Metodo ProtectKeyWithTPM della classe Win32_EncryptableVolume
Il metodo ProtectKeyWithTPM della classe Win32_EncryptableVolume protegge la chiave di crittografia del volume usando l'hardware di sicurezza TPM (Trusted Platform Module) nel computer, se disponibile.
Viene creata una protezione chiave di tipo "TPM" per il volume, se non esiste già.
Questo metodo è applicabile solo per il volume che contiene il sistema operativo attualmente in esecuzione e se una protezione chiave non esiste già nel volume.
Sintassi
uint32 ProtectKeyWithTPM(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[out] string VolumeKeyProtectorID
);
Parametri
-
FriendlyName [in, facoltativo]
-
Tipo: stringa
Stringa che specifica un identificatore di stringa assegnato dall'utente per questa protezione della chiave. Se questo parametro non è specificato, viene usato un valore vuoto.
-
PlatformValidationProfile [in, facoltativo]
-
Tipo: uint8[]
Matrice di interi che specifica come l'hardware TPM (Trusted Platform Module) del computer protegge la chiave di crittografia del volume del disco.
Un profilo di convalida della piattaforma è costituito da un set di indici PCR (Platform Configuration Register) compresi tra 0 e 23. I valori di ripetizione nel parametro vengono ignorati. Ogni indice PCR è associato ai servizi eseguiti all'avvio del sistema operativo. Ogni volta che il computer viene avviato, il TPM verificherà che i servizi specificati nel profilo di convalida della piattaforma non siano stati modificati. Se uno di questi servizi cambia mentre la protezione BDE (BitLocker Drive Encryption) rimane attiva, il TPM non rilascia la chiave di crittografia per sbloccare il volume del disco e il computer entra in modalità di ripristino.
Se questo parametro viene specificato mentre l'impostazione di Criteri di gruppo corrispondente è stata abilitata, deve corrispondere all'impostazione Criteri di gruppo.
Se questo parametro non è specificato, viene usato il valore predefinito 0, 2, 4, 5, 8, 9, 10 e 11. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche apportate alla radice principale di attendibilità della misura (CRTM), BIOS e estensioni della piattaforma (PCR 0), codice ROM opzione (PCR 2), codice master boot record (MBR) (PCR 4), tabella di partizione del record di avvio master (MBR) (PCR 5), il settore di avvio NTFS (PCR 8), il codice di avvio NTFS (PCR 9), Gestione avvio (PCR 10) e crittografia unità BitLocker Controllo di accesso (PCR 11). Per la sicurezza del computer, è consigliabile il profilo predefinito. I computer basati su UEFI (Extensible Firmware Interface) unificati non usano PCR 5 per impostazione predefinita. Per una protezione aggiuntiva rispetto alle modifiche iniziali della configurazione di avvio, usare un profilo di pcr 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
La modifica dal profilo predefinito influisce sulla sicurezza e la gestibilità del computer. La sensibilità di BitLocker alle modifiche della piattaforma (dannose o autorizzate) è aumentata o ridotta a seconda dell'inclusione o dell'esclusione, rispettivamente, delle pcr. Per abilitare la protezione bitLocker, il profilo di convalida della piattaforma deve includere PCR 11.
Valore Significato - 0
Radice principale della misura (CRTM), BIOS e estensioni della piattaforma. - 1
Configurazione della piattaforma e della scheda madre e dati - 2
Codice ROM opzione - 3
Configurazione e dati dell'opzione ROM - 4
Codice MBR (Master Boot Record) - 5
Tabella di partizione master boot record (MBR) - 6
Eventi di transizione e riattivazione dello stato - 7
Manufacturer-Specific computer - 8
Settore di avvio NTFS - 9
Codice di avvio NTFS - 10
Gestione avvio - 11
Crittografia unità BitLocker Controllo di accesso - 12
Definito per l'uso dal sistema operativo statico - 13
Definito per l'uso dal sistema operativo statico - 14
Definito per l'uso dal sistema operativo statico - 15
Definito per l'uso dal sistema operativo statico - 16
Usato per il debug - 17
CRTM dinamico - 18
Piattaforma definita - 19
Usato dal sistema operativo attendibile - 20
Usato dal sistema operativo attendibile - 21
Usato dal sistema operativo attendibile - 22
Usato dal sistema operativo attendibile - 23
Supporto delle applicazioni -
VolumeKeyProtectorID [out]
-
Tipo: stringa
Stringa che identifica in modo univoco la protezione creata e che può essere usata per gestire la protezione della chiave.
Se l'unità supporta la crittografia hardware e BitLocker non ha acquisito la proprietà della banda, la stringa ID è impostata su "BitLocker" e la protezione delle chiavi viene scritta in base ai metadati band.
Valore restituito
Tipo: uint32
Questo metodo restituisce uno dei codici seguenti o un altro codice di errore se ha esito negativo.
| Codice/valore restituito | Descrizione |
|---|---|
|
Il metodo è stato eseguito correttamente. |
|
Il volume è bloccato. |
|
Nessun TPM compatibile viene trovato in questo computer. |
|
Il TPM non può proteggere la chiave di crittografia del volume perché il volume non contiene il sistema operativo attualmente in esecuzione. |
|
Il parametro PlatformValidationProfile viene fornito, ma i relativi valori non si trovano all'interno dell'intervallo noto oppure non corrispondono all'impostazione Criteri di gruppo attualmente in vigore. |
|
Esiste già una protezione chiave di questo tipo. |
Considerazioni relative alla sicurezza
Per la sicurezza del computer, è consigliabile il profilo predefinito. Per una protezione aggiuntiva rispetto alle modifiche iniziali della configurazione di avvio, usare un profilo di pcr 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.
La modifica dal profilo predefinito influisce sulla sicurezza o sull'usabilità del computer.
Commenti
Al massimo una protezione chiave di tipo "TPM" può esistere per un volume in qualsiasi momento. Se si vuole modificare il nome visualizzato o il profilo di convalida della piattaforma usato da una protezione chiave "TPM" esistente, è prima necessario rimuovere la protezione chiave esistente e quindi chiamare ProtectKeyWithTPM per crearne uno nuovo.
Per gli indici PCR da 0 a 5, le misurazioni correnti nei registri vengono usate per proteggere la chiave di crittografia. Per i valori PCR da 8 a 11, le misurazioni usate sono quelle previste nel ciclo di inizio successivo.
È necessario specificare protezioni chiave aggiuntive per sbloccare il volume negli scenari di ripristino in cui non è possibile ottenere l'accesso alla chiave di crittografia del volume; ad esempio, quando il TPM non può convalidare correttamente il profilo di convalida della piattaforma. Usare ProtectKeyWithExternalKey o ProtectKeyWithNumericalPassword per creare una o più protezioni chiave per il ripristino di un volume bloccato in caso contrario.
I file MOF (Managed Object Format) contengono le definizioni per le classi WMI (Management Instrumentation) di Windows. I file MOF non vengono installati come parte di Windows SDK. Vengono installati nel server quando si aggiunge il ruolo associato usando il Server Manager. Per altre informazioni sui file MOF, vedere Managed Object Format (MOF).
Requisiti
| Requisito | Valore |
|---|---|
| Client minimo supportato |
Windows Vista Enterprise, Windows Vista Ultimate [solo app desktop] |
| Server minimo supportato |
Windows Server 2008 [solo app desktop] |
| Spazio dei nomi |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
Vedi anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per