Win32_EncryptableVolume クラスの ProtectKeyWithTPMAndStartupKey メソッド

  • [アーティクル]

Win32_EncryptableVolume クラスの ProtectKeyWithTPMAndStartupKey メソッドは、コンピューター上のトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェア (使用可能な場合) を使用して、起動時にコンピューターに提示する必要がある外部キーによって拡張され、ボリュームの暗号化キーをセキュリティで保護します。

TPM による検証と、外部キーを含む USB メモリ デバイスの入力の両方が、ボリュームの暗号化キーにアクセスし、ボリュームの内容のロックを解除するために必要です。 SaveExternalKeyToFile メソッドを使用して、この外部キーを USB メモリ デバイス上のファイルに保存し、スタートアップ キーとして使用します。

この方法は、現在実行中のオペレーティング システムを含むボリュームにのみ適用されます。

ボリュームに対して "TPM およびスタートアップ キー" 型のキー保護機能が作成されます (まだ存在しない場合)。

構文

uint32 ProtectKeyWithTPMAndStartupKey(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [in, optional] uint8  ExternalKey[],
  [out]          string VolumeKeyProtectorID
);

パラメーター

FriendlyName [in, optional]

型: string

このキー保護機能のユーザー割り当て文字列識別子。 このパラメーターを指定しない場合は、空白の値が使用されます。

PlatformValidationProfile [in, optional]

型: uint8[]

コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアがディスク ボリュームの暗号化キーをセキュリティで保護する方法を指定する整数の配列。

プラットフォーム検証プロファイルは、0 から 23 までのプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。 パラメーターの繰り返し値は無視されます。 各 PCR インデックスは、オペレーティング システムの起動時に実行されるサービスに関連付けられます。 コンピューターが起動するたびに、TPM はプラットフォーム検証プロファイルで指定したサービスが変更されていないことをチェックします。 BitLocker ドライブ暗号化 (BDE) 保護がオンのままでこれらのサービスのいずれかが変更された場合、TPM はディスク ボリュームのロックを解除するための暗号化キーを解放せず、コンピューターは回復モードになります。

対応するグループ ポリシー設定が有効になっているときにこのパラメーターを指定する場合は、グループ ポリシー設定と一致する必要があります。

このパラメーターを指定しない場合、既定値の 0、2、4、5、8、9、10、および 11 が使用されます。 既定のプラットフォーム検証プロファイルでは、次の要素への変更に対して暗号化キーがセキュリティで保護されます。

  • 測定の信頼のコア ルート (CRTM)
  • BIOS
  • プラットフォーム拡張機能 (PCR 0)
  • オプションの ROM コード (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)
  • マスター ブート レコード (MBR) パーティション テーブル (PCR 5)
  • NTFS ブート セクター (PCR 8)
  • NTFS ブート ブロック (PCR 9)
  • ブート マネージャー (PCR 10)
  • BitLocker アクセス制御 (PCR 11)

コンピューターのセキュリティを確保するために、既定のプロファイルをお勧めします。 初期のスタートアップ構成の変更に対する保護を強化するために、PCR 0、1、2、3、4、5、8、9、10、11 のプロファイルを使用します。 統合拡張ファームウェア インターフェイス (UEFI)ベースのコンピューターでは、既定では PCR 5 は使用されません。

既定のプロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外に応じて増減されます。 BitLocker 保護を有効にするには、プラットフォーム検証プロファイルに PCR 11 が含まれている必要があります。

説明
0
 測定の信頼のコア ルート (CRTM)、BIOS、プラットフォーム拡張機能
1
 プラットフォームとマザーボードの構成とデータ
2
 オプション ROM コード
3
 オプション ROM の構成とデータ
4
 マスター ブート レコード (MBR) コード
5
 マスター ブート レコード (MBR) パーティション テーブル
6
 状態遷移とウェイク イベント
7
 コンピューターのManufacturer-Specific
8
 NTFS ブート セクター
9
 NTFS ブート ブロック
10
 ブート マネージャー
11
 BitLocker Access Control
12
 静的オペレーティング システムで使用するために定義されます
13
 静的オペレーティング システムで使用するために定義されます
14
 静的オペレーティング システムで使用するために定義されます
15
 静的オペレーティング システムで使用するために定義されます
16
 デバッグに使用されます
17
 動的 CRTM
18
 プラットフォームが定義されている
19
 信頼できるオペレーティング システムで使用されます
20
 信頼できるオペレーティング システムで使用されます
21
 信頼できるオペレーティング システムで使用されます
22
 信頼できるオペレーティング システムで使用されます
23
 アプリケーション サポート

