Win32_EncryptableVolume クラス
Win32_EncryptableVolume WMI プロバイダー クラスは、BitLocker ドライブ暗号化を使って保護できるハード ディスク上のストレージ領域を表します。 NTFS ボリュームのみを暗号化できます。 オペレーティング システムを含むボリュームや、ローカル ディスク上のデータ ボリュームにすることもできます。 ネットワーク ドライブにすることはできません。
BitLocker の利点を実現するには、ボリュームの暗号化キーの保護方法を指定してから、ボリュームを完全に暗号化する必要があります。
ボリュームの暗号化キーを保護するには、次のメソッドを使ってキーの保護機能を追加します。
- ProtectKeyWithCertificateFile
- ProtectKeyWithCertificateThumbprint
- ProtectKeyWithExternalKey
- ProtectKeyWithNumericalPassword
- ProtectKeyWithPassphrase
- ProtectKeyWithTPM
- ProtectKeyWithTPMAndPIN
- ProtectKeyWithTPMAndPINAndStartupKey
- ProtectKeyWithTPMAndStartupKey
キーの保護機能の種類ごとに、暗号化されたデータへのアクセスのロックを解除するための異なる認証エクスペリエンスが提供されます。 外部キーと数値パスワードを使って、回復シナリオ中に認証を提供できます。 TPM ベースのキーの保護機能の場合は、最初に TPM を適切に初期化することが必要になる場合があります。 詳細については、Win32_Tpm WMI プロバイダー クラスを参照してください。
暗号化を開始するには、Encrypt または EncryptAfterHardwareTest メソッドを使います。 暗号化を開始する前にキーの保護機能を追加する必要があります。そうでない場合は、DisableKeyProtectors メソッドを使って保護されていないクリア キーを公開する必要があります。 暗号化の進行中にコンピューターの電源が切れた場合、コンピューターが再起動すると暗号化が自動的に再開されます。
GetConversionStatus メソッドと GetProtectionStatus メソッドを使って、アクセスできるボリュームの状態を確認できます。
構文
class Win32_EncryptableVolume
{
string DeviceID;
string PersistentVolumeID;
string DriveLetter;
uint32 ProtectionStatus;
};
メンバー
Win32_EncryptableVolume クラスには次の種類のメンバーがあります。
メソッド
Win32_EncryptableVolume クラスには次のメソッドがあります。
メソッド | 説明 |
---|---|
BackupRecoveryInformationToActiveDirectory | 回復に必要なすべての外部キーと関連情報を Active Directory に保存します。 |
ChangeExternalKey | 暗号化されたボリュームに関連付けられた外部キーを変更します。 |
ChangePassphrase | 新しいパスフレーズを使って、新しい派生キーを取得します。 |
ChangePIN | 暗号化されたボリュームに関連付けられた PIN を変更します。 |
ClearAllAutoUnlockKeys | データ ボリュームのロックを自動的に解除するために使われる、現在実行中のオペレーティング システムのボリュームに保存されているすべての外部キーと関連情報を削除します。 |
Decrypt | 完全に暗号化されたボリュームの暗号化の解除を開始するか、部分的に暗号化されたボリュームの暗号化の解除を再開します。 |
DeleteKeyProtector | ボリュームの特定のキーの保護機能を削除します。 |
DeleteKeyProtectors | ボリュームのすべてのキーの保護機能を削除します。 |
DisableAutoUnlock | 現在実行中のオペレーティング システムのボリュームに保存されている外部キーを削除して、ボリュームのマウント時に自動的にロックが解除されないようにします。 |
DisableKeyProtectors | このボリュームに関連付けられているすべてのキーの保護機能を無効にします。 |
EnableAutoUnlock | ボリュームのマウント時に、データ ボリュームのロックを自動的に解除できるようにします。 |
EnableKeyProtectors | 無効になっているキーの保護機能をすべて有効にします。 |
