Partager via

Méthode EncryptAfterHardwareTest de la classe Win32_EncryptableVolume

  • Article

La méthode EncryptAfterHardwareTest de la classe Win32_EncryptableVolume commence le chiffrement d’un volume de système d’exploitation entièrement déchiffré après un test matériel. Un redémarrage est nécessaire pour effectuer ce test matériel. Utilisez cette méthode au lieu de la méthode Encrypt pour case activée que BitLocker fonctionnera comme prévu.

Notes

Si le disque dur est chiffré sur le matériel, cette méthode ne chiffre pas les données. Au lieu de cela, il définit la bande status sur déverrouillée à partir de « perpétuellement déverrouillé ». Si la bande est verrouillée, déverrouillée ou en lecture seule, le lecteur est considéré comme chiffré.

 

Syntaxe

uint32 EncryptAfterHardwareTest(
  [in, optional] uint32 EncryptionMethod,
  [in, optional] uint32 EncryptionFlags
);

Paramètres

EncryptionMethod [in, facultatif]

Type : uint32

Spécifie l’algorithme de chiffrement et la taille de clé utilisés pour chiffrer le volume. Laissez ce paramètre vide pour utiliser la valeur par défaut de zéro. Si le volume est partiellement ou entièrement chiffré, la valeur de ce paramètre doit être 0 ou correspondre à la méthode de chiffrement existante du volume. Si le paramètre de stratégie de groupe correspondant a été activé avec une valeur valide, la valeur de ce paramètre doit être 0 ou correspondre au paramètre stratégie de groupe.

Si le paramètre de stratégie de groupe correspondant n’est pas valide, la valeur par défaut AES 128 avec diffuseur est utilisée.

Valeur Signification
Unspecified
0
 Utilisez le paramètre de stratégie de groupe actuel, s’il est disponible et valide, ou la méthode de chiffrement par défaut dans le cas contraire.
1
 AES 128 AVEC DIFFUSEUR
Chiffrez le volume à l’aide de l’algorithme AES (Advanced Encryption Standard) amélioré avec une couche de diffusion et à l’aide d’une taille de clé AES de 128 bits.
2
 AES 256 AVEC DIFFUSEUR
Chiffrez le volume à l’aide de l’algorithme AES (Advanced Encryption Standard) amélioré avec une couche de diffusion et à l’aide d’une taille de clé AES de 256 bits.
AES_128
3
 Chiffrez le volume à l’aide de l’algorithme AES (Advanced Encryption Standard) et d’une taille de clé AES de 128 bits.
AES_256
4
 Chiffrez le volume à l’aide de l’algorithme AES (Advanced Encryption Standard) et d’une taille de clé AES de 256 bits.

 

EncryptionFlags [in, facultatif]

Type : uint32

Indicateurs qui décrivent le comportement de chiffrement.

Windows 7, Windows Server 2008 R2, Windows Vista Entreprise et Windows Server 2008 : Ce paramètre n’est pas disponible.

Combinaison de 32 bits avec les bits suivants actuellement définis.

Valeur Signification
0x00000001
 Effectuez le chiffrement de volume en mode de chiffrement données uniquement lors du démarrage d’un nouveau processus de chiffrement. Si le chiffrement a été suspendu ou arrêté, l’appel de la méthode Encrypt reprend la conversion et la valeur de ce bit est ignorée. Ce bit n’a effet que lorsque les méthodes Encrypt ou EncryptAfterHardwareTest démarrent le chiffrement à partir de l’état entièrement déchiffré, de l’état de déchiffrement en cours ou de l’état de déchiffrement suspendu. Si ce bit est égal à zéro, ce qui signifie qu’il n’est pas défini, lors du démarrage d’un nouveau processus de chiffrement, la conversion en mode complet est effectuée.
0x00000002
 Effectuez une réinitialisation à la demande de l’espace libre du volume. L’appel de la méthode Encrypt avec ce jeu de bits n’est autorisé que lorsque le volume n’est pas en cours de conversion ou d’réinitialisation et qu’il est dans un état « chiffré ».
0x00010000
 Effectuez l’opération demandée de manière synchrone. L’appel se bloque jusqu’à ce que l’opération demandée soit terminée ou interrompue. Cet indicateur est uniquement pris en charge avec la méthode Encrypt . Cet indicateur peut être spécifié lorsque Encrypt est appelé pour reprendre le chiffrement arrêté ou interrompu, ou lorsque le chiffrement ou l’réinitialisation est en cours. Cela permet à l’appelant de reprendre de façon synchrone en attendant que le processus soit terminé ou interrompu.

 

Valeur retournée

Type : uint32

Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.

Cette méthode retourne immédiatement. Si le volume est déjà entièrement chiffré et qu’aucune autre erreur n’est retournée, cette méthode retourne zéro.

Code/valeur de retour Description
S_OK
0 (0x0)
 La méthode a réussi.
E_INVALIDARG
2147942487 (0x80070057)
 Le paramètre EncryptionMethod est fourni, mais ne se trouve pas dans la plage connue ou ne correspond pas au paramètre de stratégie de groupe actuel.
FVE_E_CANNOT_ENCRYPT_NO_KEY
2150694958 (0x8031002E)
 Il n’existe aucune clé de chiffrement pour le volume.
Désactivez les protecteurs de clés à l’aide de la méthode DisableKeyProtectors ou utilisez l’une des méthodes suivantes pour spécifier des protecteurs de clés pour le volume :
FVE_E_CLUSTERING_NOT_SUPPORTED
2150694942 (0x8031001E)
 Le volume ne peut pas être chiffré, car cet ordinateur est configuré pour faire partie d’un cluster de serveurs.
FVE_E_NO_PROTECTORS_TO_TEST
2150694971 (0x8031003B)
 Aucun logiciel de protection de clé de type « TPM », « TPM and PIN », « TPM And Pin And Startup Key », « TPM And Startup Key » ou « External Key » ne peut être trouvé. Le test matériel implique uniquement les protecteurs de clé précédents.
Si vous souhaitez toujours exécuter un test matériel, vous devez utiliser l’une des méthodes suivantes pour spécifier des protecteurs de clé pour le volume :
FVE_E_NOT_DECRYPTED
2150694969 (0x80310039)
 Le volume est partiellement ou entièrement chiffré.
Le test matériel s’applique avant le chiffrement. Si vous souhaitez toujours exécuter le test, utilisez d’abord la méthode Decrypt , puis utilisez l’une des méthodes suivantes pour ajouter des protecteurs de clé :
FVE_E_NOT_OS_VOLUME
2150694952 (0x80310028)
 Le volume est un volume de données.
Le test matériel s’applique uniquement aux volumes qui peuvent démarrer le système d’exploitation. Exécutez cette méthode sur le volume du système d’exploitation actuellement démarré.
FVE_E_POLICY_PASSWORD_REQUIRED
2150694956 (0x8031002C)
 Aucun protecteur de clé du type « Mot de passe numérique » n’est spécifié. Le stratégie de groupe nécessite une sauvegarde des informations de récupération pour services de domaine Active Directory. Pour ajouter au moins un protecteur de clé de ce type, utilisez la méthode ProtectKeyWithNumericalPassword .

 

Notes

Lorsque vous utilisez cette méthode sans le deuxième paramètre facultatif (selon la définition Windows 7 et Windows Vista Entreprise), la méthode lance toujours la conversion en mode complet afin de conserver un comportement de compatibilité descendante. De cette façon, l’attente de sécurité des applications et scripts existants ne sera pas rompue avec l’ajout du deuxième paramètre facultatif dans Windows 8 et Windows Server 2012.

Contrairement à la méthode Encrypt , cette méthode effectue les opérations suivantes :

  • Teste si le module TPM sera en mesure de déverrouiller le volume, s’il existe un protecteur de clé lié au module de plateforme sécurisée.
  • Teste si l’ordinateur peut lire un lecteur flash USB contenant un fichier de clé externe au démarrage, si le volume est déverrouillé par une clé externe (y compris une clé de démarrage).
  • Nécessite un redémarrage de l’ordinateur pour exécuter le test matériel.
  • Commence le chiffrement uniquement si le test matériel réussit.
  • Ne peut pas être utilisé sur un volume de données, sur un volume partiellement ou entièrement chiffré, ou pour reprendre le chiffrement.

Avant d’exécuter cette méthode, utilisez les méthodes suivantes pour créer les protecteurs de clés associés :

Après avoir exécuté cette méthode, procédez comme suit :

  1. Insérez dans l’ordinateur un lecteur flash USB contenant un fichier de clé externe. Cette étape s’applique uniquement si le volume a un protecteur de clé de type « Clé externe » ou « TPM et clé de démarrage ».
  2. Redémarrez l'ordinateur.

Au redémarrage de l’ordinateur, le test matériel s’exécute automatiquement.

Le chiffrement commence si le test matériel réussit. Sinon, essayez de résoudre les défaillances matérielles. Exécutez GetHardwareTestStatus après le redémarrage de l’ordinateur pour obtenir les résultats des tests.

Les fichiers MOF (Managed Object Format) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (MOF).

Spécifications

Condition requise Valeur
Client minimal pris en charge
 Windows Vista Entreprise, Windows Vista Ultimate [applications de bureau uniquement]
Serveur minimal pris en charge
 Windows Server 2008 [applications de bureau uniquement]
Espace de noms
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Voir aussi

Win32_EncryptableVolume