Metode ProtectKeyWithTPMAndStartupKey dari kelas Win32_EncryptableVolume
Metode ProtectKeyWithTPMAndStartupKey dari kelas Win32_EncryptableVolume mengamankan kunci enkripsi volume dengan menggunakan Perangkat Keras Keamanan Modul Platform Tepercaya (TPM) di komputer, jika tersedia, ditingkatkan oleh kunci eksternal yang harus disajikan ke komputer saat startup.
Validasi oleh TPM dan input perangkat memori USB yang berisi kunci eksternal diperlukan untuk mengakses kunci enkripsi volume dan membuka kunci konten volume. Gunakan metode SaveExternalKeyToFile untuk menyimpan kunci eksternal ini ke file pada perangkat memori USB untuk digunakan sebagai kunci startup.
Metode ini hanya berlaku untuk volume yang berisi sistem operasi yang sedang berjalan.
Pelindung kunci jenis "TPM Dan Kunci Startup" dibuat untuk volume, jika belum ada.
Sintaks
uint32 ProtectKeyWithTPMAndStartupKey(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[in, optional] uint8 ExternalKey[],
[out] string VolumeKeyProtectorID
);
Parameter
-
FriendlyName [in, opsional]
-
Jenis: string
Pengidentifikasi string yang ditetapkan pengguna untuk pelindung kunci ini. Jika parameter ini tidak ditentukan, nilai kosong akan digunakan.
-
PlatformValidationProfile [in, opsional]
-
Jenis: uint8[]
Array bilangan bulat yang menentukan bagaimana Perangkat Keras Keamanan Modul Platform Tepercaya (TPM) komputer mengamankan kunci enkripsi volume disk.
Profil validasi platform terdiri dari satu set indeks Platform Configuration Register (PCR) mulai dari 0 hingga 23, inklusif. Ulangi nilai dalam parameter diabaikan. Setiap indeks PCR dikaitkan dengan layanan yang berjalan ketika sistem operasi dimulai. Setiap kali komputer dimulai, TPM akan memeriksa bahwa layanan yang Anda tentukan di profil validasi platform tidak berubah. Jika salah satu layanan ini berubah saat perlindungan BitLocker Drive Encryption (BDE) tetap aktif, TPM tidak akan melepaskan kunci enkripsi untuk membuka kunci volume disk, dan komputer akan masuk ke mode pemulihan.
Jika parameter ini ditentukan saat pengaturan Kebijakan Grup terkait telah diaktifkan, parameter harus cocok dengan pengaturan Kebijakan Grup.
Jika parameter ini tidak ditentukan, default 0, 2, 4, 5, 8, 9, 10, dan 11 digunakan. Profil validasi platform default mengamankan kunci enkripsi terhadap perubahan pada elemen berikut:
- Akar Kepercayaan Pengukuran Inti (CRTM)
- BIOS
- Ekstensi Platform (PCR 0)
- Opsi Kode ROM (PCR 2)
- Kode Master Boot Record (MBR) (PCR 4)
- Tabel Partisi Master Boot Record (MBR) (PCR 5)
- Sektor Boot NTFS (PCR 8)
- Blok Boot NTFS (PCR 9)
- Manajer Boot (PCR 10)
- BitLocker Access Control (PCR 11)
Untuk keamanan komputer Anda, kami merekomendasikan profil default. Untuk perlindungan tambahan terhadap perubahan konfigurasi startup awal, gunakan profil PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11. Komputer berbasis Unified Extensible Firmware Interface (UEFI) tidak menggunakan PCR 5 secara default.
Mengubah dari profil default memengaruhi keamanan dan pengelolaan komputer Anda. Sensitivitas BitLocker terhadap modifikasi platform (berbahaya atau berwenang) ditingkatkan atau dikurangi tergantung pada penyertaan atau pengecualian, masing-masing, dari PCR. Agar perlindungan BitLocker diaktifkan, profil validasi platform harus menyertakan PCR 11.
Nilai Makna - 0
Akar Kepercayaan Pengukuran Inti (CRTM), BIOS, dan Ekstensi Platform - 1
Konfigurasi dan Data Platform dan Motherboard - 2
Opsi Kode ROM - 3
Opsi Konfigurasi dan Data ROM - 4
Kode Master Boot Record (MBR) - 5
Tabel Partisi Master Boot Record (MBR) - 6
Transisi Status dan Peristiwa Bangun - 7
Manufacturer-Specific Komputer - 8
Sektor Boot NTFS - 9
Blok Boot NTFS - 10
Manajer Boot - 11
BitLocker Access Control - 12
Ditentukan untuk digunakan oleh sistem operasi statis - 13
Ditentukan untuk digunakan oleh sistem operasi statis - 14
Ditentukan untuk digunakan oleh sistem operasi statis - 15
Ditentukan untuk digunakan oleh sistem operasi statis - 16
Digunakan untuk penelusuran kesalahan - 17
CRTM Dinamis - 18
Platform yang ditentukan - 19
Digunakan oleh sistem operasi tepercaya - 20
Digunakan oleh sistem operasi tepercaya - 21
Digunakan oleh sistem operasi tepercaya - 22
Digunakan oleh sistem operasi tepercaya - 23
Dukungan aplikasi -
ExternalKey [in, opsional]
-
Jenis: uint8[]
Array byte yang menentukan kunci eksternal 256-bit yang digunakan untuk membuka kunci volume saat komputer dimulai.