Encrypt | 完全に暗号化の解除されたボリュームの暗号化を開始するか、部分的に暗号化されたボリュームの暗号化を再開します。 |
EncryptAfterHardwareTest | ハードウェア テスト後に、完全に暗号化の解除されたボリュームの暗号化を開始します。 |
FindValidCertificates | 指定された条件に一致するシステム上のすべての証明書を列挙し、サムプリントの一覧を返します。 |
GetConversionStatus | ボリュームの暗号化または暗号化の解除の状態を示します。 |
GetEncryptionMethod | ボリュームで使われる暗号化アルゴリズムとキーのサイズを示します。 |
GetExternalKeyFileName | 外部キーを含むファイルの名前を返します。 |
GetExternalKeyFromFile | ファイルから外部キーを返します。 |
GetHardwareTestStatus | ハードウェア テストの状態情報を返します。 |
GetIdentificationField | ボリュームのメタデータで使用できる識別子文字列を返します。 |
GetKeyPackage | ドライブが深刻な損傷を受けた場合に、暗号化されたデータの復旧に役立つ情報を返します。 |
GetKeyProtectorCertificate | 公開キー保護機能の公開キーと証明書のサムプリントを取得します。 |
GetKeyProtectorExternalKey | 適切な種類の特定のキーの保護機能の外部キーを取得します。 |
GetKeyProtectorFriendlyName | 特定のキーの保護機能を識別するために使われる表示名を取得します。 |
GetKeyProtectorNumericalPassword | 適切な種類の特定のキーの保護機能の数値パスワードを取得します。 |
GetKeyProtectorPlatformValidationProfile | 適切な種類の特定のキーの保護機能のプラットフォーム検証プロファイルを取得します。 |
GetKeyProtectors | ボリュームの暗号化キーをセキュリティで保護するために使われる保護機能を一覧表示します。 |
GetKeyProtectorType | 特定のキーの保護機能の種類を示します。 |
GetLockStatus | 現在実行中のオペレーティング システムからボリュームの内容にアクセスできるかどうかを示します。 |
GetProtectionStatus | ボリュームとその暗号化キー (存在する場合) がセキュリティで保護されているかどうかを示します。 |
GetVersion | ボリュームの FVE メタデータのバージョンを示します。 |
IsAutoUnlockEnabled | ボリュームのマウント時に自動的にロックが解除されるかどうかを示します。 |
IsAutoUnlockKeyStored | 現在実行中のオペレーティング システムのボリュームに、データ ボリュームのロックを自動的に解除するために使われる外部キーおよび関連情報が存在するかどうかを示します。 |
IsKeyProtectorAvailable | 保護機能がボリュームに使用可能かどうかを示します。 |
IsNumericalPasswordValid | 数値パスワードが特別な形式の要件を満たしているかどうかを示します。 |
ロック | ボリュームをマウント解除し、ボリュームの暗号化キーをシステム メモリから削除します。 |
PauseConversion | ボリュームの暗号化または暗号化の解除を一時停止します。 |
PrepareVolume | 検出ボリュームのファイル システムの種類を指定して BitLocker ボリュームを作成します。 |
ProtectKeyWithCertificateFile | 指定された証明書ファイルの拡張キー使用法 (EKU) オブジェクト識別子 (OID) を検証します。 |
ProtectKeyWithCertificateThumbprint | 指定された証明書のサムプリントの拡張キー使用法 (EKU) オブジェクト識別子 (OID) を検証します。 |
ProtectKeyWithExternalKey | 256 ビットの外部キーを使ってボリュームの暗号化キーをセキュリティで保護します。 |
ProtectKeyWithNumericalPassword | 特別に書式設定された 48 桁のパスワードを使ってボリュームの暗号化キーをセキュリティで保護します。 |
ProtectKeyWithPassphrase | パスフレーズを使って派生キーを取得します。 |
ProtectKeyWithTPM | 使用できる場合、コンピューター上のトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアを使って、ボリュームの暗号化キーをセキュリティで保護します。 |
