Metode ProtectKeyWithTPMAndPIN dari kelas Win32_EncryptableVolume
Metode ProtectKeyWithTPMAndPIN dari kelas Win32_EncryptableVolume mengamankan kunci enkripsi volume dengan menggunakan Perangkat Keras Keamanan Modul Platform Tepercaya (TPM) di komputer, jika tersedia, ditingkatkan oleh nomor identifikasi pribadi (PIN) yang ditentukan pengguna yang harus disediakan untuk komputer saat startup.
Validasi oleh TPM dan input string identifikasi pribadi diperlukan untuk mengakses kunci enkripsi volume dan membuka kunci konten volume.
Metode ini hanya berlaku untuk volume yang berisi sistem operasi yang sedang berjalan.
Pelindung kunci jenis "TPM Dan PIN" dibuat untuk volume, jika belum ada.
Sintaks
uint32 ProtectKeyWithTPMAndPIN(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in] string PIN,
[out] string VolumeKeyProtectorID
);
Parameter
-
FriendlyName [in, opsional]
-
Jenis: string
Pengidentifikasi string yang ditetapkan pengguna untuk pelindung kunci ini. Jika parameter ini tidak ditentukan, nilai kosong akan digunakan.
-
PlatformValidationProfile [in, opsional]
-
Jenis: uint8[]
Array bilangan bulat yang menentukan bagaimana Perangkat Keras Keamanan Modul Platform Tepercaya (TPM) komputer mengamankan kunci enkripsi volume disk.
Profil validasi platform terdiri dari satu set indeks Platform Configuration Register (PCR) mulai dari 0 hingga 23, inklusif. Ulangi nilai dalam parameter diabaikan. Setiap indeks PCR dikaitkan dengan layanan yang berjalan saat sistem operasi dimulai. Setiap kali komputer dimulai, TPM akan memeriksa bahwa layanan yang Anda tentukan di profil validasi platform tidak berubah. Jika salah satu layanan ini berubah saat perlindungan BitLocker Drive Encryption (BDE) tetap aktif, TPM tidak akan melepaskan kunci enkripsi untuk membuka kunci volume disk, dan komputer akan masuk ke mode pemulihan.
Jika parameter ini ditentukan saat pengaturan Kebijakan Grup terkait telah diaktifkan, parameter harus cocok dengan pengaturan Kebijakan Grup.
Jika parameter ini tidak ditentukan, default 0, 2, 4, 5, 8, 9, 10, dan 11 digunakan. Profil validasi platform default mengamankan kunci enkripsi terhadap perubahan pada elemen berikut:
- Akar Kepercayaan Pengukuran Inti (CRTM)
- BIOS
- Ekstensi Platform (PCR 0)
- Kode ROM Opsi (PCR 2)
- Kode Master Boot Record (MBR) (PCR 4)
- Tabel Partisi Master Boot Record (MBR) (PCR 5)
- Sektor Boot NTFS (PCR 8)
- Blok Boot NTFS (PCR 9)
- Manajer Boot (PCR 10)
- BitLocker Access Control (PCR 11)
Untuk keamanan komputer Anda, kami merekomendasikan profil default. Untuk perlindungan tambahan terhadap perubahan konfigurasi startup awal, gunakan profil PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Komputer berbasis Unified Extensible Firmware Interface (UEFI) tidak menggunakan PCR 5 secara default.
Mengubah dari profil default mempengaruhi keamanan dan pengelolaan komputer Anda. Sensitivitas BitLocker terhadap modifikasi platform (berbahaya atau berwenang) ditingkatkan atau dikurangi tergantung pada penyertaan atau pengecualian, masing-masing, dari PCR. Agar perlindungan BitLocker diaktifkan, profil validasi platform harus menyertakan PCR 11.
Nilai Makna - 0
Akar Kepercayaan Inti Pengukuran (CRTM), BIOS, dan Ekstensi Platform - 1
Konfigurasi dan Data Platform dan Motherboard - 2
Opsi Kode ROM - 3
Opsi Konfigurasi dan Data ROM - 4
Kode Master Boot Record (MBR) - 5
Tabel Partisi Master Boot Record (MBR) - 6
Transisi Status dan Peristiwa Bangun - 7
Manufacturer-Specific Komputer - 8
Sektor Boot NTFS - 9
Blok Boot NTFS - 10
Manajer Boot - 11
BitLocker Access Control - 12
Ditentukan untuk digunakan oleh sistem operasi statis - 13
Ditentukan untuk digunakan oleh sistem operasi statis - 14
Ditentukan untuk digunakan oleh sistem operasi statis - 15
Ditentukan untuk digunakan oleh sistem operasi statis - 16
Digunakan untuk penelusuran kesalahan - 17
CRTM Dinamis - 18
Platform ditentukan - 19
Digunakan oleh sistem operasi tepercaya - 20
Digunakan oleh sistem operasi tepercaya - 21
Digunakan oleh sistem operasi tepercaya - 22
Digunakan oleh sistem operasi tepercaya - 23
Dukungan aplikasi -
PIN [in]
-
Jenis: string
String identifikasi pribadi yang ditentukan pengguna. String ini harus terdiri dari urutan 6 hingga 20 digit atau, jika kebijakan grup "Izinkan VPN yang ditingkatkan untuk startup" diaktifkan, 6 hingga 20 huruf, simbol, spasi, atau angka.
