Método EncryptAfterHardwareTest de la clase Win32_EncryptableVolume

  • Artículo

El método EncryptAfterHardwareTest de la clase Win32_EncryptableVolume comienza el cifrado de un volumen de sistema operativo completamente descifrado después de una prueba de hardware. Se requiere un reinicio para realizar esta prueba de hardware. Use este método en lugar del método Encrypt para comprobar que BitLocker funcionará según lo previsto.

Nota

Si el disco duro está cifrado por hardware, este método no cifra los datos. En su lugar, establece el estado de banda en desbloqueado de "desbloqueado permanentemente". Si la banda está bloqueada, desbloqueada o es de solo lectura, la unidad se considera cifrada.

 

Sintaxis

uint32 EncryptAfterHardwareTest(
  [in, optional] uint32 EncryptionMethod,
  [in, optional] uint32 EncryptionFlags
);

Parámetros

EncryptionMethod [in, opcional]

Tipo: uint32

Especifica el algoritmo de cifrado y el tamaño de clave utilizados para cifrar el volumen. Deje este parámetro en blanco para usar el valor predeterminado de cero. Si el volumen está parcialmente o totalmente cifrado, el valor de este parámetro debe ser 0 o coincidir con el método de cifrado existente del volumen. Si la configuración de directiva de grupo correspondiente se ha habilitado con un valor válido, el valor de este parámetro debe ser 0 o coincidir con la configuración de directiva de grupo.

Si la configuración de directiva de grupo correspondiente no es válida, se usa el valor predeterminado de AES 128 con difusor.

Valor Significado
Unspecified
0
 Use la configuración de directiva de grupo actual, si está disponible y es válida, o el método de cifrado predeterminado en caso contrario.
1
 AES 128 CON DIFUSOR
Cifre el volumen mediante el algoritmo estándar de cifrado avanzado (AES) mejorado con una capa de difusor y mediante un tamaño de clave AES de 128 bits.
2
 AES 256 CON DIFUSOR
Cifre el volumen mediante el algoritmo estándar de cifrado avanzado (AES) mejorado con una capa de difusor y mediante un tamaño de clave AES de 256 bits.
AES_128
3
 Cifre el volumen mediante el algoritmo estándar de cifrado avanzado (AES) y mediante un tamaño de clave AES de 128 bits.
AES_256
4
 Cifre el volumen mediante el algoritmo estándar de cifrado avanzado (AES) y mediante un tamaño de clave AES de 256 bits.

 

EncryptionFlags [in, optional]

Tipo: uint32

Marcas que describen el comportamiento de cifrado.

Windows 7, Windows Server 2008 R2, Windows Vista Enterprise y Windows Server 2008: Este parámetro no está disponible.

Combinación de 32 bits con los siguientes bits definidos actualmente.

Valor Significado
0x00000001
 Realice el cifrado de volumen en modo de cifrado de solo datos al iniciar un nuevo proceso de cifrado. Si el cifrado se ha pausado o detenido, al llamar al método Encrypt se reanuda eficazmente la conversión y se omite el valor de este bit. Este bit solo tiene efecto cuando los métodos Encrypt o EncryptAfterHardwareTest inician el cifrado desde el estado totalmente descifrado, el descifrado en estado de progreso o el estado de descifrado en pausa. Si este bit es cero, lo que significa que no se establece, al iniciar un nuevo proceso de cifrado, se realizará la conversión del modo completo.
0x00000002
 Realice el borrado a petición del espacio libre del volumen. La llamada al método Encrypt con este conjunto de bits solo se permite cuando el volumen no está convirtiendo o borrando actualmente y está en un estado "cifrado".
0x00010000
 Realice la operación solicitada de forma sincrónica. La llamada se bloqueará hasta que la operación solicitada se haya completado o se interrumpa. Esta marca solo se admite con el método Encrypt . Esta marca se puede especificar cuando se llama a Encrypt para reanudar el cifrado detenido o interrumpido o borrado, o cuando el cifrado o el borrado están en curso. Esto permite que el autor de la llamada se reanude sincrónicamente esperando hasta que se complete o interrumpa el proceso.

 

Valor devuelto

Tipo: uint32

Este método devuelve uno de los códigos siguientes u otro código de error si se produce un error.

Este método devuelve inmediatamente. Si el volumen ya está totalmente cifrado y no se devuelve ningún otro error, este método devuelve cero.