ProtectKeyWithTPMAndPIN | 使用できる場合、コンピューター上のトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアを使って、ボリュームの暗号化キーをセキュリティで保護します。このハードウェアは、スタートアップ時にコンピューターに提供する必要があるユーザー指定の暗証番号 (PIN) によって強化されます。 |
ProtectKeyWithTPMAndPINAndStartupKey | 使用できる場合、コンピューター上のトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェア を使って、ボリュームの暗号化キーをセキュリティで保護します。このハードウェアは、ユーザー指定の暗証番号 (PIN) と、スタートアップ時にコンピューターに提供する必要がある外部キーによって強化されます。 |
ProtectKeyWithTPMAndStartupKey | 使用できる場合、コンピューター上のトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアを使って、ボリュームの暗号化キーをセキュリティで保護します。このハードウェアは、スタートアップ時にコンピューターに提供する必要がある外部キーによって強化されます。 |
ResumeConversion | ボリュームの暗号化または暗号化の解除を再開します。 |
SaveExternalKeyToFile | 指定したボリューム キーの保護機能に関連付けられた外部キーを、指定したファイルの場所に書き込みます。 |
SetIdentificationField | 指定した識別子文字列をボリュームのメタデータに設定します。 |
UnlockWithCertificateFile | 指定した証明書ファイルを使って派生キーを取得し、暗号化されたボリュームのロックを解除します。 |
UnlockWithCertificateThumbprint | 指定した証明書のサムプリントを使って派生キーを取得し、暗号化されたボリュームのロックを解除します。 |
UnlockWithExternalKey | 指定した外部キーを使って、データ ボリュームのコンテンツにアクセスします。 |
UnlockWithNumericalPassword | 指定した数値パスワードを使って、データ ボリュームのコンテンツにアクセスします。 |
UnlockWithPassphrase | パスフレーズを使って派生キーを取得します。 派生キーが計算された後、その派生キーを使って、暗号化されたボリュームのマスター キーのロックが解除されます。 |
UpgradeVolume | ボリュームを Windows Vista 形式から Windows 7 形式にアップグレードします。 |
プロパティ
Win32_EncryptableVolume クラスには次のプロパティがあります。
ConversionStatus
データ型: uint32
アクセスの種類: 読み取り専用
ボリュームの暗号化状態に対応する整数。 この値は、クラスのインスタンスが作成されるときに格納されます。 インスタンス化されてから値を確認するまでの間に、変換状態が変更される可能性があります。 ConversionStatus プロパティの値をリアルタイムで確認するには、GetConversionStatus メソッドを使います。
Value | 説明 |
---|---|
|
完全に暗号化解除されました |
|
完全に暗号化されました |
|
暗号化が進行中です |
|
暗号化解除が進行中です |
|
暗号化が一時停止されました |
|
暗号化の解除が一時停止されました |
DeviceID
データ型: string
アクセスの種類: 読み取り専用
修飾子: キー
このシステム上のボリュームの一意識別子。 これを使って、ボリュームを他の WMI プロバイダー クラス (たとえば、Win32_Volume) に関連付けます。
DriveLetter
データ型: string
アクセスの種類: 読み取り専用
ボリュームのドライブ文字。 この識別子を使って、ボリュームを他の WMI プロバイダー クラス (たとえば、Win32_Volume) に関連付けることができます。
ドライブ文字のないボリュームの場合、この値は NULL です。
EncryptionMethod
データ型: uint32
アクセスの種類: 読み取り専用
ボリュームの暗号化に使われるアルゴリズムを識別する整数。
Value | 説明 |
---|---|
|
暗号化されていない ボリュームは暗号化されておらず、暗号化も開始されていません。 |
|
ディフューザー付き AES 128 |
|
ディフューザー付き AES 256 |
|
AES 128 |
|
AES 256 |
|
ハードウェア暗号化 |
|
XTS-AES 128 これは Windows 10 の既定の設定です。 |
|
ディフューザー付き XTS-AES 256 |
IsVolumeInitializedForProtection
データ型: bool
アクセスの種類: 読み取り専用
ボリュームが暗号化を開始できる状態にあるかどうかを示します。 これが True になり、暗号化が開始される前に、少なくとも 1 つのキーの保護機能を追加する必要があります。
PersistentVolumeID
データ型: string
アクセスの種類: 読み取り専用
このシステム上のボリュームの永続的な識別子。 この識別子は Win32_EncryptableVolume 専用です。
ボリュームが標準の完全に暗号化の解除された NTFS ボリュームの場合、この識別子は空の文字列になります。それ以外の場合は、一意の値になります。
ProtectionStatus
データ型: uint32
アクセスの種類: 読み取り専用
ボリュームの状態 (BitLocker がボリュームを保護しているかどうか)。 この値は、クラスのインスタンスが作成されるときに格納されます。 インスタンス化されてから値を確認するまでの間に、保護状態が変更される可能性があります。 ProtectionStatus プロパティの値をリアルタイムで確認するには、GetProtectionStatus メソッドを使います。
Value | 説明 |
---|---|
|
保護がオフ ボリュームが暗号化されていないか、部分的に暗号化されているか、またはボリュームの暗号化キーがハード ディスク上で平文で使用できます。 |
|
保護がオン ボリュームは完全に暗号化されており、ボリュームの暗号化キーはハード ディスク上で平文で使用できません。 |
|
保護状態不明 ボリュームの保護状態を確認できません。 考えられる原因の 1 つは、ボリュームがロック状態にあることです。 |
VolumeType
データ型: uint32
アクセスの種類: 読み取り専用
適切なキーの保護機能と暗号化方法を使うための暗号化に関連するボリュームの種類を識別する整数。
Value | 説明 |
---|---|
|
システム ボリュームには Windows オペレーティング システムが含まれています。 標準のキーの保護機能は通常 TPM で、場合によっては PIN および数値 (回復) パスワードと組み合わせて使われます |
|
固定ディスク このボリュームは、システム用の非システム記憶装置です。 多くの場合、システム ボリュームと組み合わせて自動ロック解除を構成することをお勧めします。 |
|
リムーバブル このボリュームはシステムから活線状態で取り外し可能です。 通常、これは外部ドライブまたはフラッシュ ドライブを示します。 他のシステムとの互換性の問題により、異なる暗号化方法と見なされる場合があります。 |
セキュリティに関する考慮事項
Win32_EncryptableVolume WMI プロバイダー クラスは、WMI 名前空間のセキュリティと、アクセスの制御用に BitLocker ドライブ暗号化サブシステムに依存しています。
Win32_EncryptableVolume メソッドを使うには、次の条件を満たす必要があります。
管理者特権が必要です。
接続の暗号化ではプロバイダーに接続できる必要があります。
暗号化された接続の作成の詳細については、「名前空間への暗号化された接続の要求」を参照してください。
リモート接続を有効にするには、リモート WMI トラフィックを許可する必要があります。 WMI トラフィックの有効化の詳細については、Vista 以降での WMI へのリモート接続に関する記事を参照してください。
既定の名前空間セキュリティ設定には、既定で編集を許可するエントリが含まれています。 WMI 名前空間の監査の詳細については、「WMI 名前空間へのアクセス」を参照してください。
解説
Managed Object Format (MOF) ファイルには、Windows Management Instrumentation (WMI) クラスの定義が含まれています。 MOF ファイルは Windows SDK の一部としてインストールされません。 これらは、サーバー マネージャーを使って関連付けられたロールを追加するときにサーバーにインストールされます。 MOF ファイルの詳細については、「Managed Object Format (MOF)」を参照してください。
要件
要件 | Value |
---|---|
サポートされている最小のクライアント |
Windows Vista Enterprise、Windows Vista Ultimate [デスクトップ アプリのみ] |
サポートされている最小のサーバー |
Windows Server 2008 [デスクトップ アプリのみ] |
名前空間 |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
MOF |
|