Método ProtectKeyWithTPMAndStartupKey de la clase Win32_EncryptableVolume
El método ProtectKeyWithTPMAndStartupKey de la clase Win32_EncryptableVolume protege la clave de cifrado del volumen mediante el hardware de seguridad del Módulo de plataforma segura (TPM) en el equipo, si está disponible, mejorado por una clave externa que se debe presentar al equipo al iniciarse.
Tanto la validación por el TPM como la entrada de un dispositivo de memoria USB que contiene la clave externa son necesarias para acceder a la clave de cifrado del volumen y desbloquear el contenido del volumen. Use el método SaveExternalKeyToFile para guardar esta clave externa en un archivo en un dispositivo de memoria USB para su uso como clave de inicio.
Este método solo es aplicable al volumen que contiene el sistema operativo que se está ejecutando actualmente.
Se crea un protector de clave de tipo "TPM y clave de inicio" para el volumen, si aún no existe uno.
Sintaxis
uint32 ProtectKeyWithTPMAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Parámetros
-
FriendlyName [in, opcional]
-
Tipo: cadena
Identificador de cadena asignado por el usuario para este protector de clave. Si no se especifica este parámetro, se usa un valor en blanco.
-
PlatformValidationProfile [in, opcional]
-
Tipo: uint8[]
Matriz de enteros que especifica cómo el hardware de seguridad del módulo de plataforma segura (TPM) del equipo protege la clave de cifrado del volumen de disco.
Un perfil de validación de plataforma consta de un conjunto de índices del Registro de configuración de plataforma (PCR) comprendidos entre 0 y 23, ambos inclusive. Los valores repetidos en el parámetro se omiten. Cada índice de PCR está asociado a los servicios que se ejecutan cuando se inicia el sistema operativo. Cada vez que se inicia el equipo, el TPM comprobará que los servicios especificados en el perfil de validación de la plataforma no han cambiado. Si alguno de estos servicios cambia mientras la protección de Cifrado de unidad BitLocker (BDE) permanece activada, el TPM no liberará la clave de cifrado para desbloquear el volumen de disco y el equipo entrará en modo de recuperación.
Si se especifica este parámetro mientras se ha habilitado la configuración de directiva de grupo correspondiente, debe coincidir con la configuración de directiva de grupo.
Si no se especifica este parámetro, se usa el valor predeterminado de 0, 2, 4, 5, 8, 9, 10 y 11. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados en los siguientes elementos:
- Raíz principal de confianza de medida (CRTM)
- BIOS
- Extensiones de plataforma (PCR 0)
- Código ROM de opción (PCR 2)
- Código de registro de arranque maestro (MBR) (PCR 4)
- Tabla de particiones de registro de arranque maestro (MBR) (PCR 5)
- Sector de arranque de NTFS (PCR 8)
- Bloque de arranque de NTFS (PCR 9)
- Administración de arranque (PCR 10)
- Control de acceso de BitLocker (PCR 11)
Para la seguridad del equipo, se recomienda el perfil predeterminado. Para una protección adicional frente a los cambios de configuración de inicio temprano, use un perfil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Los equipos basados en Unified Extensible Firmware Interface (UEFI) no usan PCR 5 de forma predeterminada.
El cambio del perfil predeterminado afecta a la seguridad y la capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionada o autorizada) aumenta o disminuye en función de la inclusión o exclusión, respectivamente, de las PCR. Para habilitar la protección de BitLocker, el perfil de validación de plataforma debe incluir PCR 11.
Valor Significado - 0
Raíz principal de confianza de medida (CRTM), BIOS y extensiones de plataforma - 1
Configuración y datos de plataforma y placa base - 2
Código rom de opción - 3
Configuración y datos de ROM de opciones - 4
Código de registro de arranque maestro (MBR) - 5
Tabla de particiones de registro de arranque maestro (MBR) - 6
Eventos de transición de estado y reactivación - 7
Manufacturer-Specific de equipo - 8
Sector de arranque NTFS - 9
Bloque de arranque NTFS - 10
Administrador de arranque - 11
Access Control de BitLocker - 12
Definido para su uso por el sistema operativo estático - 13
Definido para su uso por el sistema operativo estático - 14
Definido para su uso por el sistema operativo estático - 15
Definido para su uso por el sistema operativo estático - 16
Se usa para la depuración - 17
CRTM dinámico - 18
Plataforma definida - 19
Usado por un sistema operativo de confianza - 20
Usado por un sistema operativo de confianza - 21
Usado por un sistema operativo de confianza - 22
Usado por un sistema operativo de confianza - 23
Compatibilidad con aplicaciones -
ExternalKey [in, opcional]
-
Tipo: uint8[]
Matriz de bytes que especifica la clave externa de 256 bits utilizada para desbloquear el volumen cuando se inicia el equipo.
