manage-bde-Schutzvorrichtungen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Verwaltet die Schutzmethoden, die für den BitLocker-Verschlüsselungsschlüssel verwendet werden.

Syntax

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

Parameter

Parameter BESCHREIBUNG
-Erhalten Zeigt alle auf dem Laufwerk aktivierten Schlüsselschutzmethoden an und gibt deren Typ und Bezeichner (ID) an.
-Hinzufügen Fügt Schlüsselschutzmethoden hinzu, wie mithilfe zusätzlicher -add-Parameter angegeben.
-delete Löscht von BitLocker verwendete Schlüsselschutzmethoden. Alle Schlüsselschutzvorrichtungen werden von einem Laufwerk entfernt, es sei denn, die optionalen Parameter -delete werden verwendet, um anzugeben, welche Schutzvorrichtungen gelöscht werden sollen. Wenn die letzte Schutzvorrichtung auf einem Laufwerk gelöscht wird, wird der BitLocker-Schutz des Laufwerks deaktiviert, um sicherzustellen, dass der Zugriff auf Daten nicht versehentlich verloren geht.
-disable Deaktiviert den Schutz, der es jedem ermöglicht, auf verschlüsselte Daten zuzugreifen, indem der Verschlüsselungsschlüssel ungesichert auf dem Laufwerk zur Verfügung gestellt wird. Es werden keine Schlüsselschutzvorrichtungen entfernt. Der Schutz wird beim nächsten Start von Windows fortgesetzt, es sei denn, die optionalen Parameter -disable werden verwendet, um die Neustartanzahl anzugeben.
-enable Aktiviert den Schutz, indem der ungesicherte Verschlüsselungsschlüssel vom Laufwerk entfernt wird. Alle konfigurierten Schlüsselschutzvorrichtungen auf dem Laufwerk werden erzwungen.
-adbackup Sichert Wiederherstellungsinformationen für das Laufwerk, das für Active Directory Domain Services (AD DS) angegeben ist. Fügen Sie den Parameter -id an, und geben Sie die ID eines bestimmten Wiederherstellungsschlüssels an, der gesichert werden soll. Der Parameter -id ist erforderlich.
-aadbackup Sichert alle Wiederherstellungsinformationen für das Laufwerk, das für Azure Active Directory (Azure AD) angegeben ist. Fügen Sie den Parameter -id an, und geben Sie die ID eines bestimmten Wiederherstellungsschlüssels an, der gesichert werden soll. Der Parameter -id ist erforderlich.
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.
-computername Gibt an, dass „manage-bde.exe“ zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers.
-? oder /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.
-help oder -h Zeigt die vollständige Hilfe an der Eingabeaufforderung an.

Zusätzliche -add-Parameter

Der Parameter -add kann auch diese gültigen zusätzlichen Parameter verwenden.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parameter BESCHREIBUNG
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.
-recoverypassword Fügt eine numerische Kennwortschutzvorrichtung hinzu. Sie können auch -rp als abgekürzte Version dieses Befehls verwenden.
<numericalpassword> Stellt das Wiederherstellungskennwort dar.
-recoverykey Fügt eine externe Schlüsselschutzvorrichtung für die Wiederherstellung hinzu. Sie können auch -rk als abgekürzte Version dieses Befehls verwenden.
<pathtoexternalkeydirectory> Stellt den Verzeichnispfad zum Wiederherstellungsschlüssel dar.
-startupkey Fügt eine externe Schlüsselschutzvorrichtung für den Start hinzu. Sie können -sk auch als abgekürzte Version dieses Befehls verwenden.
<pathtoexternalkeydirectory> Stellt den Verzeichnispfad zum Startschlüssel dar.
-certificate Fügt eine Schutzvorrichtung für öffentliche Schlüssel für ein Datenlaufwerk hinzu. Sie können auch -cert als abgekürzte Version dieses Befehls verwenden.
-cf Gibt an, dass eine Zertifikatdatei verwendet wird, um das Öffentliche Schlüsselzertifikat bereitzustellen.
<pathtocertificatefile> Stellt den Verzeichnispfad zur Zertifikatdatei dar.
-Ct Gibt an, dass ein Zertifikatfingerabdruck verwendet wird, um das Zertifikat für den öffentlichen Schlüssel zu identifizieren.
<certificatethumbprint> Gibt den Wert der Fingerabdruckeigenschaft des Zertifikats an, das Sie verwenden möchten. Beispielsweise sollte ein Zertifikatfingerabdruckwert von a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b als a909502dd82ae41433e6f8386b00d4277a32a7b angegeben werden.
-tpmandpin Fügt eine Tpm-Schutzvorrichtung (Trusted Platform Module) und pin (Personal Identification Number) für das Betriebssystemlaufwerk hinzu. Sie können -tp auch als abgekürzte Version dieses Befehls verwenden.
-tpmandstartupkey Fügt eine TPM- und Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können auch -tsk als abgekürzte Version dieses Befehls verwenden.
-tpmandpinandstartupkey Fügt eine TPM-, PIN- und Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können - tpsk auch als abgekürzte Version dieses Befehls verwenden.
-password Fügt eine Kennwortschlüsselschutzvorrichtung für das Datenlaufwerk hinzu. Sie können auch -pw als abgekürzte Version dieses Befehls verwenden.
-adaccountorgroup Fügt eine auf Sicherheitsbezeichnern (SID) basierende Identitätsschutzvorrichtung für das Volume hinzu. Sie können -sid auch als abgekürzte Version dieses Befehls verwenden. WICHTIG: Standardmäßig können Sie eine ADaccountorgroup-Schutzvorrichtung nicht remote mithilfe von WMI oder manage-bde hinzufügen. Wenn Ihre Bereitstellung die Möglichkeit erfordert, diese Schutzvorrichtung remote hinzuzufügen, müssen Sie die eingeschränkte Delegierung aktivieren.
-computername Gibt an, dass manage-bde verwendet wird, um den BitLocker-Schutz auf einem anderen Computer zu ändern. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers.
-? oder /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.
-help oder -h Zeigt die vollständige Hilfe an der Eingabeaufforderung an.

