Partager via


Méthode ProtectKeyWithTPM de la classe Win32_EncryptableVolume

La méthode ProtectKeyWithTPM de la classe Win32_EncryptableVolume sécurise la clé de chiffrement du volume à l’aide du matériel de sécurité du module de plateforme sécurisée (TPM) sur l’ordinateur, si disponible.

Un protecteur de clé de type « TPM » est créé pour le volume, s’il n’en existe pas déjà un.

Cette méthode s’applique uniquement au volume qui contient le système d’exploitation en cours d’exécution, et si un protecteur de clé n’existe pas déjà sur le volume.

Syntaxe

uint32 ProtectKeyWithTPM(
  [in, optional] string FriendlyName,
  [in, optional] uint8  PlatformValidationProfile[],
  [out]          string VolumeKeyProtectorID
);

Paramètres

FriendlyName [in, optional]

Type : chaîne

Chaîne qui spécifie un identificateur de chaîne affecté par l’utilisateur pour ce protecteur de clé. Si ce paramètre n’est pas spécifié, une valeur vide est utilisée.

PlatformValidationProfile [in, facultatif]

Type : uint8[]

Tableau d’entiers qui spécifie comment le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement du volume de disque.

Un profil de validation de plateforme se compose d’un ensemble d’index PCR (Platform Configuration Register) compris entre 0 et 23, inclus. Les valeurs répétées dans le paramètre sont ignorées. Chaque index PCR est associé aux services qui s’exécutent au démarrage du système d’exploitation. Chaque fois que l’ordinateur démarre, le module de plateforme sécurisée case activée que les services que vous avez spécifiés dans le profil de validation de plateforme n’ont pas changé. Si l’un de ces services change alors que la protection BDE (BitLocker Drive Encryption) reste activée, le module TPM ne libère pas la clé de chiffrement pour déverrouiller le volume de disque et l’ordinateur passe en mode de récupération.

Si ce paramètre est spécifié alors que le paramètre de stratégie de groupe correspondant a été activé, il doit correspondre au paramètre stratégie de groupe.

Si ce paramètre n’est pas spécifié, la valeur par défaut est 0, 2, 4, 5, 8, 9, 10 et 11. Le profil de validation de plateforme par défaut sécurise la clé de chiffrement contre les modifications apportées à la racine principale de confiance de mesure (CRTM), au BIOS et aux extensions de plateforme (PCR 0), au code d’option ROM (PCR 2), au code d’enregistrement de démarrage principal (PCR 4), à la table de partition de l’enregistrement de démarrage principal (MBR) (PCR 5), au secteur de démarrage NTFS (PCR 8), au code de démarrage NTFS (PCR 9), le Gestionnaire de démarrage (PCR 10) et le Access Control de chiffrement de lecteur BitLocker (PCR 11). Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Les ordinateurs basés sur l’interface UEFI (Unified Extensible Firmware Interface) n’utilisent pas pcr 5 par défaut. Pour une protection supplémentaire contre les modifications de configuration de démarrage précoce, utilisez un profil de FICHIERS PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

La modification du profil par défaut affecte la sécurité et la facilité de gestion de votre ordinateur. La sensibilité de BitLocker aux modifications de la plateforme (malveillantes ou autorisées) est augmentée ou réduite en fonction de l’inclusion ou de l’exclusion, respectivement, des fichiers pcr. Pour que la protection BitLocker soit activée, le profil de validation de la plateforme doit inclure pcr 11.

Valeur Signification
0
Racine principale de la confiance de la mesure (CRTM), du BIOS et des extensions de plateforme.
1
Configuration et données de la plateforme et de la carte mère
2
Code ROM de l’option
3
Configuration et données rom de l’option
4
Code de l’enregistrement de démarrage principal (MBR)
5
Table de partition d’enregistrement de démarrage principal (MBR)
6
Événements de transition et de veille d’état
7
Manufacturer-Specific ordinateur
8
Secteur de démarrage NTFS
9
Code de démarrage NTFS
10
Gestionnaire de démarrage
11
Access Control de chiffrement de lecteur BitLocker
12
Défini pour être utilisé par le système d’exploitation statique
13
Défini pour être utilisé par le système d’exploitation statique
14
Défini pour être utilisé par le système d’exploitation statique
15
Défini pour être utilisé par le système d’exploitation statique
16
Utilisé pour le débogage
17
Dynamique CRTM
18
Plateforme définie
19
Utilisé par le système d’exploitation approuvé
20
Utilisé par le système d’exploitation approuvé
21
Utilisé par le système d’exploitation approuvé
22
Utilisé par le système d’exploitation approuvé
23
Prise en charge des applications

