Win32_EncryptableVolume 类
Win32_EncryptableVolume WMI 提供程序类表示硬盘上的存储区域,可以通过使用 BitLocker 驱动器加密进行保护。 只能加密 NTFS 卷。 它可以是包含操作系统的卷,也可以是本地磁盘上的数据卷。 它不能是网络驱动器。
若要实现 BitLocker 的优势,必须为卷的加密密钥指定保护方法,然后对卷进行完全加密。
若要保护卷的加密密钥,请使用以下方法添加密钥保护程序:
- ProtectKeyWithCertificateFile
- ProtectKeyWithCertificateThumbprint
- ProtectKeyWithExternalKey
- ProtectKeyWithNumericalPassword
- ProtectKeyWithPassphrase
- ProtectKeyWithTPM
- ProtectKeyWithTPMAndPIN
- ProtectKeyWithTPMAndPINAndStartupKey
- ProtectKeyWithTPMAndStartupKey
每种密钥保护程序都提供不同的身份验证体验,用于解锁对加密数据的访问权限。 外部密钥和数字密码可以在恢复场景中提供身份验证。 对于基于 TPM 的密钥保护程序,可能需要首先正确初始化 TPM。 有关详细信息,请参阅 Win32_Tpm WMI 提供程序类。
使用 Encrypt 或 EncryptAfterHardwareTest 方法开始加密。 必须在开始加密之前添加密钥保护程序,否则必须使用 DisableKeyProtectors 方法公开不受保护的明文密钥。 如果计算机在加密过程中关闭,则在计算机重启时,加密将自动恢复。
可以使用 GetConversionStatus 和 GetProtectionStatus 方法检查可访问卷的状态。
语法
class Win32_EncryptableVolume
{
string DeviceID;
string PersistentVolumeID;
string DriveLetter;
uint32 ProtectionStatus;
};
成员
Win32_EncryptableVolume 类具有以下类型的成员:
方法
Win32_EncryptableVolume 类具有这些方法。
| 方法 | 说明 |
|---|---|
| BackupRecoveryInformationToActiveDirectory | 保存恢复到 Active Directory 所需的所有外部密钥和相关信息。 |
| ChangeExternalKey | 更改与加密卷关联的外部密钥。 |
| ChangePassphrase | 使用新的通行短语以获取新的派生密钥。 |
| ChangePIN | 更改与加密卷关联的 PIN。 |
| ClearAllAutoUnlockKeys | 移除保存到当前正在运行的操作系统卷上的所有外部密钥和相关信息,这些操作系统卷用于自动解锁数据卷。 |
| Decrypt | 开始对完全加密的卷进行解密,或继续进行对部分加密卷的解密。 |
| DeleteKeyProtector | 删除卷的给定密钥保护程序。 |
| DeleteKeyProtectors | 删除卷的所有密钥保护程序。 |
| DisableAutoUnlock | 移除保存在当前正在运行的操作系统卷上的外部密钥,以便在装载卷时不会自动解锁该卷。 |
| DisableKeyProtectors | 禁用与此卷关联的所有密钥保护程序。 |
| EnableAutoUnlock | 允许在装载卷时自动解锁数据卷。 |
| EnableKeyProtectors | 启用所有禁用的密钥保护程序。 |
| 加密 | 开始对完全解密的卷进行加密,或继续进行对部分解密卷的加密。 |
| EncryptAfterHardwareTest | 在硬件测试后开始对完全解密的卷进行加密。 |
| FindValidCertificates | 枚举系统上与指示的条件匹配的所有证书,并返回指纹列表。 |
| GetConversionStatus | 指示卷上的加密或解密的状态。 |
| GetEncryptionMethod | 指示卷上使用的加密算法和密钥大小。 |
| GetExternalKeyFileName | 返回包含外部密钥的文件的名称。 |
| GetExternalKeyFromFile | 从文件返回外部密钥。 |
| GetHardwareTestStatus | 返回硬件测试的状态信息。 |
| GetIdentificationField | 返回卷元数据中可用的标识符字符串。 |
| GetKeyPackage | 当驱动器严重损坏时,返回有助于恢复加密数据的信息。 |
| GetKeyProtectorCertificate | 检索公钥保护程序的公钥和证书指纹。 |
| GetKeyProtectorExternalKey | 检索相应类型的给定密钥保护程序的外部密钥。 |
| GetKeyProtectorFriendlyName | 检索用于标识给定密钥保护程序的显示名称。 |
| GetKeyProtectorNumericalPassword | 检索相应类型的给定密钥保护程序的数字密码。 |
| GetKeyProtectorPlatformValidationProfile | 检索相应类型的给定密钥保护程序的平台验证配置文件。 |
| GetKeyProtectors | 列出用于保护卷加密密钥的保护程序。 |
| GetKeyProtectorType | 指示给定密钥保护程序的类型。 |
| GetLockStatus | 指示是否可以从当前正在运行的操作系统访问卷的内容。 |
| GetProtectionStatus | 指示卷及其加密密钥(如果有)是否受到保护。 |
| GetVersion | 指示卷的 FVE 元数据版本。 |
| IsAutoUnlockEnabled | 指示装载时卷是否会自动解锁。 |
| IsAutoUnlockKeyStored | 指示当前运行的操作系统卷中是否存在可用于自动解锁数据卷的任何外部密钥和相关信息。 |
| IsKeyProtectorAvailable | 指示保护程序是否可用于卷。 |
| IsNumericalPasswordValid | 指示数字密码是否满足特殊格式要求。 |
| 锁定 | 卸载卷并从系统内存中删除卷的加密密钥。 |
| PauseConversion | 暂停对卷的加密或解密。 |
| PrepareVolume | 创建具有发现卷的指定文件系统类型的 BitLocker 卷。 |
| ProtectKeyWithCertificateFile | 验证提供的证书文件的增强型密钥用法 (EKU) 对象标识符 (OID)。 |
| ProtectKeyWithCertificateThumbprint | 验证提供的证书指纹的增强型密钥用法 (EKU) 对象标识符 (OID)。 |
| ProtectKeyWithExternalKey | 使用 256 位外部密钥保护卷的加密密钥。 |
| ProtectKeyWithNumericalPassword | 使用特殊格式的 48 位密码保护卷的加密密钥。 |
| ProtectKeyWithPassphrase | 使用通行短语以获取派生密钥。 |
| ProtectKeyWithTPM | 在计算机上使用受信任的平台模块 (TPM) 安全硬件(如果可用)来保护卷的加密密钥。 |
| ProtectKeyWithTPMAndPIN | 通过使用计算机上受信任的平台模块 (TPM) 安全硬件来保护卷的加密密钥(如果可用),并由用户指定的个人标识号 (PIN) 增强,该号码必须在启动时提供给计算机。 |
| ProtectKeyWithTPMAndPINAndStartupKey | 通过使用计算机上受信任的平台模块 (TPM) 安全硬件来保护卷的加密密钥(如果可用),并由用户指定的个人标识号 (PIN) 和外部密钥增强,必须在启动时将其提供给计算机。 |
| ProtectKeyWithTPMAndStartupKey | 通过使用计算机上受信任的平台模块 (TPM) 安全硬件来保护卷的加密密钥(如果可用),并由外部密钥增强,必须在启动时将其提供给计算机。 |
| ResumeConversion | 继续进行卷的加密或解密。 |
| SaveExternalKeyToFile | 将与指定的卷密钥保护程序关联的外部密钥写入指定的文件位置。 |
| SetIdentificationField | 在卷的元数据中设置指定的标识符字符串。 |
| UnlockWithCertificateFile | 使用提供的证书文件获取派生密钥并解锁加密卷。 |
| UnlockWithCertificateThumbprint | 使用提供的证书指纹获取派生密钥并解锁加密卷。 |
| UnlockWithExternalKey | 使用提供的外部密钥访问数据卷的内容。 |
| UnlockWithNumericalPassword | 使用提供的数字密码访问数据卷的内容。 |
| UnlockWithPassphrase | 使用通行短语以获取派生密钥。 计算派生密钥后,会将派生密钥用于解锁加密卷的主密钥。 |
| UpgradeVolume | 将卷从 Windows Vista 格式升级到 Windows 7 格式。 |
属性
Win32_EncryptableVolume 类具有这些属性。
