Win32_EncryptableVolume, classe
La classe de fournisseur WMI Win32_EncryptableVolume représente une zone de stockage sur un disque dur qui peut être protégée à l’aide du chiffrement de lecteur BitLocker. Seuls les volumes NTFS peuvent être chiffrés. Il peut s’agir d’un volume qui contient un système d’exploitation, ou il peut s’agir d’un volume de données sur le disque local. Il ne peut pas s’agir d’un lecteur réseau.
Pour tirer parti de BitLocker, vous devez spécifier une méthode de protection pour la clé de chiffrement du volume, puis chiffrer entièrement le volume.
Pour protéger la clé de chiffrement du volume, ajoutez des protecteurs de clé à l’aide de ces méthodes :
- ProtectKeyWithCertificateFile
- ProtectKeyWithCertificateThumbprint
- ProtectKeyWithExternalKey
- ProtectKeyWithNumericalPassword
- ProtectKeyWithPassphrase
- ProtectKeyWithTPM
- ProtectKeyWithTPMAndPIN
- ProtectKeyWithTPMAndPINAndStartupKey
- ProtectKeyWithTPMAndStartupKey
Chaque type de protecteur de clé offre une expérience d’authentification différente pour déverrouiller l’accès aux données chiffrées. Les clés externes et les mots de passe numériques peuvent fournir une authentification pendant les scénarios de récupération. Pour les protecteurs de clés basés sur TPM, vous devrez peut-être d’abord initialiser correctement le module de plateforme sécurisée (TPM). Pour plus d’informations, consultez la classe de fournisseur WMI Win32_Tpm.
Utilisez la méthode Encrypt ou EncryptAfterHardwareTest pour commencer le chiffrement. Les protecteurs de clé doivent être ajoutés avant de démarrer le chiffrement, ou bien vous devez utiliser la méthode DisableKeyProtectors pour exposer une clé claire non protégée. Si l’ordinateur s’éteint pendant que le chiffrement est en cours, le chiffrement reprend automatiquement lors du redémarrage de l’ordinateur.
Vous pouvez utiliser les méthodes GetConversionStatus et GetProtectionStatus pour vérifier l’état d’un volume accessible.
Syntaxe
class Win32_EncryptableVolume
{
string DeviceID;
string PersistentVolumeID;
string DriveLetter;
uint32 ProtectionStatus;
};
Membres
La classe Win32_EncryptableVolume possède ces types de membres :
Méthodes
La classe Win32_EncryptableVolume possède ces méthodes.
| Méthode | Description |
|---|---|
| BackupRecoveryInformationToActiveDirectory | Enregistre toutes les clés externes et les informations associées nécessaires à la récupération dans Active Directory. |
| ChangeExternalKey | Modifie la clé externe associée à un volume chiffré. |
| ChangePassphrase | Utilise la nouvelle phrase secrète pour obtenir une nouvelle clé dérivée. |
| ChangePIN | Modifie un PIN associé à un volume chiffré. |
| ClearAllAutoUnlockKeys | Supprime toutes les clés externes et les informations associées enregistrées sur le volume du système d’exploitation en cours d’exécution qui sont utilisées pour déverrouiller automatiquement les volumes de données. |
| Déchiffrer | Commence le déchiffrement d’un volume entièrement chiffré ou reprend le déchiffrement d’un volume partiellement chiffré. |
| DeleteKeyProtector | Supprime un protecteur de clé donné pour le volume. |
| DeleteKeyProtectors | Supprime tous les protecteurs de clé pour le volume. |
| DisableAutoUnlock | Supprime la clé externe enregistrée sur le volume du système d’exploitation en cours d’exécution, afin que le volume ne soit pas déverrouillé automatiquement lorsqu’il est monté. |
| DisableKeyProtectors | Désactive tous les protecteurs de clé associés à ce volume. |
| EnableAutoUnlock | Permet à un volume de données d’être déverrouillé automatiquement lorsque le volume est monté. |
| EnableKeyProtectors | Active tous les protecteurs de clé désactivés. |
| Encrypt | Commence le chiffrement d’un volume entièrement chiffré ou reprend le chiffrement d’un volume partiellement chiffré. |
| EncryptAfterHardwareTest | Commence le chiffrement d’un volume entièrement déchiffré après un test matériel. |
| FindValidCertificates | Énumère tous les certificats sur le système qui correspondent aux critères indiqués et retourne une liste d’empreintes. |
| GetConversionStatus | Indique l’état du chiffrement ou du déchiffrement sur le volume. |
| GetEncryptionMethod | Indique l’algorithme de chiffrement et la taille de clé utilisés sur le volume. |
| GetExternalKeyFileName | Renvoie le nom du fichier qui contient la clé externe. |
| GetExternalKeyFromFile | Renvoie la clé externe à partir d’un fichier. |
| GetHardwareTestStatus | Renvoie des informations d’état sur un test matériel. |
| GetIdentificationField | Renvoie la chaîne d’identificateur qui est disponible dans les métadonnées du volume. |
| GetKeyPackage | Renvoie des informations qui permettent de récupérer les données chiffrées lorsque le lecteur est gravement endommagé. |
| GetKeyProtectorCertificate | Récupère la clé publique et l’empreinte numérique du certificat pour un protecteur de clé publique. |
| GetKeyProtectorExternalKey | Récupère la clé externe pour un protecteur de clé donné du type approprié. |
| GetKeyProtectorFriendlyName | Récupère le nom d’affichage utilisé pour identifier un protecteur de clé donné. |
| GetKeyProtectorNumericalPassword | Récupère le mot de passe numérique d’un protecteur de clé donné du type approprié. |
| GetKeyProtectorPlatformValidationProfile | Récupère le profil de validation de plateforme pour un protecteur de clé donné du type approprié. |
| GetKeyProtectors | Liste les protecteurs utilisés pour sécuriser la clé de chiffrement du volume. |
| GetKeyProtectorType | Indique le type d’un protecteur de clé donné. |
| GetLockStatus | Indique si le contenu du volume est accessible à partir du système d’exploitation en cours d’exécution. |
| GetProtectionStatus | Indique si le volume et sa clé de chiffrement (le cas échéant) sont sécurisés. |
| GetVersion | Indique la version des métadonnées FVE du volume. |
| IsAutoUnlockEnabled | Indique si le volume est automatiquement déverrouillé lors du montage. |
| IsAutoUnlockKeyStored | Indique si dans le volume du système d’exploitation en cours d’exécution, il existe toutes les clés externes et les informations associées qui peuvent être utilisées pour déverrouiller automatiquement les volumes de données. |
| IsKeyProtectorAvailable | Indique si les protecteurs sont disponibles pour le volume. |
| IsNumericalPasswordValid | Indique si le mot de passe numérique répond aux exigences de format spéciales. |
| Verrouiller | Démonte le volume et supprime la clé de chiffrement du volume de la mémoire système. |
| PauseConversion | Interrompt le chiffrement ou le déchiffrement d’un volume. |
| PrepareVolume | Crée un volume BitLocker avec le type de système de fichiers spécifié du volume de découverte. |
| ProtectKeyWithCertificateFile | Valide l’identificateur d’objet OID de l’utilisation améliorée de la clé (EKU) du fichier de certificat fourni. |
| ProtectKeyWithCertificateThumbprint | Valide l’identificateur d’objet OID de l’utilisation améliorée de la clé (EKU) de l’empreinte du certificat fourni. |
| ProtectKeyWithExternalKey | Sécurise la clé de chiffrement du volume avec une clé externe 256 bits. |
| ProtectKeyWithNumericalPassword | Sécurise la clé de chiffrement du volume avec un mot de passe spécialement formaté à 48 chiffres. |
| ProtectKeyWithPassphrase | Utilise la phrase secrète pour obtenir la clé dérivée. |
| ProtectKeyWithTPM | Sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, le cas échéant. |
