manage-bde-Schutzvorrichtungen
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Verwaltet die Schutzmethoden, die für den BitLocker-Verschlüsselungsschlüssel verwendet werden.
Syntax
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameter
Parameter | BESCHREIBUNG |
---|---|
-get | Zeigt alle schlüsselschutzmethoden an, die auf dem Laufwerk aktiviert sind, und stellt deren Typ und Bezeichner (ID) bereit. |
-add | Fügt Schlüsselschutzmethoden hinzu, die mit zusätzlichen Parametern vom Wert -add angegeben werden. |
-delete | Löscht schlüsselschutzmethoden, die von BitLocker verwendet werden. Alle Schlüsselschutzvorrichtungen werden von einem Laufwerk entfernt, es sei denn, die optionalen Parameter -delete werden verwendet, um anzugeben, welche Schutzvorrichtungen gelöscht werden sollen. Wenn die letzte Schutzvorrichtung auf einem Laufwerk gelöscht wird, wird der BitLocker-Schutz des Laufwerks deaktiviert, um sicherzustellen, dass der Zugriff auf Daten nicht versehentlich verloren geht. |
-disable | Deaktiviert den Schutz, sodass jeder auf verschlüsselte Daten zugreifen kann, indem der Verschlüsselungsschlüssel auf dem Laufwerk unsicher verfügbar gemacht wird. Es werden keine Schlüsselschutzvorrichtungen entfernt. Der Schutz wird beim nächsten Start Windows fortgesetzt, es sei denn, die optionalen Parameter -disable werden verwendet, um die Anzahl der Neustarts anzugeben. |
-enable | Aktiviert den Schutz, indem der unsichere Verschlüsselungsschlüssel vom Laufwerk entfernt wird. Alle konfigurierten Schlüsselschutzvorrichtungen auf dem Laufwerk werden erzwungen. |
-adbackup | Sichern von Wiederherstellungsinformationen für das laufwerk, das in Active Directory Domain Services (AD DS) angegeben ist. Fügen Sie den Parameter -id an, und geben Sie die ID eines bestimmten wiederherstellungsschlüssels an, der gesichert werden soll. Der Parameter -id ist erforderlich. |
-aadbackup | Gesichert alle Wiederherstellungsinformationen für das laufwerk, das in Azure Active Directory (Azure AD) angegeben ist. Fügen Sie den Parameter -id an, und geben Sie die ID eines bestimmten wiederherstellungsschlüssels an, der gesichert werden soll. Der Parameter -id ist erforderlich. |
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
-computername | Gibt an, dass manage-bde.exe verwendet wird, um den BitLocker-Schutz auf einem anderen Computer zu ändern. Sie können -cn auch als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zulässige Werte sind der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
-? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
-help oder -h | Zeigt vollständige Hilfe an der Eingabeaufforderung an. |
Zusätzliche Parameter für "-add"
Der Parameter -add kann auch diese gültigen zusätzlichen Parameter verwenden.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parameter | BESCHREIBUNG |
---|---|
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
-recoverypassword | Fügt eine numerische Kennwortschutzvorrichtung hinzu. Sie können -rp auch als abgekürzte Version dieses Befehls verwenden. |
<numericalpassword> |
Stellt das Wiederherstellungskennwort dar. |
-recoverykey | Fügt eine externe Schlüsselschutzvorrichtung für die Wiederherstellung hinzu. Sie können -rk auch als abgekürzte Version dieses Befehls verwenden. |
<pathtoexternalkeydirectory> |
Stellt den Verzeichnispfad zum Wiederherstellungsschlüssel dar. |
-startupkey | Fügt eine externe Schlüsselschutzvorrichtung für den Start hinzu. Sie können -sk auch als abgekürzte Version dieses Befehls verwenden. |
<pathtoexternalkeydirectory> |
Stellt den Verzeichnispfad zum Startschlüssel dar. |
-certificate | Fügt eine Schutzvorrichtung mit öffentlichem Schlüssel für ein Datenlaufwerk hinzu. Sie können -cert auch als abgekürzte Version dieses Befehls verwenden. |
-cf | Gibt an, dass eine Zertifikatdatei zum Bereitstellen des Öffentlichen Schlüsselzertifikats verwendet wird. |
<pathtocertificatefile> |
Stellt den Verzeichnispfad zur Zertifikatdatei dar. |
-ct | Gibt an, dass ein Zertifikatfingerabdruck verwendet wird, um das Zertifikat mit öffentlichem Schlüssel zu identifizieren. |
<certificatethumbprint> |
Gibt den Wert der Fingerabdruckeigenschaft des Zertifikats an, das Sie verwenden möchten. Beispielsweise sollte ein Zertifikatfingerabdruckwert von 9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b als a909502dd82ae41433e6f83886b00d4277a32a7b angegeben werden. |
-tpmandpin | Fügt eine schutzvorrichtung für Trusted Platform Module (TPM) und eine PIN (Personal Identification Number) für das Betriebssystemlaufwerk hinzu. Sie können -tp auch als abgekürzte Version dieses Befehls verwenden. |
-tpmandstartupkey | Fügt eine TPM- und Eine Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können -tsk auch als abgekürzte Version dieses Befehls verwenden. |
-tpmandpinandstartupkey | Fügt eine TPM-, PIN- und Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können -tpsk auch als abgekürzte Version dieses Befehls verwenden. |
