manage-bde protectors
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Verwaltet die Schutzmethoden, die für den BitLocker-Verschlüsselungsschlüssel verwendet werden.
Syntax
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameter
| Parameter | BESCHREIBUNG |
|---|---|
| -get | Zeigt alle auf dem Laufwerk aktivierten Schlüsselschutzmethoden an und gibt deren Typ und Bezeichner (ID) an. |
| -add | Fügt Schlüsselschutzmethoden hinzu, die mithilfe zusätzlicher -add-Parameter angegeben werden. |
| -delete | Löscht von BitLocker verwendete Schlüsselschutzvorrichtungen. Alle Schlüsselschutzvorrichtungen werden von einem Laufwerk entfernt, es sei denn, die optionalen -delete-Parameter werden verwendet, um anzugeben, welche spezifischen Schutzvorrichtungen gelöscht werden sollen. Wenn die letzte Schutzvorrichtung auf einem Laufwerk gelöscht wird, wird der BitLocker-Schutz des Laufwerks deaktiviert, um sicherzustellen, dass der Zugriff auf Daten nicht versehentlich verloren geht. |
| -disable | Deaktiviert den Schutz und ermöglicht es jedem, auf verschlüsselte Daten zuzugreifen, da der Verschlüsselungsschlüssel ungesichert auf dem Laufwerk zur Verfügung gestellt wird. Es werden keine Schlüsselschutzvorrichtungen entfernt. Der Schutz wird beim nächsten Start von Windows fortgesetzt, es sei denn, die optionalen -disable-Parameter werden verwendet, um die Anzahl der Neustarts anzugeben. |
| -enable | Aktiviert den Schutz, indem der ungesicherte Verschlüsselungsschlüssel vom Laufwerk entfernt wird. Alle konfigurierten Schlüsselschutzvorrichtungen auf dem Laufwerk werden durchgesetzt. |
| -adbackup | Sichert Wiederherstellungsinformationen für das Laufwerk, das für Active Directory Domain Services (AD DS) angegeben ist. Fügen Sie den Parameter -id an und geben Sie die ID eines bestimmten Wiederherstellungsschlüssels an, der gesichert werden soll. Der Parameter -idist erforderlich. |
| -aadbackup | Sichert alle Wiederherstellungsinformationen für das Laufwerk, das für Microsoft Entra ID angegeben ist. Fügen Sie den Parameter -id an und geben Sie die ID eines bestimmten Wiederherstellungsschlüssels an, der gesichert werden soll. Der Parameter -idist erforderlich. |
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
| -computername | Gibt an, dass „manage-bde.exe“ zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
| -? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
| -help oder -h | Zeigt die vollständige Hilfe an der Eingabeaufforderung an. |
Zusätzliche -add-Parameter
Der Parameter „-add“ kann auch diese gültigen zusätzlichen Parameter verwenden.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parameter | BESCHREIBUNG |
|---|---|
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
| -recoverypassword | Fügt eine numerische Kennwortschutzvorrichtung hinzu. Sie können auch -rp als abgekürzte Version dieses Befehls verwenden. |
<numericalpassword> |
Stellt das Wiederherstellungskennwort dar. |
| -recoverykey | Fügt eine Schutzvorrichtung für externe Schlüssel für die Wiederherstellung hinzu. Sie können auch -rk als abgekürzte Version dieses Befehls verwenden. |
<pathtoexternalkeydirectory> |
Stellt den Verzeichnispfad des Wiederherstellungsschlüssels dar. |
| -startupkey | Fügt eine Schutzvorrichtung für externe Schlüssel für den Start hinzu. Sie können auch -sk als abgekürzte Version dieses Befehls verwenden. |
<pathtoexternalkeydirectory> |
Stellt den Verzeichnispfad des Startschlüssels dar. |
| -certificate | Fügt eine Schutzvorrichtung für öffentliche Schlüssel für ein Datenlaufwerk hinzu. Sie können auch -cert als abgekürzte Version dieses Befehls verwenden. |
| -cf | Gibt an, dass eine Zertifikatdatei verwendet wird, um das öffentliche Schlüsselzertifikat bereitzustellen. |
<pathtocertificatefile> |
Stellt den Verzeichnispfad der Zertifikatdatei dar. |
| -ct | Gibt an, dass ein Zertifikatfingerabdruck verwendet wird, um das Zertifikat für den öffentlichen Schlüssel zu identifizieren |
<certificatethumbprint> |
Gibt den Wert der Fingerabdruckeigenschaft des Zertifikats an, das Sie verwenden möchten. Beispielsweise muss ein Zertifikatfingerabdruck mit dem Wert „a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b“ als „a909502dd82ae41433e6f83886b00d4277a32a7b“ angegeben werden. |
| -tpmandpin | Fügt eine TPM- (Trusted Platform Module) und eine PIN-Schutzvorrichtung (persönliche Identifikationsnummer) für das Betriebssystemlaufwerk hinzu. Sie können auch -tp als abgekürzte Version dieses Befehls verwenden. |
| -tpmandstartupkey | Fügt eine TPM- und Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können auch -tsk als abgekürzte Version dieses Befehls verwenden. |
| -tpmandpinandstartupkey | Fügt eine TPM-, PIN- und Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können auch -tpsk als abgekürzte Version dieses Befehls verwenden. |