Si no se especifica ninguna clave externa, se genera una aleatoriamente. Use el método GetKeyProtectorExternalKey para obtener la clave generada aleatoriamente.
-
VolumeKeyProtectorID [out]
-
Tipo: cadena
Cadena que es el identificador único asociado al protector de clave creado que se puede usar para administrar el protector de clave.
Si la unidad admite el cifrado de hardware y BitLocker no ha tomado la propiedad de banda, la cadena de identificador se establece en "BitLocker" y el protector de clave se escribe en por metadatos de banda.
Valor devuelto
Tipo: uint32
Este método devuelve uno de los siguientes códigos u otro código de error si se produce un error.
| Código o valor devuelto | Descripción |
|---|---|
|
Método realizado correctamente. |
|
El volumen está bloqueado. |
|
No se encuentra ningún TPM compatible en este equipo. |
|
El TPM no puede proteger la clave de cifrado del volumen porque el volumen no contiene el sistema operativo que se está ejecutando actualmente. |
|
Se proporciona el parámetro PlatformValidationProfile, pero sus valores no están dentro del intervalo conocido o no coincide con la configuración de directiva de grupo actualmente en vigor. Se proporciona el parámetro ExternalKey , pero no es una matriz de tamaño 32. |
|
En este equipo se encuentra un CD/DVD de arranque. Quite el CD/DVD y reinicie el equipo. |
|
Ya existe un protector de clave de este tipo. |
Consideraciones sobre la seguridad
Para la seguridad del equipo, se recomienda el perfil predeterminado. Para obtener protección adicional contra los cambios en el código de inicio anticipado, use un perfil de PCR 0, 2, 4, 5, 8, 9, 10 y 11. Para obtener protección adicional frente a los cambios de configuración de inicio temprano, use un perfil de PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
El cambio del perfil predeterminado afecta a la seguridad o facilidad de uso del equipo.
Observaciones
Como máximo, un protector de clave de tipo "TPM y clave de inicio" puede existir para un volumen en cualquier momento. Si desea cambiar el nombre para mostrar o el perfil de validación de la plataforma usado por un protector de clave "TPM plus Startup Key", primero debe quitar el protector de clave existente y, a continuación, llamar a ProtectKeyWithTPMAndStartupKey para crear uno nuevo. Se deben especificar protectores de clave adicionales para desbloquear el volumen en escenarios de recuperación en los que no se puede obtener el acceso a la clave de cifrado del volumen; por ejemplo, cuando el TPM no se puede validar correctamente con el perfil de validación de la plataforma o cuando se pierde la memoria USB que contiene la clave externa.
Use ProtectKeyWithExternalKey o ProtectKeyWithNumericalPassword para crear uno o varios protectores de clave para recuperar un volumen bloqueado de otro modo.
Aunque es posible tener un protector de clave del tipo "TPM" y otro del tipo "TPM And Startup Key", la presencia del tipo "TPM" del tipo protector de clave "TPM" niega los efectos de otros protectores de clave basados en TPM.
Los archivos de Formato de objeto administrado (MOF) contienen las definiciones de clases de Instrumental de administración de Windows (WMI). Los archivos MOF no se instalan como parte del SDK de Windows. Se instalan en el servidor cuando se agrega el rol asociado mediante el Administrador del servidor. Para obtener más información sobre los archivos MOF, vea Managed Object Format (MOF).
Requisitos
| Requisito | Value |
|---|---|
| Cliente mínimo compatible |
Windows Vista Enterprise, Windows Vista Ultimate [solo aplicaciones de escritorio] |
| Servidor mínimo compatible |
Windows Server 2008 [solo aplicaciones de escritorio] |
| Espacio de nombres |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Vea también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de