Jika tidak ada kunci eksternal yang ditentukan, kunci akan dibuat secara acak. Gunakan metode GetKeyProtectorExternalKey untuk mendapatkan kunci yang dihasilkan secara acak.
-
VolumeKeyProtectorID [out]
-
Jenis: string
String yang merupakan pengidentifikasi unik yang terkait dengan pelindung kunci yang dibuat yang dapat digunakan untuk mengelola pelindung kunci.
Jika drive mendukung enkripsi perangkat keras dan BitLocker belum mengambil kepemilikan band, string ID diatur ke "BitLocker" dan pelindung kunci ditulis ke metadata per band.
Mengembalikan nilai
Jenis: uint32
Metode ini mengembalikan salah satu kode berikut atau kode kesalahan lain jika gagal.
| Mengembalikan kode/nilai | Deskripsi |
|---|---|
|
Metode berhasil. |
|
Volume dikunci. |
|
TPM yang kompatibel tidak ditemukan pada komputer ini. |
|
TPM tidak dapat mengamankan kunci enkripsi volume karena volume tidak berisi sistem operasi yang sedang berjalan. |
|
Parameter PlatformValidationProfile disediakan, tetapi nilainya tidak berada dalam rentang yang diketahui, atau tidak cocok dengan pengaturan Kebijakan Grup yang saat ini berlaku. Parameter ExternalKey disediakan tetapi bukan array dengan ukuran 32. |
|
CD/DVD yang dapat di-boot ditemukan di komputer ini. Hapus CD/DVD dan mulai ulang komputer. |
|
Pelindung kunci dari jenis ini sudah ada. |
Pertimbangan Keamanan
Untuk keamanan komputer Anda, kami merekomendasikan profil default. Untuk perlindungan tambahan terhadap perubahan kode startup awal, gunakan profil PCR 0, 2, 4, 5, 8, 9, 10, dan 11. Untuk perlindungan tambahan terhadap perubahan konfigurasi startup awal, gunakan profil PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
Mengubah dari profil default memengaruhi keamanan atau kegunaan komputer Anda.
Keterangan
Paling banyak satu pelindung kunci jenis "TPM Dan Kunci Startup" dapat ada untuk volume kapan saja. Jika Anda ingin mengubah nama tampilan atau profil validasi platform yang digunakan oleh pelindung kunci "TPM plus Kunci Startup" yang ada, Anda harus terlebih dahulu menghapus pelindung kunci yang ada lalu memanggil ProtectKeyWithTPMAndStartupKey untuk membuat yang baru. Pelindung kunci tambahan harus ditentukan untuk membuka kunci volume dalam skenario pemulihan di mana akses ke kunci enkripsi volume tidak dapat diperoleh; misalnya, ketika TPM tidak dapat berhasil memvalidasi terhadap profil validasi platform atau ketika memori USB yang berisi kunci eksternal hilang.
Gunakan ProtectKeyWithExternalKey atau ProtectKeyWithNumericalPassword untuk membuat satu atau beberapa pelindung kunci untuk memulihkan volume yang dikunci.
Meskipun dimungkinkan untuk memiliki pelindung kunci dari jenis "TPM" dan jenis lain "TPM Dan Kunci Startup", keberadaan jenis pelindung kunci "TPM" meniadakan efek pelindung kunci berbasis TPM lainnya.
File Managed Object Format (MOF) berisi definisi untuk kelas Windows Management Instrumentation (WMI). File MOF tidak diinstal sebagai bagian dari Windows SDK. Mereka diinstal di server saat Anda menambahkan peran terkait dengan menggunakan Manajer Server. Untuk informasi selengkapnya tentang file MOF, lihat Managed Object Format (MOF).
Persyaratan
| Persyaratan | Nilai |
|---|---|
| Klien minimum yang didukung |
Windows Vista Enterprise, Windows Vista Ultimate [hanya aplikasi desktop] |
| Server minimum yang didukung |
Windows Server 2008 [hanya aplikasi desktop] |
| Ruang nama |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Lihat juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk