Compartilhar via

Método EncryptAfterHardwareTest da classe Win32_EncryptableVolume

  • Artigo

O método EncryptAfterHardwareTest da classe Win32_EncryptableVolume inicia a criptografia de um volume de sistema operacional totalmente descriptografado após um teste de hardware. Uma reinicialização é necessária para executar esse teste de hardware. Use esse método em vez do método Encrypt para marcar que o BitLocker funcionará conforme o esperado.

Observação

Se o disco rígido for criptografado por hardware, esse método não criptografará os dados. Em vez disso, ele define a banda status para desbloqueada de "perpetuamente desbloqueado". Se a banda estiver bloqueada, desbloqueada ou for somente leitura, a unidade será considerada criptografada.

 

Sintaxe

uint32 EncryptAfterHardwareTest(
  [in, optional] uint32 EncryptionMethod,
  [in, optional] uint32 EncryptionFlags
);

Parâmetros

EncryptionMethod [in, opcional]

Tipo: uint32

Especifica o algoritmo de criptografia e o tamanho da chave usados para criptografar o volume. Deixe esse parâmetro em branco para usar o valor padrão de zero. Se o volume for parcial ou totalmente criptografado, o valor desse parâmetro deverá ser 0 ou corresponder ao método de criptografia existente do volume. Se a configuração de Política de Grupo correspondente tiver sido habilitada com um valor válido, o valor desse parâmetro deverá ser 0 ou corresponder à configuração Política de Grupo.

Se a configuração de Política de Grupo correspondente for inválida, o padrão de AES 128 com difusor será usado.

Valor Significado
Não especificado
0
 Use a configuração de Política de Grupo atual, se disponível e válida, ou o método de criptografia padrão, caso contrário.
1
 AES 128 COM DIFUSOR
Criptografe o volume usando o algoritmo AES (Advanced Encryption Standard) aprimorado com uma camada de difusor e usando um tamanho de chave AES de 128 bits.
2
 AES 256 COM DIFUSOR
Criptografe o volume usando o algoritmo AES (Advanced Encryption Standard) aprimorado com uma camada de difusor e usando um tamanho de chave AES de 256 bits.
AES_128
3
 Criptografe o volume usando o algoritmo AES (Advanced Encryption Standard) e usando um tamanho de chave AES de 128 bits.
AES_256
4
 Criptografe o volume usando o algoritmo AES (Advanced Encryption Standard) e usando um tamanho de chave AES de 256 bits.

 

EncryptionFlags [in, opcional]

Tipo: uint32

Sinalizadores que descrevem o comportamento de criptografia.

Windows 7, Windows Server 2008 R2, Windows Vista Enterprise e Windows Server 2008: Esse parâmetro não está disponível.

Uma combinação de 32 bits com os bits a seguir definidos no momento.

Valor Significado
0x00000001
 Execute a criptografia de volume no modo de criptografia somente de dados ao iniciar um novo processo de criptografia. Se a criptografia tiver sido pausada ou interrompida, chamar o método Encrypt retomará efetivamente a conversão e o valor desse bit será ignorado. Esse bit só tem efeito quando os métodos Encrypt ou EncryptAfterHardwareTest iniciam a criptografia do estado totalmente descriptografado, da descriptografia em estado de progresso ou do estado de descriptografia pausado. Se esse bit for zero, o que significa que ele não está definido, ao iniciar o novo processo de criptografia, a conversão de modo completo será executada.
0x00000002
 Execute o apagamento sob demanda do espaço livre do volume. Chamar o método Encrypt com esse conjunto de bits só é permitido quando o volume não está convertendo ou apagando no momento e está em um estado "criptografado".
0x00010000
 Execute a operação solicitada de forma síncrona. A chamada será bloqueada até que a operação solicitada seja concluída ou interrompida. Esse sinalizador só tem suporte com o método Encrypt . Esse sinalizador pode ser especificado quando Encrypt é chamado para retomar a criptografia interrompida ou interrompida ou apagamento ou quando a criptografia ou a limpeza está em andamento. Isso permite que o chamador retome a espera síncrona até que o processo seja concluído ou interrompido.

 

Valor retornado

Tipo: uint32

Esse método retornará um dos códigos a seguir ou outro código de erro se falhar.

Esse método retorna imediatamente. Se o volume já estiver totalmente criptografado e nenhum outro erro for retornado, esse método retornará zero.