Código o valor devuelto Descripción
S_OK
0 (0x0)
 Método realizado correctamente.
E_INVALIDARG
2147942487 (0x80070057)
 Se proporciona el parámetro EncryptionMethod, pero no está dentro del intervalo conocido o no coincide con la configuración de directiva de grupo actual.
FVE_E_CANNOT_ENCRYPT_NO_KEY
2150694958 (0x8031002E)
 No existe ninguna clave de cifrado para el volumen.
Deshabilite los protectores de clave mediante el método DisableKeyProtectors o use uno de los métodos siguientes para especificar protectores de clave para el volumen:
FVE_E_CLUSTERING_NOT_SUPPORTED
2150694942 (0x8031001E)
 El volumen no se puede cifrar porque este equipo está configurado para formar parte de un clúster de servidores.
FVE_E_NO_PROTECTORS_TO_TEST
2150694971 (0x8031003B)
 No se pueden encontrar protectores de clave del tipo "TPM", "TPM y PIN", "TPM y PIN y clave de inicio", "TPM y clave de inicio" o "Clave externa". La prueba de hardware solo implica los protectores de clave anteriores.
Si todavía desea ejecutar una prueba de hardware, debe usar uno de los métodos siguientes para especificar protectores de clave para el volumen:
FVE_E_NOT_DECRYPTED
2150694969 (0x80310039)
 El volumen está parcialmente o totalmente cifrado.
La prueba de hardware se aplica antes de que se produzca el cifrado. Si todavía desea ejecutar la prueba, use primero el método Decrypt y, a continuación, use uno de los métodos siguientes para agregar protectores de clave:
FVE_E_NOT_OS_VOLUME
2150694952 (0x80310028)
 El volumen es un volumen de datos.
La prueba de hardware solo se aplica a los volúmenes que pueden iniciar el sistema operativo. Ejecute este método en el volumen del sistema operativo iniciado actualmente.
FVE_E_POLICY_PASSWORD_REQUIRED
2150694956 (0x8031002C)
 No se especifica ningún protector de clave del tipo "Contraseña numérica". El directiva de grupo requiere una copia de seguridad de la información de recuperación para Servicios de dominio de Active Directory. Para agregar al menos un protector de clave de ese tipo, use el método ProtectKeyWithNumericalPassword .

 

Comentarios

Cuando usas este método sin el segundo parámetro opcional (según la definición de Windows 7 y Windows Vista Enterprise), el método siempre iniciará la conversión de modo completo para mantener el comportamiento compatible con versiones anteriores. De este modo, la expectativa de seguridad de las aplicaciones y scripts existentes no se romperá con la adición del segundo parámetro opcional en Windows 8 y Windows Server 2012.

A diferencia del método Encrypt , este método hace lo siguiente:

  • Comprueba si el TPM podrá desbloquear el volumen, si existe un protector de clave relacionado con TPM.
  • Comprueba si el equipo puede leer una unidad flash USB que contiene un archivo de clave externa durante el inicio, si el volumen se desbloqueará mediante una clave externa (incluida una clave de inicio).
  • Requiere un reinicio del equipo para ejecutar la prueba de hardware.
  • Comienza el cifrado solo si la prueba de hardware se realiza correctamente.
  • No se puede usar en un volumen de datos, en un volumen parcialmente o totalmente cifrado, ni para reanudar el cifrado.

Antes de ejecutar este método, use los métodos siguientes para crear los protectores de clave relacionados:

Después de ejecutar este método, siga estos pasos adicionales:

  1. Inserte en el equipo una unidad flash USB que contenga un archivo de clave externa. Este paso solo se aplica si el volumen tiene un protector de clave de tipo "Clave externa" o "TPM y clave de inicio".
  2. Reinicie el equipo.

En el reinicio del equipo, la prueba de hardware se ejecuta automáticamente.

El cifrado comienza si la prueba de hardware se realiza correctamente. De lo contrario, intente resolver los errores de hardware. Ejecute GetHardwareTestStatus después de reiniciar el equipo para obtener los resultados de la prueba.

Los archivos managed Object Format (MOF) contienen las definiciones de clases de Instrumental de administración de Windows (WMI). Los archivos MOF no se instalan como parte de Windows SDK. Se instalan en el servidor cuando se agrega el rol asociado mediante el Administrador del servidor. Para obtener más información sobre los archivos MOF, vea Managed Object Format (MOF) (Formato de objeto administrado [MOF]).

Requisitos

Requisito Value
Cliente mínimo compatible
 Windows Vista Enterprise, Windows Vista Ultimate [solo aplicaciones de escritorio]
Servidor mínimo compatible
 Windows Server 2008 [solo aplicaciones de escritorio]
Espacio de nombres
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Consulte también

Win32_EncryptableVolume