 

VolumeKeyProtectorID [out]

Type : chaîne

Chaîne qui identifie de manière unique le protecteur créé et qui peut être utilisée pour gérer le protecteur de clé.

Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris la propriété de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.

Valeur retournée

Type : uint32

Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.

Code/valeur de retour Description
S_OK
0 (0x0)
La méthode a réussi.
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
Le volume est verrouillé.
TBS_E_SERVICE_NOT_RUNNING
2150121480 (0x80284008)
Aucun module de plateforme sécurisée compatible n’est trouvé sur cet ordinateur.
FVE_E_FOREIGN_VOLUME
2150694947 (0x80310023)
Le module de plateforme sécurisée ne peut pas sécuriser la clé de chiffrement du volume, car le volume ne contient pas le système d’exploitation en cours d’exécution.
E_INVALIDARG
2147942487 (0x80070057)
Le paramètre PlatformValidationProfile est fourni, mais ses valeurs ne se trouvent pas dans la plage connue ou ne correspondent pas au paramètre stratégie de groupe actuellement en vigueur.
FVE_E_PROTECTOR_EXISTS
2150694961 (0x80310031)
Un protecteur de clé de ce type existe déjà.

 

Considérations relatives à la sécurité

Pour la sécurité de votre ordinateur, nous vous recommandons le profil par défaut. Pour une protection supplémentaire contre les modifications de configuration de démarrage précoce, utilisez un profil de FICHIERS PCR 0, 1, 2, 3, 4, 5, 8, 9, 10, 11.

La modification du profil par défaut affecte la sécurité ou la facilité d’utilisation de votre ordinateur.

Notes

Au plus un protecteur de clé de type « TPM » peut exister pour un volume à tout moment. Si vous souhaitez modifier le nom d’affichage ou le profil de validation de la plateforme utilisé par un protecteur de clé « TPM » existant, vous devez d’abord supprimer le protecteur de clé existant, puis appeler ProtectKeyWithTPM pour en créer un nouveau.

Pour les indices PCR 0 à 5, les mesures actuelles dans les registres sont utilisées pour protéger la clé de chiffrement. Pour les valeurs PCR comprises entre 8 et 11, les mesures utilisées sont celles qui sont censées exister au prochain cycle de démarrage.

Des protecteurs de clé supplémentaires doivent être spécifiés pour déverrouiller le volume dans les scénarios de récupération où l’accès à la clé de chiffrement du volume ne peut pas être obtenu ; par exemple, lorsque le module de plateforme sécurisée ne peut pas valider correctement par rapport au profil de validation de la plateforme. Utilisez ProtectKeyWithExternalKey ou ProtectKeyWithNumericalPassword pour créer un ou plusieurs protecteurs de clés permettant de récupérer un volume autrement verrouillé.

Les fichiers MOF (Managed Object Format) contiennent les définitions des classes WMI (Windows Management Instrumentation). Les fichiers MOF ne sont pas installés dans le cadre du Kit de développement logiciel (SDK) Windows. Ils sont installés sur le serveur lorsque vous ajoutez le rôle associé à l’aide du Gestionnaire de serveur. Pour plus d’informations sur les fichiers MOF, consultez Managed Object Format (MOF).

Spécifications

Condition requise Valeur
Client minimal pris en charge
Windows Vista Entreprise, Windows Vista Ultimate [applications de bureau uniquement]
Serveur minimal pris en charge
Windows Server 2008 [applications de bureau uniquement]
Espace de noms
Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Voir aussi

Win32_EncryptableVolume

Win32_Tpm