Código/valor de retorno Descrição
S_OK
0 (0x0)
 O método foi bem-sucedido.
E_INVALIDARG
2147942487 (0x80070057)
 O parâmetro EncryptionMethod é fornecido, mas não está dentro do intervalo conhecido ou não corresponde à configuração de Política de Grupo atual.
FVE_E_CANNOT_ENCRYPT_NO_KEY
2150694958 (0x8031002E)
 Não existe nenhuma chave de criptografia para o volume.
Desabilite os protetores de chave usando o método DisableKeyProtectors ou use um dos seguintes métodos para especificar protetores de chave para o volume:
FVE_E_CLUSTERING_NOT_SUPPORTED
2150694942 (0x8031001E)
 O volume não pode ser criptografado porque este computador está configurado para fazer parte de um cluster de servidores.
FVE_E_NO_PROTECTORS_TO_TEST
2150694971 (0x8031003B)
 Nenhum protetor de chave do tipo "TPM", "TPM e PIN", "TPM e PIN e chave de inicialização", "TPM e chave de inicialização" ou "Chave Externa" pode ser encontrado. O teste de hardware envolve apenas os protetores de chave anteriores.
Se você ainda quiser executar um teste de hardware, deverá usar um dos seguintes métodos para especificar protetores de chave para o volume:
FVE_E_NOT_DECRYPTED
2150694969 (0x80310039)
 O volume é parcial ou totalmente criptografado.
O teste de hardware se aplica antes da criptografia ocorrer. Se você ainda quiser executar o teste, primeiro use o método Decrypt e, em seguida, use um dos seguintes métodos para adicionar protetores de chave:
FVE_E_NOT_OS_VOLUME
2150694952 (0x80310028)
 O volume é um volume de dados.
O teste de hardware se aplica somente a volumes que podem iniciar o sistema operacional. Execute esse método no volume do sistema operacional iniciado no momento.
FVE_E_POLICY_PASSWORD_REQUIRED
2150694956 (0x8031002C)
 Nenhum protetor de chave do tipo "Senha Numérica" é especificado. O Política de Grupo requer um backup de informações de recuperação para Active Directory Domain Services. Para adicionar pelo menos um protetor de chave desse tipo, use o método ProtectKeyWithNumericalPassword .

 

Comentários

Quando você usa esse método sem o segundo parâmetro opcional (de acordo com a definição do Windows 7 e do Windows Vista Enterprise), o método sempre iniciará a conversão de modo completo para manter o comportamento compatível com versões anteriores. Dessa forma, a expectativa de segurança de aplicativos e scripts existentes não será interrompida com a adição do segundo parâmetro opcional em Windows 8 e Windows Server 2012.

Ao contrário do método Encrypt , esse método faz o seguinte:

  • Testa se o TPM poderá desbloquear o volume se houver um protetor de chave relacionado ao TPM.
  • Testa se o computador pode ler uma unidade flash USB que contém um arquivo de chave externa durante a inicialização, se o volume será desbloqueado por uma chave externa (incluindo uma chave de inicialização).
  • Requer uma reinicialização do computador para executar o teste de hardware.
  • Inicia a criptografia somente se o teste de hardware for bem-sucedido.
  • Não pode ser usado em um volume de dados, em um volume parcial ou totalmente criptografado ou para retomar a criptografia.

Antes de executar esse método, use os seguintes métodos para criar os protetores de chave relacionados:

Depois de executar esse método, execute estas etapas adicionais:

  1. Insira no computador uma unidade flash USB que contém um arquivo de chave externa. Essa etapa se aplicará somente se o volume tiver um protetor de chave do tipo "Chave Externa" ou "TPM e Chave de Inicialização".
  2. Reinicie o computador.

Na reinicialização do computador, o teste de hardware é executado automaticamente.

A criptografia começará se o teste de hardware for bem-sucedido. Caso contrário, tente resolve quaisquer falhas de hardware. Execute GetHardwareTestStatus depois de reiniciar o computador para obter resultados de teste.

Os arquivos MOF (Managed Object Format) contêm as definições para classes WMI (Instrumentação de Gerenciamento do Windows). Os arquivos MOF não são instalados como parte do SDK do Windows. Eles são instalados no servidor quando você adiciona a função associada usando o Gerenciador do Servidor. Para obter mais informações sobre arquivos MOF, consulte MOF (Managed Object Format).

Requisitos

Requisito Valor
Cliente mínimo com suporte
 Windows Vista Enterprise, Windows Vista Ultimate [somente aplicativos da área de trabalho]
Servidor mínimo com suporte
 Windows Server 2008 [somente aplicativos da área de trabalho]
Namespace
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Confira também

Win32_EncryptableVolume