler auftritt.

Rückgabecode/-wert BESCHREIBUNG
S_OK
0 (0x0)
 Die Methode war erfolgreich.
E_INVALIDARG
2147942487 (0x80070057)
 Der PlatformValidationProfile-Parameter wird bereitgestellt, seine Werte liegen jedoch nicht innerhalb des bekannten Bereichs, oder er stimmt nicht mit der Gruppenrichtlinie Einstellung überein, die derzeit gültig ist.
Der ExternalKey-Parameter wird bereitgestellt, aber es handelt sich nicht um ein Array der Größe 32.
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 Auf diesem Computer befindet sich eine startbare CD/DVD. Entfernen Sie die CD/DVD, und starten Sie den Computer neu.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 Das TPM kann den Verschlüsselungsschlüssel des Volumes nicht schützen, da das Volume nicht das derzeit ausgeführte Betriebssystem enthält.
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
 Der NewPIN-Parameter enthält ungültige Zeichen. Wenn die Gruppenrichtlinie "Erweiterte PINs für den Start zulassen" deaktiviert ist, werden nur Zahlen unterstützt.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 Das Volume ist gesperrt.
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
 Der angegebene NewPIN-Parameter ist entweder länger als 20 Zeichen, kürzer als 4 Zeichen oder kürzer als die durch Gruppenrichtlinie angegebene Mindestlänge.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 Eine Schlüsselschutzvorrichtung dieses Typs ist bereits vorhanden.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 Auf diesem Computer ist kein kompatibles TPM gefunden.

 

Bemerkungen

Für ein Volume kann maximal eine Schlüsselschutzvorrichtung vom Typ "TPM und PIN und Startschlüssel" vorhanden sein. Wenn Sie den Anzeigenamen oder das Plattformvalidierungsprofil ändern möchten, das von einer vorhandenen Schlüsselschutzvorrichtung "TPM und PIN und Startschlüssel" verwendet wird, müssen Sie zuerst die vorhandene Schlüsselschutzvorrichtung entfernen und dann ProtectKeyWithTPMAndPINAndStartupKey aufrufen, um eine neue zu erstellen.

Es sollten zusätzliche Schlüsselschutzvorrichtungen angegeben werden, um das Volume in Wiederherstellungsszenarien zu entsperren, in denen kein Zugriff auf den Verschlüsselungsschlüssel des Volumes abgerufen werden kann. Beispielsweise, wenn das TPM nicht erfolgreich anhand des Plattformvalidierungsprofils überprüft werden kann oder wenn die PIN verloren geht. Verwenden Sie ProtectKeyWithExternalKey oder ProtectKeyWithNumericalPassword , um eine oder mehrere Schlüsselschutzvorrichtungen zum Wiederherstellen eines anderweitig gesperrten Volumes zu erstellen.

Es ist zwar möglich, sowohl eine Schlüsselschutzvorrichtung vom Typ "TPM" als auch eine andere vom Typ "TPM und PIN und Startschlüssel" zu verwenden, aber das Vorhandensein des Schlüsselschutztyps "TPM" negiert die Auswirkungen anderer TPM-basierter Schlüsselschutzvorrichtungen.

MOF-Dateien (Managed Object Format) enthalten die Definitionen für WMI-Klassen (Windows Management Instrumentation). MOF-Dateien werden nicht als Teil des Windows SDK installiert. Sie werden auf dem Server installiert, wenn Sie die zugeordnete Rolle mithilfe der Server-Manager hinzufügen. Weitere Informationen zu MOF-Dateien finden Sie unter Managed Object Format (MOF).

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
 Windows Vista Enterprise mit SP1, Windows Vista Ultimate mit SP1 [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
 Windows Server 2008 [nur Desktop-Apps]
Namespace
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Siehe auch

Win32_EncryptableVolume