-
VolumeKeyProtectorID [out]
-
Jenis: string
Pengidentifikasi string unik yang diperbarui digunakan untuk mengelola pelindung kunci volume terenkripsi.
Jika drive mendukung enkripsi perangkat keras dan BitLocker belum mengambil kepemilikan band, string ID diatur ke "BitLocker" dan pelindung kunci ditulis ke metadata per pita.
Menampilkan nilai
Jenis: uint32
Metode ini mengembalikan salah satu kode berikut atau kode kesalahan lain jika gagal.
| Mengembalikan kode/nilai | Deskripsi |
|---|---|
|
Metode berhasil. |
|
Parameter PlatformValidationProfile disediakan, tetapi nilainya tidak berada dalam rentang yang diketahui, atau tidak cocok dengan pengaturan Kebijakan Grup yang saat ini berlaku. |
|
CD/DVD yang bisa di-boot ditemukan di komputer ini. Hapus CD/DVD dan mulai ulang komputer. |
|
TPM tidak dapat mengamankan kunci enkripsi volume karena volume tidak berisi sistem operasi yang sedang berjalan. |
|
Parameter NewPIN berisi karakter yang tidak valid. Ketika Kebijakan Grup "Izinkan VPN yang disempurnakan untuk startup" dinonaktifkan, hanya angka yang didukung. |
|
Volume terkunci. |
|
Parameter NewPIN yang disediakan lebih panjang dari 20 karakter, lebih pendek dari 6 karakter, atau lebih pendek dari panjang minimum yang ditentukan oleh Kebijakan Grup. |
|
Pelindung kunci dari jenis ini sudah ada. |
|
TPM yang kompatibel tidak ditemukan pada komputer ini. |
Pertimbangan Keamanan
Untuk keamanan komputer Anda, kami merekomendasikan profil default. Untuk perlindungan tambahan terhadap perubahan kode startup awal, gunakan profil PCR 0, 2, 4, 5, 8, 9, 10, dan 11. Untuk perlindungan tambahan terhadap perubahan konfigurasi startup awal, gunakan profil PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
Mengubah dari profil asali mempengaruhi keamanan atau kegunaan komputer Anda.
Keterangan
Paling banyak satu pelindung kunci jenis "TPM Dan PIN" dapat ada untuk volume kapan saja. Jika Anda ingin mengubah nama tampilan atau profil validasi platform yang digunakan oleh pelindung kunci "TPM Dan PIN" yang ada, Anda harus terlebih dahulu menghapus pelindung kunci yang ada lalu memanggil ProtectKeyWithTPMAndPIN untuk membuat yang baru.
Pelindung kunci tambahan harus ditentukan untuk membuka kunci volume dalam skenario pemulihan di mana akses ke kunci enkripsi volume tidak dapat diperoleh; misalnya, ketika TPM tidak dapat berhasil memvalidasi terhadap profil validasi platform atau ketika PIN hilang.
Gunakan ProtectKeyWithExternalKey atau ProtectKeyWithNumericalPassword untuk membuat satu atau beberapa pelindung kunci untuk memulihkan volume yang dikunci.
Meskipun dimungkinkan untuk memiliki pelindung kunci dari jenis "TPM" dan jenis "TPM Dan PIN" lainnya, keberadaan jenis pelindung kunci "TPM" meniadakan efek pelindung kunci berbasis TPM lainnya.
File Managed Object Format (MOF) berisi definisi untuk kelas Windows Management Instrumentation (WMI). File MOF tidak diinstal sebagai bagian dari Windows SDK. Mereka diinstal di server ketika Anda menambahkan peran terkait dengan menggunakan Manajer Server. Untuk informasi selengkapnya tentang file MOF, lihat Managed Object Format (MOF).
Persyaratan
| Persyaratan | Nilai |
|---|---|
| Klien minimum yang didukung |
Windows Vista Enterprise, Windows Vista Ultimate [hanya aplikasi desktop] |
| Server minimum yang didukung |
Windows Server 2008 [hanya aplikasi desktop] |
| Ruang nama |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Lihat juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk