Win32_EncryptableVolume クラスの ProtectKeyWithTPM メソッド

  • [アーティクル]

Win32_EncryptableVolume クラスの ProtectKeyWithTPM メソッドは、コンピューター上のトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェア (使用可能な場合) を使用して、ボリュームの暗号化キーをセキュリティで保護します。

ボリュームに "TPM" 型のキー保護機能が作成されます (まだ存在しない場合)。

このメソッドは、現在実行中のオペレーティング システムを含むボリュームにのみ適用され、キー保護機能がまだボリュームに存在しない場合に適用されます。

構文

uint32 ProtectKeyWithTPM(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [out]          string VolumeKeyProtectorID
);

パラメーター

FriendlyName [in, optional]

型: string

このキー保護機能のユーザー割り当て文字列識別子を指定する文字列。 このパラメーターを指定しない場合は、空白の値が使用されます。

PlatformValidationProfile [in, optional]

型: uint8[]

コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアがディスク ボリュームの暗号化キーをセキュリティで保護する方法を指定する整数の配列。

プラットフォーム検証プロファイルは、0 から 23 までのプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。 パラメーターの繰り返し値は無視されます。 各 PCR インデックスは、オペレーティング システムの起動時に実行されるサービスに関連付けられます。 コンピューターが起動するたびに、TPM はプラットフォーム検証プロファイルで指定したサービスが変更されていないことをチェックします。 BitLocker ドライブ暗号化 (BDE) 保護がオンのままでこれらのサービスのいずれかが変更された場合、TPM はディスク ボリュームのロックを解除するための暗号化キーを解放せず、コンピューターは回復モードになります。

対応するグループ ポリシー設定が有効になっているときにこのパラメーターを指定する場合は、グループ ポリシー設定と一致する必要があります。

このパラメーターを指定しない場合、既定値の 0、2、4、5、8、9、10、および 11 が使用されます。 既定のプラットフォーム検証プロファイルは、コア信頼ルート オブ 測定 (CRTM)、BIOS、プラットフォーム拡張機能 (PCR 0)、オプション ROM コード (PCR 2)、マスター ブート レコード (MBR) コード (PCR 4)、マスター ブート レコード (MBR) パーティション テーブル (PCR 5)、NTFS ブート セクター (PCR 8)、NTFS ブート コード (PCR 9) の変更に対して暗号化キーをセキュリティで保護します。 ブート マネージャー (PCR 10)、および BitLocker ドライブ暗号化Access Control (PCR 11)。 コンピューターのセキュリティを確保するために、既定のプロファイルをお勧めします。 統合拡張ファームウェア インターフェイス (UEFI)ベースのコンピューターでは、既定では PCR 5 は使用されません。 初期のスタートアップ構成の変更に対する保護を強化するために、PCR 0、1、2、3、4、5、8、9、10、11 のプロファイルを使用します。

既定のプロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外に応じて増減されます。 BitLocker 保護を有効にするには、プラットフォーム検証プロファイルに PCR 11 が含まれている必要があります。

説明
0
 測定の信頼のコア ルート (CRTM)、BIOS、プラットフォーム拡張機能。
1
 プラットフォームとマザーボードの構成とデータ
2
 オプション ROM コード
3
 オプション ROM の構成とデータ
4
 マスター ブート レコード (MBR) コード
5
 マスター ブート レコード (MBR) パーティション テーブル
6
 状態遷移とウェイク イベント
7
 コンピューターのManufacturer-Specific
8
 NTFS ブート セクター
9
 NTFS ブート コード
10
 ブート マネージャー
11
 BitLocker ドライブ暗号化Access Control
12
 静的オペレーティング システムで使用するために定義されます
13
 静的オペレーティング システムで使用するために定義されます
14
 静的オペレーティング システムで使用するために定義されます
15
 静的オペレーティング システムで使用するために定義されます
16
 デバッグに使用されます
17
 動的 CRTM
18
 プラットフォームが定義されている
19
 信頼されたオペレーティング システムで使用されます
20
 信頼されたオペレーティング システムで使用されます
21
 信頼されたオペレーティング システムで使用されます
22
 信頼されたオペレーティング システムで使用されます
23
 アプリケーション サポート

 

VolumeKeyProtectorID [out]

型: string

作成されたプロテクターを一意に識別し、キー保護機能の管理に使用できる文字列。

ドライブがハードウェア暗号化をサポートしていて、BitLocker がバンド所有権を取得していない場合、ID 文字列は "BitLocker" に設定され、キー保護機能はバンドごとのメタデータに書き込まれます。

戻り値

型: uint32

このメソッドは、次のいずれかのコードまたは失敗した場合は別のエラー コードを返します。

リターン コード/値 説明
S_OK
0 (0x0)
 メソッドは正常に実行されました。
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 ボリュームがロックされています。
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 このコンピューターに互換性のある TPM が見つかりません。
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 TPM は、ボリュームに現在実行中のオペレーティング システムが含まれていないため、ボリュームの暗号化キーをセキュリティで保護できません。
E_INVALIDARG
2147942487 (0x80070057)
 PlatformValidationProfile パラメーターが指定されていますが、その値が既知の範囲内にないか、現在有効なグループ ポリシー設定と一致しません。
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 この型のキー 保護機能は既に存在します。

 

セキュリティに関する考慮事項

コンピューターのセキュリティを確保するために、既定のプロファイルをお勧めします。 初期のスタートアップ構成の変更に対する保護を強化するために、PCR 0、1、2、3、4、5、8、9、10、11 のプロファイルを使用します。

既定のプロファイルから変更すると、コンピューターのセキュリティまたは使いやすさに影響します。

解説

"TPM" 型のキー 保護機能は、ボリュームに対していつでも 1 つ以上存在できます。 既存の "TPM" キー保護機能で使用される表示名またはプラットフォーム検証プロファイルを変更する場合は、まず既存のキー保護機能を削除してから ProtectKeyWithTPM を呼び出して新しいキー保護機能を作成する必要があります。

PCR インデックス 0 ~ 5 の場合、レジスタ内の現在の測定値を使用して暗号化キーを保護します。 PCR 値 8 ~ 11 の場合、使用される測定値は、次の開始サイクルに存在すると予想される測定値です。

ボリュームの暗号化キーへのアクセスを取得できない回復シナリオでボリュームのロックを解除するには、追加のキー保護機能を指定する必要があります。たとえば、TPM がプラットフォーム検証プロファイルに対して正常に検証できない場合などです。 ProtectKeyWithExternalKey または ProtectKeyWithNumericalPassword を使用して、ロックされていないボリュームを回復するための 1 つ以上のキー 保護機能を作成します。

マネージド オブジェクト形式 (MOF) ファイルには、Windows Management Instrumentation (WMI) クラスの定義が含まれています。 MOF ファイルは、Windows SDK の一部としてインストールされません。 サーバー マネージャーを使用して関連付けられたロールを追加すると、サーバーにインストールされます。 MOF ファイルの詳細については、「 マネージド オブジェクト形式 (MOF)」を参照してください。

必要条件

要件
サポートされている最小のクライアント
 Windows Vista Enterprise、Windows Vista Ultimate [デスクトップ アプリのみ]
サポートされている最小のサーバー
 Windows Server 2008 [デスクトップ アプリのみ]
名前空間
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

関連項目

Win32_EncryptableVolume

Win32_Tpm