Método ProtectKeyWithTPM de la clase Win32_EncryptableVolume

El método ProtectKeyWithTPM de la clase Win32_EncryptableVolume protege la clave de cifrado del volumen mediante el hardware de seguridad del módulo de plataforma segura (TPM) en el equipo, si está disponible.

Se crea un protector de clave de tipo "TPM" para el volumen, si aún no existe uno.

Este método solo es aplicable al volumen que contiene el sistema operativo actualmente en ejecución y si aún no existe un protector de clave en el volumen.

Sintaxis

uint32 ProtectKeyWithTPM(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [out]          string VolumeKeyProtectorID
);

Parámetros

FriendlyName [in, optional]

Tipo: cadena

Cadena que especifica un identificador de cadena asignado por el usuario para este protector de clave. Si no se especifica este parámetro, se usa un valor en blanco.

PlatformValidationProfile [in, optional]

Tipo: uint8[]

Matriz de enteros que especifica cómo el hardware de seguridad del módulo de plataforma segura (TPM) del equipo protege la clave de cifrado del volumen de disco.

Un perfil de validación de plataforma consta de un conjunto de índices de Registro de configuración de plataforma (PCR) comprendidos entre 0 y 23, ambos incluidos. Los valores repetidos en el parámetro se omiten. Cada índice DE PCR está asociado a los servicios que se ejecutan cuando se inicia el sistema operativo. Cada vez que se inicia el equipo, el TPM comprobará que los servicios especificados en el perfil de validación de la plataforma no han cambiado. Si alguno de estos servicios cambia mientras la protección de Cifrado de unidad BitLocker (BDE) permanece activada, el TPM no liberará la clave de cifrado para desbloquear el volumen de disco y el equipo entrará en modo de recuperación.

Si se especifica este parámetro mientras se ha habilitado la configuración de directiva de grupo correspondiente, debe coincidir con la configuración de directiva de grupo.

Si no se especifica este parámetro, se usa el valor predeterminado de 0, 2, 4, 5, 8, 9, 10 y 11. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados en la raíz principal de confianza de medición (CRTM), BIOS y extensiones de plataforma (PCR 0), código ROM de opción (PCR 2), código de registro de arranque maestro (MBR) (PCR 4), tabla de particiones del registro de arranque maestro (MBR) (PCR 5), el sector de arranque NTFS (PCR 8), el código de arranque NTFS (PCR 9), el Administrador de arranque (PCR 10) y el cifrado de unidad BitLocker Access Control (PCR 11). Para la seguridad del equipo, se recomienda el perfil predeterminado. Los equipos basados en Unified Extensible Firmware Interface (UEFI) no usan PCR 5 de forma predeterminada. Para obtener protección adicional frente a los cambios de configuración de inicio temprano, use un perfil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

El cambio del perfil predeterminado afecta a la seguridad y la capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionada o autorizada) se incrementa o disminuye en función de la inclusión o exclusión, respectivamente, de las PCR. Para habilitar la protección de BitLocker, el perfil de validación de la plataforma debe incluir PCR 11.

Value Significado
0
Raíz principal de confianza de medida (CRTM), BIOS y extensiones de plataforma.
1
Configuración y datos de plataforma y placa base
2
Código rom de opción
3
Configuración y datos de ROM de opción
4
Código de registro de arranque maestro (MBR)
5
Tabla de particiones de registro de arranque maestro (MBR)
6
Eventos de transición de estado y reactivación
7
Manufacturer-Specific de equipo
8
Sector de arranque NTFS
9
Código de arranque NTFS
10
Administrador de arranque
11
Cifrado de unidad BitLocker Access Control
12
Definido para su uso por el sistema operativo estático
13
Definido para su uso por el sistema operativo estático
14
Definido para su uso por el sistema operativo estático
15
Definido para su uso por el sistema operativo estático
16
Se usa para la depuración
17
CRTM dinámico
18
Plataforma definida
19
Usado por el sistema operativo de confianza
20
Usado por el sistema operativo de confianza
21
Usado por el sistema operativo de confianza
22
Usado por el sistema operativo de confianza
23
Compatibilidad con aplicaciones

 

VolumeKeyProtectorID [out]

Tipo: cadena

Cadena que identifica de forma única el protector creado y que se puede usar para administrar el protector de clave.

Si la unidad admite el cifrado de hardware y BitLocker no ha tomado propiedad de banda, la cadena de identificador se establece en "BitLocker" y el protector de clave se escribe en por cada metadatos de banda.

Valor devuelto

Tipo: uint32

Este método devuelve uno de los siguientes códigos u otro código de error si se produce un error.

Código o valor devuelto Descripción
S_OK
0 (0x0)
Método realizado correctamente.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
El volumen está bloqueado.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
No se encuentra ningún TPM compatible en este equipo.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
El TPM no puede proteger la clave de cifrado del volumen porque el volumen no contiene el sistema operativo que se está ejecutando actualmente.
E_INVALIDARG
2147942487 (0x80070057)
Se proporciona el parámetro PlatformValidationProfile, pero sus valores no están dentro del intervalo conocido o no coincide con la configuración de directiva de grupo actualmente en vigor.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
Ya existe un protector de clave de este tipo.

 

Consideraciones sobre la seguridad

Para la seguridad del equipo, se recomienda el perfil predeterminado. Para obtener protección adicional frente a los cambios de configuración de inicio temprano, use un perfil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

El cambio del perfil predeterminado afecta a la seguridad o facilidad de uso del equipo.

Observaciones

Como máximo, un protector de clave de tipo "TPM" puede existir para un volumen en cualquier momento. Si desea cambiar el nombre para mostrar o el perfil de validación de la plataforma usado por un protector de clave "TPM" existente, primero debe quitar el protector de clave existente y, a continuación, llamar a ProtectKeyWithTPM para crear uno nuevo.

En el caso de los índices DE PCR entre 0 y 5, las mediciones actuales de los registros se utilizan para proteger la clave de cifrado. En el caso de los valores de PCR entre 8 y 11, las mediciones utilizadas son las que se espera que existan en el siguiente ciclo de inicio.

Se deben especificar protectores de clave adicionales para desbloquear el volumen en escenarios de recuperación en los que no se puede obtener el acceso a la clave de cifrado del volumen; por ejemplo, cuando el TPM no se puede validar correctamente con el perfil de validación de la plataforma. Use ProtectKeyWithExternalKey o ProtectKeyWithNumericalPassword para crear uno o varios protectores de clave para recuperar un volumen bloqueado de otro modo.

Los archivos managed Object Format (MOF) contienen las definiciones de Windows clases de Instrumental de administración (WMI). Los archivos MOF no se instalan como parte del SDK de Windows. Se instalan en el servidor cuando se agrega el rol asociado mediante el Administrador del servidor. Para obtener más información sobre los archivos MOF, vea Managed Object Format (MOF).

Requisitos

Requisito Value
Cliente mínimo compatible
Windows Vista Enterprise, Windows Vista Ultimate [solo aplicaciones de escritorio]
Servidor mínimo compatible
Windows Server 2008 [solo aplicaciones de escritorio]
Espacio de nombres
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Vea también

Win32_EncryptableVolume

Win32_Tpm