Udostępnij za pośrednictwem


zarządzanie funkcjami ochrony bde

Zarządza metodami ochrony używanymi dla klucza szyfrowania funkcji BitLocker.

Składnia

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

Parametry

Parametr Opis
-Pobierz Wyświetla wszystkie metody ochrony kluczy włączone na dysku i udostępnia ich typ i identyfikator (ID).
-dodawać Dodaje metody ochrony kluczy określone przy użyciu dodatkowych parametrów -add.
-usunąć Usuwa metody ochrony kluczy używane przez funkcję BitLocker. Wszystkie funkcje ochrony klucza zostaną usunięte z dysku, chyba że opcjonalne parametry -delete są używane do określenia, które funkcje ochrony mają zostać usunięte. Po usunięciu ostatniej ochrony dysku ochrona funkcją BitLocker dysku jest wyłączona w celu zapewnienia, że dostęp do danych nie zostanie utracony przypadkowo.
-wyłączać Wyłącza ochronę, co umożliwi każdemu dostęp do zaszyfrowanych danych przez udostępnienie niezabezpieczonego klucza szyfrowania na dysku. Żadne funkcje ochrony klucza nie są usuwane. Ochrona zostanie wznowiona przy następnym uruchomieniu systemu Windows, chyba że opcjonalne parametry -disable są używane do określania liczby ponownych uruchomień.
-umożliwiać Umożliwia ochronę przez usunięcie niezabezpieczonego klucza szyfrowania z dysku. Wszystkie skonfigurowane funkcje ochrony kluczy na dysku zostaną wymuszone.
-kopia zapasowa reklam Wykonuje kopię zapasową informacji odzyskiwania dla dysku określonego w usługach Active Directory Domain Services (AD DS). Dołącz parametr -id i określ identyfikator określonego klucza odzyskiwania do utworzenia kopii zapasowej. Wymagany jest parametr -id.
-aadbackup Wykonuje kopię zapasową wszystkich informacji odzyskiwania dla dysku określonego w identyfikatorze Entra firmy Microsoft. Dołącz parametr -id i określ identyfikator określonego klucza odzyskiwania do utworzenia kopii zapasowej. Wymagany jest parametr -id.
<drive> Reprezentuje literę dysku, po której następuje dwukropek.
-nazwa_komputera Określa, że manage-bde.exe będzie używany do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia.
<name> Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera.
-? lub/? Wyświetla krótką pomoc w wierszu polecenia.
-pomoc lub -h Wyświetla pełną pomoc w wierszu polecenia.

Dodatkowe parametry -add

Parametr -add może również używać tych prawidłowych dodatkowych parametrów.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parametr Opis
<drive> Reprezentuje literę dysku, po której następuje dwukropek.
-hasło odzyskiwania Dodaje numeryczną funkcję ochrony haseł. Można również użyć -rp jako skróconej wersji tego polecenia.
<numericalpassword> Reprezentuje hasło odzyskiwania.
-klucz odzyskiwania Dodaje zewnętrzną funkcję ochrony klucza na potrzeby odzyskiwania. Można również użyć -rk jako skróconej wersji tego polecenia.
<pathtoexternalkeydirectory> Reprezentuje ścieżkę katalogu do klucza odzyskiwania.
-klucz startowy Dodaje zewnętrzną funkcję ochrony klucza na potrzeby uruchamiania. Można również użyć -sk jako skróconej wersji tego polecenia.
<pathtoexternalkeydirectory> Reprezentuje ścieżkę katalogu do klucza uruchamiania.
-certyfikat Dodaje funkcję ochrony klucza publicznego dla dysku danych. Można również użyć -cert jako skróconej wersji tego polecenia.
-por Określa, że plik certyfikatu będzie używany do udostępniania certyfikatu klucza publicznego.
<pathtocertificatefile> Reprezentuje ścieżkę katalogu do pliku certyfikatu.
-Ct Określa, że odcisk palca certyfikatu będzie używany do identyfikowania certyfikatu klucza publicznego
<certificatethumbprint> Określa wartość właściwości odcisku palca certyfikatu, którego chcesz użyć. Na przykład wartość odcisku palca certyfikatu 9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b powinna być określona jako a909502dd82ae4143e6f8886b00d4277a3a7b.
-tpmandpin Dodaje moduł TPM (Trusted Platform Module) i funkcję ochrony osobistego numeru identyfikacyjnego (PIN) dla dysku systemu operacyjnego. Można również użyć -tp jako skróconej wersji tego polecenia.
-tpmandklucz startowy Dodaje moduł TPM i funkcję ochrony klucza uruchamiania dla dysku systemu operacyjnego. Można również użyć -tsk jako skróconej wersji tego polecenia.
-tpmandpinandstartupkey Dodaje moduł TPM, numer PIN i funkcję ochrony klucza uruchamiania dla dysku systemu operacyjnego. Można również użyć -tpsk jako skróconej wersji tego polecenia.
-hasło Dodaje funkcję ochrony klucza hasła dla dysku danych. Można również użyć -pw jako skróconej wersji tego polecenia.
-adaccountorgroup (grupa kontorów) Dodaje funkcję ochrony tożsamości opartej na identyfikatorze zabezpieczeń (SID) dla woluminu. Można również użyć -sid jako skróconej wersji tego polecenia. WAŻNE: Domyślnie nie można zdalnie dodać funkcji ochrony grupy ADaccountorgroup przy użyciu usługi WMI lub funkcji manage-bde. Jeśli wdrożenie wymaga możliwości zdalnego dodania tej funkcji ochrony, musisz włączyć ograniczone delegowanie.
-nazwa_komputera Określa, że funkcja manage-bde jest używana do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia.
<name> Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera.
-? lub/? Wyświetla krótką pomoc w wierszu polecenia.
-pomoc lub -h Wyświetla pełną pomoc w wierszu polecenia.

Dodatkowe parametry -delete

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametr Opis
<drive> Reprezentuje literę dysku, po której następuje dwukropek.
-typ Identyfikuje ochronę klucza do usunięcia. Można również użyć -t jako skróconej wersji tego polecenia.
hasło odzyskiwania Określa, że należy usunąć wszystkie funkcje ochrony klucza hasła odzyskiwania.
Klucz zewnętrzny Określa, że należy usunąć wszystkie zewnętrzne funkcje ochrony klucza skojarzone z dyskiem.
certyfikat Określa, że należy usunąć wszystkie funkcje ochrony klucza certyfikatu skojarzone z dyskiem.
moduł tpm Określa, że wszystkie funkcje ochrony kluczy tylko modułu TPM skojarzone z dyskiem powinny zostać usunięte.
tpmandstartupkey (klucz startowy) Określa, że należy usunąć wszystkie moduły TPM i funkcje ochrony klucza opartego na kluczu uruchamiania skojarzone z dyskiem.
tpmandpin powiedział: Określa, że należy usunąć wszystkie moduły TPM i funkcji ochrony kluczy opartych na numerze PIN skojarzonych z dyskiem.
tpmandpinandstartupkey (klucz uruchomienia) Określa, że należy usunąć wszystkie moduły TPM, numer PIN i funkcje ochrony klucza opartego na kluczu uruchamiania skojarzone z dyskiem.
hasło Określa, że należy usunąć wszystkie funkcje ochrony klucza hasła skojarzone z dyskiem.
tożsamość Określa, że należy usunąć wszystkie funkcje ochrony klucza tożsamości skojarzone z dyskiem.
-ID Identyfikuje ochronę klucza do usunięcia przy użyciu identyfikatora klucza. Ten parametr jest alternatywną opcją dla parametru -type.
<keyprotectorID> Identyfikuje indywidualną ochronę klucza na dysku do usunięcia. Identyfikatory funkcji ochrony klucza mogą być wyświetlane przy użyciu polecenia manage-bde -protectors -get.
-nazwa_komputera Określa, że manage-bde.exe będzie używany do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia.
<name> Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera.
-? lub/? Wyświetla krótką pomoc w wierszu polecenia.
-pomoc lub -h Wyświetla pełną pomoc w wierszu polecenia.

Dodatkowe parametry -disable

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametr Opis
<drive> Reprezentuje literę dysku, po której następuje dwukropek.
liczba rebootów Określa, że ochrona woluminu systemu operacyjnego została zawieszona i zostanie wznowiona po ponownym uruchomieniu systemu Windows liczba razy określona w parametrze rebootcount. Określ 0, aby zawiesić ochronę na czas nieokreślony. Jeśli ten parametr nie zostanie określony, ochrona funkcji BitLocker zostanie automatycznie wznowiona po ponownym uruchomieniu systemu Windows. Można również użyć -rc jako skróconej wersji tego polecenia.
-nazwa_komputera Określa, że manage-bde.exe będzie używany do modyfikowania ochrony funkcji BitLocker na innym komputerze. Można również użyć -cn jako skróconej wersji tego polecenia.
<name> Reprezentuje nazwę komputera, na którym ma być modyfikowana ochrona funkcji BitLocker. Akceptowane wartości obejmują nazwę NetBIOS komputera i adres IP komputera.
-? lub/? Wyświetla krótką pomoc w wierszu polecenia.
-pomoc lub -h Wyświetla pełną pomoc w wierszu polecenia.

Przykłady

Aby dodać funkcję ochrony klucza certyfikatu, zidentyfikowaną przez plik certyfikatu, na dysku E, wpisz:

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Aby dodać adaccountorgroup ochrony klucza, identyfikowane przez domenę i nazwę użytkownika, na dysku E, wpisz:

manage-bde -protectors -add E: -sid DOMAIN\user

Aby wyłączyć ochronę do czasu ponownego uruchomienia komputera 3 razy, wpisz:

manage-bde -protectors -disable C: -rc 3

Aby usunąć wszystkie moduły TPM i funkcje ochrony kluczy oparte na kluczach uruchamiania na dysku C, wpisz:

manage-bde -protectors -delete C: -type tpmandstartupkey

Aby wyświetlić listę wszystkich funkcji ochrony kluczy dla dysku C, wpisz:

manage-bde -protectors -get C:

Aby utworzyć kopię zapasową wszystkich informacji odzyskiwania dla dysku C do usług AD DS, wpisz (gdzie -id jest identyfikatorem określonej ochrony klucza do utworzenia kopii zapasowej):

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'