Méthode ProtectKeyWithTPMAndPINAndStartupKey de la classe Win32_EncryptableVolume

  • Article

La méthode ProtectKeyWithTPMAndPINAndStartupKey de la classe Win32_EncryptableVolume sécurise la clé de chiffrement du volume à l’aide du module de plateforme sécurisée (TPM) sur l’ordinateur, s’il est disponible, amélioré par un numéro d’identification personnel spécifié par l’utilisateur et par une clé externe qui doit être présentée à l’ordinateur au démarrage.

Trois facteurs d’authentification sont nécessaires pour déverrouiller le contenu chiffré du volume :

  1. Validation par le module de plateforme sécurisée
  2. Entrée d’un code confidentiel de 4 à 20 chiffres ou, si la stratégie de groupe « Autoriser les codes confidentiels améliorés pour le démarrage » est activée, de 4 à 20 lettres, symboles, espaces ou chiffres
  3. Entrée d’un périphérique de mémoire USB qui contient la clé externe

Utilisez la méthode SaveExternalKeyToFile pour enregistrer cette clé externe dans un fichier sur un périphérique de mémoire USB et l’utiliser en tant que clé de démarrage. Cette méthode s’applique uniquement sur le volume du système d’exploitation. Un protecteur de clé de type « TPM et code confidentiel et clé de démarrage » est créé.

Syntaxe

uint32 ProtectKeyWithTPMAndPINAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile,
  [in]           string PIN,
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

Paramètres

FriendlyName [in, optional]

Type : chaîne

Chaîne qui étiquette ce protecteur de clé. Si ce paramètre n’est pas spécifié, une valeur vide est utilisée.

PlatformValidationProfile [in, facultatif]

Type : uint8

Tableau d’entiers qui spécifie comment le module TPM de l’ordinateur sécurise la clé de chiffrement du volume. Un profil de validation de plateforme se compose d’un ensemble d’index PCR (Platform Configuration Register) compris entre 0 et 23, inclus. Les valeurs répétées dans le paramètre sont ignorées. Chaque index PCR est associé aux services qui s’exécutent au démarrage du système d’exploitation. Chaque fois que l’ordinateur démarre, le module de plateforme sécurisée case activée que les services que vous avez spécifiés dans le profil de validation de plateforme n’ont pas changé. Si l’un de ces services change alors que la protection BitLocker reste activée, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le volume et l’ordinateur passe en mode de récupération.

Si ce paramètre n’est pas spécifié, les index par défaut de 0, 2, 4, 5, 8, 9, 10 et 11 sont utilisés. Le profil de validation de la plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées à la racine principale de confiance de la mesure (CRTM), au BIOS et aux extensions de plateforme (PCR 0), au code d’option ROM (PCR 2), au code d’enregistrement de démarrage principal (PCR 4), à la table de partitions d’enregistrement de démarrage principal (PCR 5), au secteur de démarrage NTFS (PCR 8), au bloc de démarrage NTFS (PCR 9), le Gestionnaire de démarrage (PCR 10) et le Access Control BitLocker (PCR 11). Les ordinateurs basés sur l’interface UEFI (Unified Extensible Firmware Interface) n’utilisent pas pcr 5 par défaut.

Le profil de validation de plateforme par défaut est recommandé. Pour une protection supplémentaire contre les modifications de configuration de démarrage précoce, utilisez un profil de FICHIERS PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

La modification du profil par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de la plateforme (malveillantes ou autorisées) est augmentée ou réduite en fonction de l’inclusion ou de l’exclusion, respectivement, des fichiers pcr. Pour que la protection BitLocker soit activée, le profil de validation de la plateforme doit inclure pcr 11.

Valeur Signification
0
 Racine principale de la confiance de la mesure (CRTM), du BIOS et des extensions de plateforme
1
 Configuration et données de la plateforme et de la carte mère
2
 Code ROM de l’option
3
 Configuration et données rom de l’option
4
 Code de l’enregistrement de démarrage principal (MBR)
5
 Table de partition d’enregistrement de démarrage principal (MBR)
6
 Événements de transition et de veille d’état
7
 Manufacturer-Specific ordinateur
8
 Secteur de démarrage NTFS
9
 Bloc de démarrage NTFS
10
 Gestionnaire de démarrage
11
 Access Control BitLocker
12
 Défini pour être utilisé par le système d’exploitation statique
13
 Défini pour être utilisé par le système d’exploitation statique
14
 Défini pour être utilisé par le système d’exploitation statique
15
 Défini pour être utilisé par le système d’exploitation statique
16
 Utilisé pour le débogage
17
 Dynamique CRTM
18
 Plateforme définie
19
 Utilisé par un système d’exploitation approuvé
20
 Utilisé par un système d’exploitation approuvé
21
 Utilisé par un système d’exploitation approuvé
22
 Utilisé par un système d’exploitation approuvé
23
 Prise en charge des applications

 

CODE CONFIDENTIEL [in]

Type : chaîne

Contient un numéro d’identification personnel (PIN) à 4 à 20 chiffres ou, si la stratégie de groupe « Autoriser les codes confidentiels améliorés pour le démarrage » est activée, 4 et 20 lettres, symboles, espaces ou chiffres. Cette chaîne doit être fournie à l’ordinateur au démarrage.

ExternalKey [in, facultatif]

Type : uint8[]

Tableau d’octets qui spécifie la clé externe 256 bits utilisée pour déverrouiller le volume au démarrage de l’ordinateur. Laissez ce paramètre vide pour générer de manière aléatoire la clé externe. Utilisez la méthode GetKeyProtectorExternalKey pour obtenir la clé générée de manière aléatoire.

VolumeKeyProtectorID [out]

Type : chaîne

Identificateur de chaîne unique mis à jour utilisé pour gérer un protecteur de clé de volume chiffré.

Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris la propriété de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.

Valeur retournée

Type : uint32

Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.

Code/valeur de retour Description
S_OK
0 (0x0)
 La méthode a réussi.
E_INVALIDARG
2147942487 (0x80070057)
 Le paramètre PlatformValidationProfile est fourni, mais ses valeurs ne se trouvent pas dans la plage connue ou ne correspondent pas au paramètre de stratégie de groupe actuellement en vigueur.
Le paramètre ExternalKey est fourni, mais il ne s’agit pas d’un tableau de taille 32.
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 Un CD/DVD démarrable se trouve sur cet ordinateur. Supprimez le CD/DVD et redémarrez l’ordinateur.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 Le module de plateforme sécurisée ne peut pas sécuriser la clé de chiffrement du volume, car le volume ne contient pas le système d’exploitation en cours d’exécution.
FVE_E_INVALID_PIN_CHARS
2150695066 (0x8031009A)
 Le paramètre NewPIN contient des caractères non valides. Lorsque la stratégie de groupe « Autoriser les codes confidentiels améliorés au démarrage » est désactivée, seuls les nombres sont pris en charge.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 Le volume est verrouillé.
FVE_E_POLICY_INVALID_PIN_LENGTH
2150695016 (0x80310068)
 Le paramètre NewPIN fourni est plus long que 20 caractères, inférieur à 4 caractères ou plus court que la longueur minimale spécifiée par stratégie de groupe.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 Un protecteur de clé de ce type existe déjà.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 Aucun module de plateforme sécurisée compatible n’est trouvé sur cet ordinateur.

 

Notes

Au plus un protecteur de clé de type « TPM et code confidentiel et clé de démarrage » peut exister pour un volume à tout moment. Si vous souhaitez modifier le nom d’affichage ou le profil de validation de la plateforme utilisé par un protecteur de clé « TPM and PIN And Startup Key » existant, vous devez d’abord supprimer le protecteur de clé existant, puis appeler ProtectKeyWithTPMAndPINAndStartupKey pour en créer un.

Des protecteurs de clé supplémentaires doivent être spécifiés pour déverrouiller le volume dans les scénarios de récupération où l’accès à la clé de chiffrement du volume ne peut pas être obtenu ; par exemple, lorsque le module de plateforme sécurisée ne peut pas valider correctement par rapport au profil de validation de la plateforme ou lorsque le code confidentiel est perdu. Utilisez ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword pour créer un ou plusieurs protecteurs de clés permettant de récupérer un volume autrement verrouillé.

Bien qu’il soit possible d’avoir à la fois un protecteur de clé de type « TPM » et un autre de type « TPM et code confidentiel et clé de démarrage », la présence du type de protecteur de clé « TPM » annule les effets d’autres protecteurs de clé basés sur le module TPM.

Les fichiers MOF (Managed Object Format) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (MOF).

Spécifications

Condition requise Valeur
Client minimal pris en charge
 Windows Vista Entreprise avec SP1, Windows Vista Édition Intégrale avec SP1 [applications de bureau uniquement]
Serveur minimal pris en charge
 Windows Server 2008 [applications de bureau uniquement]
Espace de noms
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Voir aussi

Win32_EncryptableVolume