Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zarządza metodami ochrony używanymi dla klucza szyfrowania funkcji BitLocker.
Składnia
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametry
Parametr | Opis |
---|---|
-Pobierz | Wyświetla wszystkie metody ochrony kluczy włączone na dysku i udostępnia ich typ i identyfikator (ID). |
-dodawać | Dodaje metody ochrony kluczy określone przy użyciu dodatkowych parametrów -add. |
-usunąć | Usuwa metody ochrony kluczy używane przez funkcję BitLocker. Wszystkie funkcje ochrony klucza zostaną usunięte z dysku, chyba że opcjonalne parametry -delete są używane do określenia, które funkcje ochrony mają zostać usunięte. Po usunięciu ostatniej ochrony dysku ochrona funkcją BitLocker dysku jest wyłączona w celu zapewnienia, że dostęp do danych nie zostanie utracony przypadkowo. |
-wyłączać | Wyłącza ochronę, co umożliwi każdemu dostęp do zaszyfrowanych danych przez udostępnienie niezabezpieczonego klucza szyfrowania na dysku. Żadne funkcje ochrony klucza nie są usuwane. Ochrona zostanie wznowiona przy następnym uruchomieniu systemu Windows, chyba że opcjonalne parametry -disable są używane do określania liczby ponownych uruchomień. |
-umożliwiać | Umożliwia ochronę przez usunięcie niezabezpieczonego klucza szyfrowania z dysku. Wszystkie skonfigurowane funkcje ochrony kluczy na dysku zostaną wymuszone. |
-kopia zapasowa reklam | Wykonuje kopię zapasową informacji odzyskiwania dla dysku określonego w usługach Active Directory Domain Services (AD DS). Dołącz parametr -id i określ identyfikator określonego klucza odzyskiwania do utworzenia kopii zapasowej. Wymagany jest parametr -id. |
-aadbackup | Wykonuje kopię zapasową wszystkich informacji odzyskiwania dla dysku określonego w identyfikatorze Entra firmy Microsoft. Dołącz parametr -id i określ identyfikator określonego klucza odzyskiwania do utworzenia kopii zapasowej. Wymagany jest parametr -id. |
<drive> |
Reprezentuje literę dysku, po której następuje dwukropek. |
-nazwa_komputera | Określa, że manage-bde.exe będzie używany do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia. |
<name> |
Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera. |
-? lub/? | Wyświetla krótką pomoc w wierszu polecenia. |
-pomoc lub -h | Wyświetla pełną pomoc w wierszu polecenia. |
Dodatkowe parametry -add
Parametr -add może również używać tych prawidłowych dodatkowych parametrów.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parametr | Opis |
---|---|
<drive> |
Reprezentuje literę dysku, po której następuje dwukropek. |
-hasło odzyskiwania | Dodaje numeryczną funkcję ochrony haseł. Można również użyć -rp jako skróconej wersji tego polecenia. |
<numericalpassword> |
Reprezentuje hasło odzyskiwania. |
-klucz odzyskiwania | Dodaje zewnętrzną funkcję ochrony klucza na potrzeby odzyskiwania. Można również użyć -rk jako skróconej wersji tego polecenia. |
<pathtoexternalkeydirectory> |
Reprezentuje ścieżkę katalogu do klucza odzyskiwania. |
-klucz startowy | Dodaje zewnętrzną funkcję ochrony klucza na potrzeby uruchamiania. Można również użyć -sk jako skróconej wersji tego polecenia. |
<pathtoexternalkeydirectory> |
Reprezentuje ścieżkę katalogu do klucza uruchamiania. |
-certyfikat | Dodaje funkcję ochrony klucza publicznego dla dysku danych. Można również użyć -cert jako skróconej wersji tego polecenia. |
-por | Określa, że plik certyfikatu będzie używany do udostępniania certyfikatu klucza publicznego. |
<pathtocertificatefile> |
Reprezentuje ścieżkę katalogu do pliku certyfikatu. |
-Ct | Określa, że odcisk palca certyfikatu będzie używany do identyfikowania certyfikatu klucza publicznego |
<certificatethumbprint> |
Określa wartość właściwości odcisku palca certyfikatu, którego chcesz użyć. Na przykład wartość odcisku palca certyfikatu 9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b powinna być określona jako a909502dd82ae4143e6f8886b00d4277a3a7b. |
-tpmandpin | Dodaje moduł TPM (Trusted Platform Module) i funkcję ochrony osobistego numeru identyfikacyjnego (PIN) dla dysku systemu operacyjnego. Można również użyć -tp jako skróconej wersji tego polecenia. |
-tpmandklucz startowy | Dodaje moduł TPM i funkcję ochrony klucza uruchamiania dla dysku systemu operacyjnego. Można również użyć -tsk jako skróconej wersji tego polecenia. |
-tpmandpinandstartupkey | Dodaje moduł TPM, numer PIN i funkcję ochrony klucza uruchamiania dla dysku systemu operacyjnego. Można również użyć -tpsk jako skróconej wersji tego polecenia. |
-hasło | Dodaje funkcję ochrony klucza hasła dla dysku danych. Można również użyć -pw jako skróconej wersji tego polecenia. |