| -password | Fügt eine Kennwortschlüsselschutzvorrichtung für das Datenlaufwerk hinzu. Sie können auch -pw als abgekürzte Version dieses Befehls verwenden. |
| -adaccountorgroup | Fügt eine Sicherheitsbezeichnerbasierte (SID-basierte) Identitätsschutzvorrichtung für das Volume hinzu. Sie können auch -sid als abgekürzte Version dieses Befehls verwenden. WICHTIG: Standardmäßig können Sie eine ADaccountorgroup-Schutzvorrichtung nicht remote mithilfe von WMI oder manage-bde hinzufügen. Wenn Ihre Bereitstellung die Möglichkeit erfordert, diese Schutzvorrichtung remote hinzuzufügen, müssen Sie die eingeschränkte Delegierung aktivieren. |
| -computername | Gibt an, dass manage-bde zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
| -? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
| -help oder -h | Zeigt die vollständige Hilfe an der Eingabeaufforderung an. |
Zusätzliche -delete-Parameter
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | BESCHREIBUNG |
|---|---|
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
| -type | Identifiziert die zu löschende Schlüsselschutzvorrichtung. Sie können auch -t als abgekürzte Version dieses Befehls verwenden. |
| -recoverypassword | Gibt an, dass alle Schutzvorrichtungen für Wiederherstellungskennwörter gelöscht werden sollen. |
| externalkey | Gibt an, dass alle Schutzvorrichtungen für externe Schlüssel, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| Zertifikat | Gibt an, dass alle Zertifikatschlüssel-Schutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| tpm | Gibt an, dass alle TPM-exklusiven Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| tpmandstartupkey | Gibt an, dass alle TPM- und Startschlüsselbasierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| tpmandpin | Gibt an, dass alle TPM- und PIN-basierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| tpmandpinandstartupkey | Gibt an, dass alle TPM-, PIN- und Startschlüsselbasierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| password | Gibt an, dass alle Kennwort-Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| identity | Gibt an, dass alle Indentitätsschlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
| -ID | Identifiziert die zu löschende Schlüsselschutzvorrichtung mithilfe des Schlüsselbezeichners. Dieser Parameter ist eine Alternative zum Parameter -type . |
<keyprotectorID> |
Identifiziert eine einzelne zu löschende Schlüsselschutzvorrichtung auf dem Laufwerk. Schlüsselschutzvorrichtungs-IDs können mithilfe des Befehls manage-bde -protectors -get angezeigt werden. |
| -computername | Gibt an, dass „manage-bde.exe“ zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
| -? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
| -help oder -h | Zeigt die vollständige Hilfe an der Eingabeaufforderung an. |
Zusätzliche -disable-Parameter
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | BESCHREIBUNG |
|---|---|
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
| rebootcount | Gibt an, dass der Schutz des Betriebssystemvolumes angehalten wurde und nach der im Parameter rebootcount angegebenen Anzahl Neustarts von Windows wieder aufgenommen wird. Geben Sie 0 an, um den Schutz unbegrenzt anzusetzen. Wenn dieser Parameter nicht angegeben ist, wird der BitLocker-Schutz nach dem Neustart von Windows automatisch fortgesetzt. Sie können auch -rc als abgekürzte Version dieses Befehls verwenden. |
| -computername | Gibt an, dass „manage-bde.exe“ zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
| -? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
| -help oder -h | Zeigt die vollständige Hilfe an der Eingabeaufforderung an. |
Beispiele
Geben Sie Folgendes ein, um eine Zertifikatschlüsselschutzvorrichtung für Laufwerk E hinzuzufügen, die durch eine Zertifikatdatei identifiziert wird:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Geben Sie Folgendes ein, um eine adaccountorgroup-Schlüsselschutzvorrichtung für Laufwerk E hinzuzufügen, die durch Domäne und Benutzername identifiziert wird:
manage-bde -protectors -add E: -sid DOMAIN\user
Um den Schutz zu deaktivieren, bis der Computer dreimal neu gestartet wurde, geben Sie Folgendes ein:
manage-bde -protectors -disable C: -rc 3
Um alle TPM- und Startschlüsselbasierten Schlüsselschutzvorrichtungen auf Laufwerk C zu löschen, geben Sie Folgendes ein:
manage-bde -protectors -delete C: -type tpmandstartupkey
Um alle Schlüsselschutzvorrichtungen für Laufwerk C aufzulisten, geben Sie Folgendes ein:
manage-bde -protectors -get C:
Um alle Wiederherstellungsinformationen für Laufwerk C in AD DS zu sichern, geben Sie Folgendes ein (wobei -id die ID der zu sichernden Schlüsselschutzvorrichtung ist):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'