Zusätzliche Parameter "-delete"

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameter BESCHREIBUNG
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.
-Typ Identifiziert die zu löschende Schlüsselschutzvorrichtung. Sie können -t auch als abgekürzte Version dieses Befehls verwenden.
recoverypassword Gibt an, dass alle Schutzvorrichtungen für Wiederherstellungskennwörter gelöscht werden sollen.
externalkey Gibt an, dass alle externen Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen.
Zertifikat Gibt an, dass alle Zertifikatschlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen.
tpm Gibt an, dass alle dem Laufwerk zugeordneten TPM-Schlüsselschutzvorrichtungen gelöscht werden sollen.
tpmandstartupkey Gibt an, dass alle TPM- und Startschlüssel-basierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen.
tpmandpin Gibt an, dass alle TPM- und PIN-basierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen.
tpmandpinandstartupkey Gibt an, dass alle TPM-, PIN- und Startschlüssel-basierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen.
password Gibt an, dass alle Kennwortschlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen.
identity Gibt an, dass alle Identitätsschlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen.
-ID Identifiziert die zu löschende Schlüsselschutzvorrichtung mithilfe des Schlüsselbezeichners. Dieser Parameter ist eine Alternative zum Parameter -type .
<keyprotectorID> Identifiziert eine einzelne Schlüsselschutzvorrichtung auf dem zu löschenden Laufwerk. Schlüsselschutz-IDs können mithilfe des Befehls manage-bde -protectors -get angezeigt werden.
-computername Gibt an, dass „manage-bde.exe“ zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers.
-? oder /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.
-help oder -h Zeigt die vollständige Hilfe an der Eingabeaufforderung an.

Zusätzliche Parameter "-disable"

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameter BESCHREIBUNG
<drive> Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar.
rebootcount Gibt an, dass der Schutz des Betriebssystemvolumes angehalten wurde und nach dem Neustart von Windows wie im Rebootcount-Parameter angegeben wieder aufgenommen wird. Geben Sie 0 an, um den Schutz unbegrenzt anzusetzen. Wenn dieser Parameter nicht angegeben ist, wird der BitLocker-Schutz nach dem Neustart von Windows automatisch fortgesetzt. Sie können -rc auch als abgekürzte Version dieses Befehls verwenden.
-computername Gibt an, dass „manage-bde.exe“ zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden.
<name> Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers.
-? oder /? Zeigt eine kurze Hilfe an der Eingabeaufforderung an.
-help oder -h Zeigt die vollständige Hilfe an der Eingabeaufforderung an.

Beispiele

Geben Sie Folgendes ein, um eine Zertifikatschlüsselschutzvorrichtung hinzuzufügen, die durch eine Zertifikatdatei für Laufwerk E identifiziert wird:

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Geben Sie Folgendes ein, um eine Schlüsselschutzvorrichtung für adaccountorgroup hinzuzufügen, die durch Domäne und Benutzername identifiziert wird, um E zu fahren:

manage-bde -protectors -add E: -sid DOMAIN\user

Um den Schutz zu deaktivieren, bis der Computer dreimal neu gestartet wurde, geben Sie Folgendes ein:

manage-bde -protectors -disable C: -rc 3

Um alle TPM- und Startschlüssel-basierten Schlüsselschutzvorrichtungen auf Laufwerk C zu löschen, geben Sie Folgendes ein:

manage-bde -protectors -delete C: -type tpmandstartupkey

Um alle Schlüsselschutzvorrichtungen für Laufwerk C auflisten zu können, geben Sie Folgendes ein:

manage-bde -protectors -get C:

Um alle Wiederherstellungsinformationen für Laufwerk C in AD DS zu sichern, geben Sie ein (wobei -id die ID der zu sichernden Schlüsselschutzvorrichtung ist):

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'