 

ExternalKey [in, optional]

型: uint8[]

コンピューターの起動時にボリュームのロックを解除するために使用される 256 ビット外部キーを指定するバイト配列。

外部キーが指定されていない場合は、ランダムに生成されます。 ランダムに生成されたキーを取得するには、 GetKeyProtectorExternalKey メソッドを使用します。

VolumeKeyProtectorID [out]

型: string

キー保護機能の管理に使用できる、作成されたキー保護機能に関連付けられている一意の識別子である文字列。

ドライブがハードウェア暗号化をサポートしていて、BitLocker がバンド所有権を取得していない場合、ID 文字列は "BitLocker" に設定され、キー保護機能はバンドごとのメタデータに書き込まれます。

戻り値

型: uint32

このメソッドは、次のいずれかのコードまたは失敗した場合は別のエラー コードを返します。

リターン コード/値 説明
S_OK
0 (0x0)
 メソッドは正常に実行されました。
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
 ボリュームがロックされています。
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
 このコンピューターに互換性のある TPM が見つかりません。
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
 TPM は、ボリュームに現在実行中のオペレーティング システムが含まれていないため、ボリュームの暗号化キーをセキュリティで保護できません。
E_INVALIDARG
2147942487 (0x80070057)
 PlatformValidationProfile パラメーターが指定されていますが、その値が既知の範囲内にありません。または、現在有効になっているグループ ポリシー設定と一致しません。
ExternalKey パラメーターは指定されていますが、サイズ 32 の配列ではありません。
FVE_E_BOOTABLE_CDDVD
2150694960 (0x80310030)
 起動可能な CD/DVD がこのコンピューターにあります。 CD/DVD を削除し、コンピューターを再起動します。
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
 この型のキー保護機能は既に存在します。

 

セキュリティに関する考慮事項

コンピューターのセキュリティを確保するために、既定のプロファイルをお勧めします。 初期のスタートアップ コードの変更に対する保護を強化するために、PCR 0、2、4、5、8、9、10、および 11 のプロファイルを使用します。 初期のスタートアップ構成の変更に対する保護を強化するために、PCR 0、1、2、3、4、5、8、9、10、11 のプロファイルを使用します。

既定のプロファイルから変更すると、コンピューターのセキュリティや使いやすさに影響します。

解説

ボリュームに対して、"TPM およびスタートアップ キー" 型のキー保護機能は、最大で 1 つまでいつでも存在できます。 既存の "TPM+ スタートアップ キー" キー保護機能で使用される表示名またはプラットフォーム検証プロファイルを変更する場合は、まず既存のキー保護機能を削除してから 、ProtectKeyWithTPMAndStartupKey を呼び出して新しいキーを作成する必要があります。 ボリュームの暗号化キーへのアクセスを取得できない回復シナリオでボリュームのロックを解除するには、追加のキー保護機能を指定する必要があります。たとえば、TPM がプラットフォーム検証プロファイルに対して正常に検証できない場合や、外部キーを含む USB メモリが失われた場合などです。

ProtectKeyWithExternalKey または ProtectKeyWithNumericalPassword を使用して、ロックされているボリュームを回復するための 1 つ以上のキー保護機能を作成します。

型 "TPM" のキー保護機能と型 "TPM およびスタートアップ キー" の両方を持つことができますが、"TPM" キー保護機能の種類が存在すると、他の TPM ベースのキー保護機能の効果が否定されます。

マネージド オブジェクト形式 (MOF) ファイルには、Windows Management Instrumentation (WMI) クラスの定義が含まれています。 MOF ファイルは、Windows SDK の一部としてインストールされません。 サーバー マネージャーを使用して関連付けられているロールを追加すると、サーバーにインストールされます。 MOF ファイルの詳細については、「 マネージド オブジェクト形式 (MOF)」を参照してください。

要件

要件
サポートされている最小のクライアント
 Windows Vista Enterprise、Windows Vista Ultimate [デスクトップ アプリのみ]
サポートされている最小のサーバー
 Windows Server 2008 [デスクトップ アプリのみ]
名前空間
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

関連項目

Win32_EncryptableVolume

Win32_Tpm