ConversionStatus
数据类型:uint32
访问类型:只读
对应于卷的加密状态的整数。 在实例化类时存储此值。 转换状态可能在实例化和检查值时更改状态。 若要实时检查 ConversionStatus 属性的值,请使用 GetConversionStatus 方法。
| 值 | 含义 |
|---|---|
|
已完全解密 |
|
已完全加密 |
|
正在加密 |
|
正在解密 |
|
已暂停加密 |
|
已暂停解密 |
DeviceID
数据类型:字符串
访问类型:只读
限定符:Key
此系统上卷的唯一标识符。 使用此方法可将卷与其他 WMI 提供程序类相关联,例如 Win32_Volume。
DriveLetter
数据类型:字符串
访问类型:只读
卷的驱动器号。 可使用此标识符将卷与其他 WMI 提供程序类相关联,例如 Win32_Volume。
对于没有驱动器号的卷,此值为 NULL。
EncryptionMethod
数据类型:uint32
访问类型:只读
用于标识加密卷所用算法的整数。
| 值 | 含义 |
|---|---|
|
未加密 卷未加密,亦未开始加密。 |
|
使用扩散器的 AES 128 |
|
使用扩散器的 AES 256 |
|
AES 128 |
|
AES 256 |
|
硬件加密 |
|
XTS-AES 128 这是 Windows 10 的默认设置。 |
|
使用扩散器的 XTS-AES 256 |
IsVolumeInitializedForProtection
数据类型:bool
访问类型:只读
指示卷是否处于可供加密启动的状态。 必须至少添加一个密钥保护程序,然后才能实现 True,并且可以开始加密。
PersistentVolumeID
数据类型:字符串
访问类型:只读
此系统上卷的持久标识符。 此标识符仅适用于 Win32_EncryptableVolume。
如果卷是标准完全解密的 NTFS 卷,则此标识符为空字符串;否则,它具有唯一值。
ProtectionStatus
数据类型:uint32
访问类型:只读
卷的状态,无论 BitLocker 是否保护该卷。 在实例化类时存储此值。 保护状态可能在实例化和检查值时更改状态。 若要实时检查 ProtectionStatus 属性的值,请使用 GetProtectionStatus 方法。
| 值 | 含义 |
|---|---|
|
保护关闭 卷未加密、部分加密或卷的加密密钥在硬盘上以明文形式可用。 |
|
保护启用 卷已完全加密,卷的加密密钥在硬盘上以明文形式不可用。 |
|
保护未知 无法确定卷保护状态。 一个潜在原因是卷处于锁定状态。 |
VolumeType
数据类型:uint32
访问类型:只读
一个整数,用于标识与加密相关的卷类型,以使用适当的密钥保护器和加密方法。
| 值 | 含义 |
|---|---|
|
系统 卷包含 Windows 操作系统。 标准密钥保护程序通常是 TPM,有时与 PIN 和数字(恢复)密码结合使用 |
|
固定磁盘 此卷是系统的非系统存储设备。 通常建议将自动解锁与系统卷结合使用。 |
|
可插拔的 此卷可从系统进行热插拔。 通常,这表示外部驱动器或闪存驱动器。 鉴于与其他系统的兼容性问题,可能需要考虑不同的加密方法。 |
安全注意事项
Win32_EncryptableVolume WMI 提供程序类依赖于 WMI 命名空间安全性和 BitLocker 驱动器加密子系统进行访问控制。
若要使用 Win32_EncryptableVolume 方法,必须满足以下条件:
必须具有管理员特权。
连接加密必须能够连接到提供程序。
有关创建加密连接的详细信息,请参阅要求与命名空间建立加密连接。
若要启用远程连接,必须允许远程 WMI 流量。 有关启用 WMI 流量的详细信息,请参阅 使用 Vista 远程连接到 WMI。
默认命名空间安全设置包括默认允许编辑的条目。 有关 WMI 命名空间审核的详细信息,请参阅访问 WMI 命名空间。
备注
托管对象格式 (MOF) 文件包含 Windows Management Instrumentation (WMI) 类的定义。 MOF 文件未作为 Windows SDK 的一部分安装。 使用服务器管理器添加关联的角色时,会将它们安装在服务器上。 有关 MOF 文件的详细信息,请参阅 托管对象格式 (MOF)。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 |
Windows Vista 企业版、Windows Vista 旗舰版[仅限桌面应用] |
| 最低受支持的服务器 |
Windows Server 2008 [仅限桌面应用] |
| 命名空间 |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