Méthode ProtectKeyWithTPM de la classe Win32_EncryptableVolume
La méthode ProtectKeyWithTPM de la classe Win32_EncryptableVolume sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, si disponible.
Un protecteur de clé de type « TPM » est créé pour le volume, s’il n’en existe pas déjà un.
Cette méthode s’applique uniquement au volume qui contient le système d’exploitation en cours d’exécution, et si un protecteur de clé n’existe pas déjà sur le volume.
Syntaxe
uint32 ProtectKeyWithTPM(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[out] string VolumeKeyProtectorID
);
Paramètres
-
FriendlyName [in, optional]
-
Type : chaîne
Chaîne qui spécifie un identificateur de chaîne affecté par l’utilisateur pour ce protecteur de clé. Si ce paramètre n’est pas spécifié, une valeur vide est utilisée.
-
PlatformValidationProfile [in, facultatif]
-
Type : uint8[]
Tableau d’entiers qui spécifie comment le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement du volume de disque.
Un profil de validation de plateforme se compose d’un ensemble d’index PCR (Platform Configuration Register) compris entre 0 et 23, inclus. Les valeurs répétées dans le paramètre sont ignorées. Chaque index PCR est associé aux services qui s’exécutent au démarrage du système d’exploitation. Chaque fois que l’ordinateur démarre, le module de plateforme sécurisée case activée que les services que vous avez spécifiés dans le profil de validation de plateforme n’ont pas changé. Si l’un de ces services change alors que la protection BDE (BitLocker Drive Encryption) reste activée, le module TPM ne libère pas la clé de chiffrement pour déverrouiller le volume de disque et l’ordinateur passe en mode de récupération.
Si ce paramètre est spécifié alors que le paramètre de stratégie de groupe correspondant a été activé, il doit correspondre au paramètre stratégie de groupe.
Si ce paramètre n’est pas spécifié, la valeur par défaut est 0, 2, 4, 5, 8, 9, 10 et 11. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées à la racine principale de confiance de mesure (CRTM), au BIOS et aux extensions de plateforme (PCR 0), au code d’option ROM (PCR 2), au code d’enregistrement de démarrage principal (PCR 4), à la table de partition de l’enregistrement de démarrage principal (MBR) (PCR 5), au secteur de démarrage NTFS (PCR 8), au code de démarrage NTFS (PCR 9), le Gestionnaire de démarrage (PCR 10) et le Access Control de chiffrement de lecteur BitLocker (PCR 11). Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Les ordinateurs basés sur l’interface UEFI (Unified Extensible Firmware Interface) n’utilisent pas pcr 5 par défaut. Pour une protection supplémentaire contre les modifications de configuration de démarrage précoce, utilisez un profil de FICHIERS PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
La modification du profil par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de la plateforme (malveillantes ou autorisées) est augmentée ou réduite en fonction de l’inclusion ou de l’exclusion, respectivement, des fichiers pcr. Pour que la protection BitLocker soit activée, le profil de validation de la plateforme doit inclure pcr 11.
Valeur Signification - 0
Racine principale de la confiance de la mesure (CRTM), du BIOS et des extensions de plateforme. - 1
Configuration et données de la plateforme et de la carte mère - 2
Code ROM de l’option - 3
Configuration et données rom de l’option - 4
Code de l’enregistrement de démarrage principal (MBR) - 5
Table de partition d’enregistrement de démarrage principal (MBR) - 6
Événements de transition et de veille d’état - 7
Manufacturer-Specific ordinateur - 8
Secteur de démarrage NTFS - 9
Code de démarrage NTFS - 10
Gestionnaire de démarrage - 11
Access Control de chiffrement de lecteur BitLocker - 12
Défini pour être utilisé par le système d’exploitation statique - 13
Défini pour être utilisé par le système d’exploitation statique - 14
Défini pour être utilisé par le système d’exploitation statique - 15
Défini pour être utilisé par le système d’exploitation statique - 16
Utilisé pour le débogage - 17
Dynamique CRTM - 18
Plateforme définie - 19
Utilisé par le système d’exploitation approuvé - 20
Utilisé par le système d’exploitation approuvé - 21
Utilisé par le système d’exploitation approuvé - 22
Utilisé par le système d’exploitation approuvé - 23
Prise en charge des applications -
VolumeKeyProtectorID [out]
-
Type : chaîne
Chaîne qui identifie de manière unique le protecteur créé et qui peut être utilisée pour gérer le protecteur de clé.
Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris la propriété de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.
Valeur retournée
Type : uint32
Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.
| Code/valeur de retour | Description |
|---|---|
|
La méthode a réussi. |
|
Le volume est verrouillé. |
|
Aucun module de plateforme sécurisée compatible n’est trouvé sur cet ordinateur. |
|
Le module de plateforme sécurisée ne peut pas sécuriser la clé de chiffrement du volume, car le volume ne contient pas le système d’exploitation en cours d’exécution. |
|
Le paramètre PlatformValidationProfile est fourni, mais ses valeurs ne se trouvent pas dans la plage connue ou ne correspondent pas au paramètre stratégie de groupe actuellement en vigueur. |
|
Un protecteur de clé de ce type existe déjà. |
Considérations relatives à la sécurité
Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de configuration de démarrage précoce, utilisez un profil de FICHIERS PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
La modification du profil par défaut affecte la sécurité ou la facilité d’utilisation de votre ordinateur.
Notes
Au plus un protecteur de clé de type « TPM » peut exister pour un volume à tout moment. Si vous souhaitez modifier le nom d’affichage ou le profil de validation de la plateforme utilisé par un protecteur de clé « TPM » existant, vous devez d’abord supprimer le protecteur de clé existant, puis appeler ProtectKeyWithTPM pour en créer un nouveau.
Pour les indices PCR 0 à 5, les mesures actuelles dans les registres sont utilisées pour protéger la clé de chiffrement. Pour les valeurs PCR comprises entre 8 et 11, les mesures utilisées sont celles qui sont censées exister au prochain cycle de démarrage.
Des protecteurs de clé supplémentaires doivent être spécifiés pour déverrouiller le volume dans les scénarios de récupération où l’accès à la clé de chiffrement du volume ne peut pas être obtenu ; par exemple, lorsque le module de plateforme sécurisée ne peut pas valider correctement par rapport au profil de validation de la plateforme. Utilisez ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword pour créer un ou plusieurs protecteurs de clés permettant de récupérer un volume autrement verrouillé.
Les fichiers MOF (Managed Object Format) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (MOF).
Spécifications
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge |
Windows Vista Entreprise, Windows Vista Ultimate [applications de bureau uniquement] |
| Serveur minimal pris en charge |
Windows Server 2008 [applications de bureau uniquement] |
| Espace de noms |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour