Win32_EncryptableVolume 클래스의 ProtectKeyWithTPM 메서드
Win32_EncryptableVolume 클래스의 ProtectKeyWithTPM 메서드는 사용 가능한 경우 컴퓨터에서 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어를 사용하여 볼륨의 암호화 키를 보호합니다.
볼륨에 대해 "TPM" 형식의 키 보호기가 만들어집니다(아직 없는 경우).
이 메서드는 현재 실행 중인 운영 체제를 포함하는 볼륨과 키 보호기가 볼륨에 아직 없는 경우에만 적용할 수 있습니다.
구문
uint32 ProtectKeyWithTPM(
[in, optional] string FriendlyName,
[in, optional] uint8 PlatformValidationProfile[],
[out] string VolumeKeyProtectorID
);
매개 변수
-
FriendlyName [in, optional]
-
형식: 문자열
이 키 보호기에서 사용자가 할당한 문자열 식별자를 지정하는 문자열입니다. 이 매개 변수를 지정하지 않으면 빈 값이 사용됩니다.
-
PlatformValidationProfile [in, optional]
-
형식: uint8[]
컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어가 디스크 볼륨의 암호화 키를 보호하는 방법을 지정하는 정수 배열입니다.
플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 집합으로 구성됩니다. 매개 변수의 반복 값은 무시됩니다. 각 PCR 인덱스는 운영 체제가 시작될 때 실행되는 서비스와 연결됩니다. 컴퓨터가 시작될 때마다 TPM은 플랫폼 유효성 검사 프로필에 지정한 서비스가 변경되지 않은지 검사. BitLocker BDE(드라이브 암호화) 보호가 켜져 있는 동안 이러한 서비스가 변경되면 TPM은 암호화 키를 해제하여 디스크 볼륨의 잠금을 해제하지 않으며 컴퓨터가 복구 모드로 전환됩니다.
해당 그룹 정책 설정을 사용하는 동안 이 매개 변수를 지정한 경우 그룹 정책 설정과 일치해야 합니다.
이 매개 변수를 지정하지 않으면 기본값인 0, 2, 4, 5, 8, 9, 10 및 11이 사용됩니다. 기본 플랫폼 유효성 검사 프로필은 CRTM(핵심 CRTM), BIOS 및 플랫폼 확장(PCR 0), 옵션 ROM 코드(PCR 2), MBR(마스터 부팅 레코드) 코드(PCR 4), MBR(마스터 부팅 레코드) 파티션 테이블(PCR 5), NTFS 부팅 섹터(PCR 8), NTFS 부팅 코드(PCR 9) 변경에 대해 암호화 키를 보호합니다. 부팅 관리자(PCR 10) 및 BitLocker 드라이브 암호화 Access Control(PCR 11). 컴퓨터의 보안을 위해 기본 프로필을 사용하는 것이 좋습니다. UEFI(Unified Extensible Firmware Interface) 기반 컴퓨터는 기본적으로 PCR 5를 사용하지 않습니다. 초기 시작 구성 변경에 대한 추가 보호를 위해 PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11 프로필을 사용합니다.
기본 프로필에서 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정에 대한 BitLocker의 민감도(악성 또는 권한 부여)는 PCR의 포함 또는 제외에 따라 각각 증가하거나 감소합니다. BitLocker 보호를 사용하도록 설정하려면 플랫폼 유효성 검사 프로필에 PCR 11이 포함되어야 합니다.
값 의미 - 0
CRTM(핵심 측정 신뢰 루트), BIOS 및 플랫폼 확장. - 1
플랫폼 및 마더보드 구성 및 데이터 - 2
옵션 ROM 코드 - 3
옵션 ROM 구성 및 데이터 - 4
MBR(마스터 부팅 레코드) 코드 - 5
MBR(마스터 부팅 레코드) 파티션 테이블 - 6
상태 전환 및 절전 모드 해제 이벤트 - 7
컴퓨터 Manufacturer-Specific - 8
NTFS 부팅 섹터 - 9
NTFS 부팅 코드 - 10
부팅 관리자 - 11
BitLocker 드라이브 암호화 Access Control - 12
정적 운영 체제에서 사용하도록 정의됨 - 13
정적 운영 체제에서 사용하도록 정의됨 - 14
정적 운영 체제에서 사용하도록 정의됨 - 15
정적 운영 체제에서 사용하도록 정의됨 - 16
디버깅에 사용됨 - 17
동적 CRTM - 18
플랫폼 정의 - 19
신뢰할 수 있는 운영 체제에서 사용 - 20
신뢰할 수 있는 운영 체제에서 사용 - 21
신뢰할 수 있는 운영 체제에서 사용 - 22
신뢰할 수 있는 운영 체제에서 사용 - 23
애플리케이션 지원 -
VolumeKeyProtectorID [out]
-
형식: 문자열
생성된 보호기를 고유하게 식별하고 키 보호기를 관리하는 데 사용할 수 있는 문자열입니다.
드라이브가 하드웨어 암호화를 지원하고 BitLocker가 대역 소유권을 가져오지 않은 경우 ID 문자열은 "BitLocker"로 설정되고 키 보호기는 대역별 메타데이터에 기록됩니다.
반환 값
형식: uint32
이 메서드는 다음 코드 중 하나 또는 실패할 경우 다른 오류 코드 중 하나를 반환합니다.
| 반환 코드/값 | Description |
|---|---|
|
메서드를 성공적으로 수행했습니다. |
|
볼륨이 잠겨 있습니다. |
|
이 컴퓨터에서 호환되는 TPM을 찾을 수 없습니다. |
|
볼륨에 현재 실행 중인 운영 체제가 없기 때문에 TPM에서 볼륨의 암호화 키를 보호할 수 없습니다. |
|
PlatformValidationProfile 매개 변수가 제공되지만 해당 값이 알려진 범위 내에 있지 않거나 현재 적용되는 그룹 정책 설정과 일치하지 않습니다. |
|
이 유형의 키 보호기가 이미 있습니다. |
보안 고려 사항
컴퓨터 보안을 위해 기본 프로필을 사용하는 것이 좋습니다. 초기 시작 구성 변경에 대한 추가 보호를 위해 PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11 프로필을 사용합니다.
기본 프로필에서 변경하면 컴퓨터의 보안 또는 유용성에 영향을 줍니다.
설명
"TPM" 형식의 최대 하나의 키 보호기는 언제든지 볼륨에 존재할 수 있습니다. 기존 "TPM" 키 보호기에서 사용하는 표시 이름 또는 플랫폼 유효성 검사 프로필을 변경하려면 먼저 기존 키 보호기를 제거한 다음 ProtectKeyWithTPM 을 호출하여 새 키 보호기를 만들어야 합니다.
PCR 인덱스 0~5의 경우 레지스터의 현재 측정값을 사용하여 암호화 키를 보호합니다. PCR 값 8~11의 경우 사용되는 측정값은 다음 시작 주기에 존재할 것으로 예상되는 측정값입니다.
볼륨의 암호화 키에 대한 액세스를 가져올 수 없는 복구 시나리오에서 볼륨의 잠금을 해제하려면 추가 키 보호기를 지정해야 합니다. 예를 들어 TPM이 플랫폼 유효성 검사 프로필에 대해 유효성을 검사할 수 없는 경우입니다. ProtectKeyWithExternalKey 또는 ProtectKeyWithNumericalPassword를 사용하여 잠긴 볼륨을 복구하기 위한 하나 이상의 키 보호기를 만듭니다.
MOF(Managed Object Format) 파일에는 WMI(Windows Management Instrumentation) 클래스에 대한 정의가 포함되어 있습니다. MOF 파일은 Windows SDK의 일부로 설치되지 않습니다. 서버 관리자 사용하여 연결된 역할을 추가할 때 서버에 설치됩니다. MOF 파일에 대한 자세한 내용은 MOF(관리 개체 형식)를 참조하세요.
요구 사항
| 요구 사항 | 값 |
|---|---|
| 지원되는 최소 클라이언트 |
Windows Vista Enterprise, Windows Vista Ultimate [데스크톱 앱만 해당] |
| 지원되는 최소 서버 |
Windows Server 2008 [데스크톱 앱만 해당] |
| 네임스페이스 |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
추가 정보
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기