-password | Fügt eine Kennwortschlüsselschutzvorrichtung für das Datenlaufwerk hinzu. Sie können -pw auch als abgekürzte Version dieses Befehls verwenden. |
-adaccountorgroup | Fügt eine Sicherheits-ID(SID)-basierte Identitätsschutzvorrichtung für das Volume hinzu. Sie können -sid auch als abgekürzte Version dieses Befehls verwenden. WICHTIG: Standardmäßig können Sie eine ADaccountorgroup-Schutzvorrichtung nicht remote mithilfe von WMI oder manage-bde hinzufügen. Wenn Ihre Bereitstellung die Möglichkeit erfordert, diese Schutzvorrichtung remote hinzuzufügen, müssen Sie die eingeschränkte Delegierung aktivieren. |
-computername | Gibt an, dass manage-bde zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können -cn auch als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zulässige Werte sind der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
-? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
-help oder -h | Zeigt vollständige Hilfe an der Eingabeaufforderung an. |
Zusätzliche -delete-Parameter
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameter | BESCHREIBUNG |
---|---|
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
-type | Identifiziert die zu löschende Schlüsselschutzvorrichtung. Sie können - t auch als abgekürzte Version dieses Befehls verwenden. |
recoverypassword | Gibt an, dass alle Wiederherstellungskennwort-Schlüsselschutzvorrichtungen gelöscht werden sollen. |
externalkey | Gibt an, dass alle externen Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
Zertifikat | Gibt an, dass alle dem Laufwerk zugeordneten Zertifikatschlüsselschutzvorrichtungen gelöscht werden sollen. |
Tpm | Gibt an, dass alle nur tpmbasierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
tpmandstartupkey | Gibt an, dass alle tpm- und startschlüsselbasierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
tpmandpin | Gibt an, dass alle TPM- und PIN-basierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
tpmandpinandstartupkey | Gibt an, dass alle TPM-, PIN- und Startschlüssel-basierten Schlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
password | Gibt an, dass alle Kennwortschlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
identity | Gibt an, dass alle Identitätsschlüsselschutzvorrichtungen, die dem Laufwerk zugeordnet sind, gelöscht werden sollen. |
-ID | Identifiziert die zu löschende Schlüsselschutzvorrichtung mithilfe des Schlüsselbezeichners. Dieser Parameter ist eine alternative Option zum -type-Parameter . |
<keyprotectorID> |
Identifiziert eine einzelne Schlüsselschutzvorrichtung auf dem zu löschenden Laufwerk. Schlüsselschutz-IDs können mit dem Befehl manage-bde -protectors -get angezeigt werden. |
-computername | Gibt an, manage-bde.exe zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können - cn auch als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten zählen der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
-? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
-help oder -h | Zeigt vollständige Hilfe an der Eingabeaufforderung an. |
Zusätzliche -disable-Parameter
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameter | BESCHREIBUNG |
---|---|
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
rebootcount | Gibt an, dass der Schutz des Betriebssystem-Volumes angehalten wurde und fortgesetzt wird, nachdem Windows wie im Parameter rebootcount angegeben neu gestartet wurde. Geben Sie 0 an , um den Schutz unbegrenzt ansetzen zu können. Wenn dieser Parameter nicht angegeben wird, wird der BitLocker-Schutz automatisch fortgesetzt, Windows neu gestartet wurde. Sie können - rc auch als abgekürzte Version dieses Befehls verwenden. |
-computername | Gibt an, manage-bde.exe zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können - cn auch als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten zählen der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
-? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
-help oder -h | Zeigt vollständige Hilfe an der Eingabeaufforderung an. |
Beispiele
Geben Sie Zum Hinzufügen einer Zertifikatschlüsselschutzvorrichtung, die durch eine Zertifikatdatei identifiziert wird, auf Laufwerk E Ein:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Geben Sie Zum Hinzufügen einer adaccountorgroup-Schlüsselschutzvorrichtung , die anhand der Domäne und des Benutzernamens identifiziert wird, auf Laufwerk E Ein:
manage-bde -protectors -add E: -sid DOMAIN\user
Um den Schutz zu deaktivieren, bis der Computer dreimal neu gestartet wurde, geben Sie Folgendens ein:
manage-bde -protectors -disable C: -rc 3
Geben Sie Zum Löschen aller TPM- und Startschlüssel-basierten Schlüsselschutzvorrichtungen auf Laufwerk C Ein:
manage-bde -protectors -delete C: -type tpmandstartupkey
Geben Sie Zum Auflisten aller Schlüsselschutzvorrichtungen für Laufwerk C Ein:
manage-bde -protectors -get C:
Um alle Wiederherstellungsinformationen für Laufwerk C zu AD DS, geben Sie ein ( -id
wobei die ID der zu sichernden Schlüsselschutzvorrichtung ist):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'