-adaccountorgroup (grupa kontorów) | Dodaje funkcję ochrony tożsamości opartej na identyfikatorze zabezpieczeń (SID) dla woluminu. Można również użyć -sid jako skróconej wersji tego polecenia. WAŻNE: Domyślnie nie można zdalnie dodać funkcji ochrony grupy ADaccountorgroup przy użyciu usługi WMI lub funkcji manage-bde. Jeśli wdrożenie wymaga możliwości zdalnego dodania tej funkcji ochrony, musisz włączyć ograniczone delegowanie. |
-nazwa_komputera | Określa, że funkcja manage-bde jest używana do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia. |
<name> |
Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera. |
-? lub/? | Wyświetla krótką pomoc w wierszu polecenia. |
-pomoc lub -h | Wyświetla pełną pomoc w wierszu polecenia. |
Dodatkowe parametry -delete
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametr | Opis |
---|---|
<drive> |
Reprezentuje literę dysku, po której następuje dwukropek. |
-typ | Identyfikuje ochronę klucza do usunięcia. Można również użyć -t jako skróconej wersji tego polecenia. |
hasło odzyskiwania | Określa, że należy usunąć wszystkie funkcje ochrony klucza hasła odzyskiwania. |
Klucz zewnętrzny | Określa, że należy usunąć wszystkie zewnętrzne funkcje ochrony klucza skojarzone z dyskiem. |
certyfikat | Określa, że należy usunąć wszystkie funkcje ochrony klucza certyfikatu skojarzone z dyskiem. |
moduł tpm | Określa, że wszystkie funkcje ochrony kluczy tylko modułu TPM skojarzone z dyskiem powinny zostać usunięte. |
tpmandstartupkey (klucz startowy) | Określa, że należy usunąć wszystkie moduły TPM i funkcje ochrony klucza opartego na kluczu uruchamiania skojarzone z dyskiem. |
tpmandpin powiedział: | Określa, że należy usunąć wszystkie moduły TPM i funkcji ochrony kluczy opartych na numerze PIN skojarzonych z dyskiem. |
tpmandpinandstartupkey (klucz uruchomienia) | Określa, że należy usunąć wszystkie moduły TPM, numer PIN i funkcje ochrony klucza opartego na kluczu uruchamiania skojarzone z dyskiem. |
hasło | Określa, że należy usunąć wszystkie funkcje ochrony klucza hasła skojarzone z dyskiem. |
tożsamość | Określa, że należy usunąć wszystkie funkcje ochrony klucza tożsamości skojarzone z dyskiem. |
-ID | Identyfikuje ochronę klucza do usunięcia przy użyciu identyfikatora klucza. Ten parametr jest alternatywną opcją dla parametru -type. |
<keyprotectorID> |
Identyfikuje indywidualną ochronę klucza na dysku do usunięcia. Identyfikatory funkcji ochrony klucza mogą być wyświetlane przy użyciu polecenia manage-bde -protectors -get. |
-nazwa_komputera | Określa, że manage-bde.exe będzie używany do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia. |
<name> |
Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera. |
-? lub/? | Wyświetla krótką pomoc w wierszu polecenia. |
-pomoc lub -h | Wyświetla pełną pomoc w wierszu polecenia. |
Dodatkowe parametry -disable
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametr | Opis |
---|---|
<drive> |
Reprezentuje literę dysku, po której następuje dwukropek. |
liczba rebootów | Określa, że ochrona woluminu systemu operacyjnego została zawieszona i zostanie wznowiona po ponownym uruchomieniu systemu Windows liczba razy określona w parametrze rebootcount. Określ 0, aby zawiesić ochronę na czas nieokreślony. Jeśli ten parametr nie zostanie określony, ochrona funkcji BitLocker zostanie automatycznie wznowiona po ponownym uruchomieniu systemu Windows. Można również użyć -rc jako skróconej wersji tego polecenia. |
-nazwa_komputera | Określa, że manage-bde.exe będzie używany do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia. |
<name> |
Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera. |
-? lub/? | Wyświetla krótką pomoc w wierszu polecenia. |
-pomoc lub -h | Wyświetla pełną pomoc w wierszu polecenia. |
Przykłady
Aby dodać funkcję ochrony klucza certyfikatu, zidentyfikowaną przez plik certyfikatu, na dysku E, wpisz:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Aby dodać adaccountorgroup ochrony klucza, identyfikowane przez domenę i nazwę użytkownika, na dysku E, wpisz:
manage-bde -protectors -add E: -sid DOMAIN\user
Aby wyłączyć ochronę do czasu ponownego uruchomienia komputera 3 razy, wpisz:
manage-bde -protectors -disable C: -rc 3
Aby usunąć wszystkie moduły TPM i funkcje ochrony kluczy oparte na kluczach uruchamiania na dysku C, wpisz:
manage-bde -protectors -delete C: -type tpmandstartupkey
Aby wyświetlić listę wszystkich funkcji ochrony kluczy dla dysku C, wpisz:
manage-bde -protectors -get C:
Aby utworzyć kopię zapasową wszystkich informacji odzyskiwania dla dysku C do usług AD DS, wpisz (gdzie -id
jest identyfikatorem określonej ochrony klucza do utworzenia kopii zapasowej):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'