| ProtectKeyWithTPMAndPIN | Sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, le cas échéant, amélioré par un numéro d’identification personnel (PIN) spécifié par l’utilisateur qui doit être fourni à l’ordinateur au démarrage. |
| ProtectKeyWithTPMAndPINAndStartupKey | Sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, le cas échéant, amélioré par un numéro d’identification personnel (PIN) et par une clé externe spécifiée par l’utilisateur qui doit être fournie à l’ordinateur au démarrage. |
| ProtectKeyWithTPMAndStartupKey | Sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, le cas échéant, amélioré par une clé externe spécifiée par l’utilisateur qui doit être fournie à l’ordinateur au démarrage. |
| ResumeConversion | Reprend le chiffrement ou le déchiffrement d’un volume. |
| SaveExternalKeyToFile | Écrit la clé externe associée au protecteur de clé de volume spécifié dans un emplacement de fichier spécifié. |
| SetIdentificationField | Définit la chaîne d’identificateur spécifiée dans les métadonnées du volume. |
| UnlockWithCertificateFile | Utilise le fichier de certificat fourni pour obtenir la clé dérivée et déverrouiller le volume chiffré. |
| UnlockWithCertificateThumbprint | Utilise l’empreinte de certificat fourni pour obtenir la clé dérivée et déverrouiller le volume chiffré. |
| UnlockWithExternalKey | Utilise une clé externe fournie pour accéder au contenu d’un volume de données. |
| UnlockWithNumericalPassword | Utilise un mot de passe numérique fourni pour accéder au contenu d’un volume de données. |
| UnlockWithPassphrase | Utilise la phrase secrète pour obtenir la clé dérivée. Une fois que la clé dérivée est calculée, la clé dérivée est utilisée pour déverrouiller la clé principale de volume chiffré. |
| UpgradeVolume | Met à niveau un volume du format Windows Vista au format Windows 7. |
Propriétés
La classe Win32_EncryptableVolume possède ces méthodes.
ConversionStatus
Type de données : uint32
Type d'accès : Lecture seule
Entier correspondant à l’état de chiffrement du volume. Cette valeur est stockée lorsque la classe est instanciée. Il est possible que l’état de conversion change d’état entre l’instanciation et lorsque vous vérifiez la valeur. Pour vérifier la valeur de la propriété ConversionStatus en temps réel, utilisez la méthode GetConversionStatus.
| Valeur | Signification |
|---|---|
|
ENTIÈREMENT DÉCHIFFRÉ |
|
ENTIÈREMENT CHIFFRÉ |
|
CHIFFREMENT EN COURS |
|
DÉCHIFFREMENT EN COURS |
|
CHIFFREMENT MIS EN PAUSE |
|
DÉCHIFFREMENT MIS EN PAUSE |
DeviceID
Type de données : chaîne
Type d'accès : Lecture seule
Qualificateurs : Key (clé)
Identificateur unique du volume sur ce système. Utilisez-le pour associer un volume à d’autres classes de fournisseur WMI, par exemple, Win32_Volume.
DriveLetter
Type de données : chaîne
Type d'accès : Lecture seule
La lettre de lecteur du volume. Cet identificateur peut être utilisé pour associer un volume à d’autres classes de fournisseur WMI, par exemple, Win32_Volume.
Pour les volumes sans lettres de lecteur, cette valeur est NULL.
EncryptionMethod
Type de données : uint32
Type d'accès : Lecture seule
Entier identifiant l’algorithme utilisé pour chiffrer le volume.
| Valeur | Signification |
|---|---|
|
NON CHIFFRÉ Le volume n’est pas chiffré et le chiffrement n’a pas commencé. |
|
AES 128 AVEC DIFFUSEUR |
|
AES 256 AVEC DIFFUSEUR |
|
AES 128 |
|
AES 256 |
|
CHIFFREMENT DU MATÉRIEL |
|
XTS-AES 128 Il s’agit du paramètre par défaut pour Windows 10. |
|
XTS-AES 256 AVEC DIFFUSEUR |
IsVolumeInitializedForProtection
Type de données : bool
Type d'accès : Lecture seule
Indique si le volume est dans un état prêt pour le démarrage du chiffrement. Au moins un protecteur de clé doit être ajouté avant qu’il ne soit vrai et que le chiffrement puisse commencer.
PersistentVolumeID
Type de données : chaîne
Type d'accès : Lecture seule
Identificateur persistant du volume sur ce système. Cet identificateur est exclusif à Win32_EncryptableVolume.
Cet identificateur est une chaîne vide si le volume est un volume NTFS entièrement déchiffré standard ; sinon, elle a une valeur unique.
ProtectionStatus
Type de données : uint32
Type d'accès : Lecture seule
L’état du volume, que BitLocker protège ou non le volume. Cette valeur est stockée lorsque la classe est instanciée. Il est possible que l’état de protection change d’état entre l’instanciation et lorsque vous vérifiez la valeur. Pour vérifier la valeur de la propriété ProtectionStatus en temps réel, utilisez la méthode GetProtectionStatus.
| Valeur | Signification |
|---|---|
|
PROTECTION DÉSACTIVÉE Le volume n’est pas chiffré, partiellement chiffré ou la clé de chiffrement du volume est disponible en clair sur le disque dur. |
|
PROTECTION ACTIVÉE Le volume est entièrement chiffré et la clé de chiffrement du volume n’est pas disponible en clair sur le disque dur. |
|
PROTECTION INCONNUE Il est impossible de déterminer l’état de la protection du volume. Une cause potentielle est que le volume est dans un état verrouillé. |
VolumeType
Type de données : uint32
Type d'accès : Lecture seule
Entier identifiant le type de volume pertinent au chiffrement pour l’utilisation de protecteurs de clé et de méthodes de chiffrement appropriés.
| Valeur | Signification |
|---|---|
|
SYSTÈME Le volume contient le système d’exploitation Windows. Les protecteurs de clé standard sont généralement des TPM, parfois conjointement avec un PIN et un mot de passe numérique (récupération) |
|
DISQUE FIXE Ce volume est un périphérique de stockage non système pour le système. Il est souvent recommandé de configurer le déverrouillage automatique conjointement avec le volume système. |
|
PEUT ÊTRE SUPPRIMÉ Ce volume peut être supprimé à chaud du système. En règle générale, cela indique un lecteur externe ou un lecteur flash. Différentes méthodes de chiffrement peuvent être prises en compte en raison de problèmes de compatibilité avec d’autres systèmes. |
Security Considerations
La classe de fournisseur WMI Win32_EncryptableVolume s’appuie sur la sécurité de l’espace de noms WMI et sur le sous-système de chiffrement de lecteur BitLocker pour le contrôle d’accès.
Pour utiliser les méthodes Win32_EncryptableVolume , les conditions suivantes doivent être remplies :
Vous devez disposer de privilèges d'administrateur.
Le chiffrement de connexion doit être en mesure de se connecter au fournisseur.
Pour plus d’informations sur la création d’une connexion chiffrée, consultez Exiger une connexion chiffrée à un espace de noms.
Pour activer les connexions à distance, le trafic WMI distant doit être autorisé. Pour plus d’informations sur l’activation du trafic WMI, consultez Connexion à WMI à distance à compter de Windows Vista.
Le paramètre de sécurité de l’espace de noms par défaut inclut une entrée pour autoriser la modification par défaut. Pour plus d’informations sur l’audit dans WMI, consultez Accès aux espaces de noms WMI.
Notes
Les fichiers Managed Object Format (format MOF) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (format MOF).
Spécifications
| Condition requise | Value |
|---|---|
| Client minimal pris en charge |
Windows Vista Enterprise, Windows Vista Ultimate [applications de bureau uniquement] |
| Serveur minimal pris en charge |
Windows Server 2008 [applications de bureau uniquement] |
| Espace de noms |
Root\CIMV2\Security\MicrosoftVolumeEncryption |
| MOF |
|