manage-bde protectors
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Gerencia os métodos de proteção usados para a chave de criptografia do BitLocker.
Sintaxe
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetros
| Parâmetro | Descrição |
|---|---|
| -get | Exibe todos os métodos de proteção de chave habilitados na unidade e fornece seu tipo e identificador (ID). |
| -add | Adiciona métodos de proteção de chave conforme especificado usando parâmetros -add adicionais. |
| -delete | Exclui os métodos de proteção de chave usados pelo BitLocker. Todos os protetores de chave serão removidos de uma unidade, a menos que os parâmetros opcionais -delete sejam usados para especificar quais protetores devem ser excluídos. Quando o último protetor em uma unidade é excluído, a proteção do BitLocker da unidade é desabilitada para garantir que o acesso aos dados não seja perdido inadvertidamente. |
| -disable | Desabilita a proteção, o que permitirá que qualquer pessoa acesse dados criptografados, disponibilizando a chave de criptografia sem segurança na unidade. Nenhum protetor de chave é removido. A proteção será retomada na próxima vez que o Windows for inicializado, a menos que os parâmetros -disable opcionais sejam usados para especificar a contagem de reinicialização. |
| -enable | Habilita a proteção removendo a chave de criptografia não segura da unidade. Todos os protetores de chave configurados na unidade serão impostos. |
| -adbackup | Faz backup das informações de recuperação da unidade especificada para o AD DS (Active Directory Domain Services). Acrescente o parâmetro -id e especifique a ID de uma chave de recuperação específica para fazer backup. O parâmetro -id é necessário. |
| -aadbackup | Faz backup de todas as informações de recuperação da unidade especificada para o Microsoft Entra ID. Acrescente o parâmetro -id e especifique a ID de uma chave de recuperação específica para fazer backup. O parâmetro -id é necessário. |
<drive> |
Representa uma letra de unidade seguida de dois-pontos. |
| -computername | Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando. |
<name> |
Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele. |
| -? ou /? | Exibe uma pequena ajuda no prompt de comando. |
| -help ou -h | Exibe uma ajuda completa no prompt de comando. |
Parâmetros -add adicionais
O parâmetro -add também pode usar esses parâmetros adicionais válidos.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parâmetro | Descrição |
|---|---|
<drive> |
Representa uma letra de unidade seguida de dois-pontos. |
| -recoverypassword | Adiciona um protetor de senha numérico. Você também pode usar -rp como uma versão abreviada desse comando. |
<numericalpassword> |
Representa a senha de recuperação. |
| -recoverykey | Adiciona um protetor de chave externa para recuperação. Você também pode usar -rk como uma versão abreviada desse comando. |
<pathtoexternalkeydirectory> |
Representa o caminho do diretório para a chave de recuperação. |
| -startupkey | Adiciona um protetor de chave externa para inicialização. Você também pode usar -sk como uma versão abreviada desse comando. |
<pathtoexternalkeydirectory> |
Representa o caminho do diretório para a chave de inicialização. |
| -certificate | Adiciona um protetor de chave pública para uma unidade de dados. Você também pode usar -cert como uma versão abreviada desse comando. |
| -cf | Especifica que um arquivo de certificado será usado para fornecer o certificado de chave pública. |
<pathtocertificatefile> |
Representa o caminho do diretório para o arquivo de certificado. |
| -ct | Especifica que uma impressão digital do certificado será usada para identificar o certificado de chave pública |
<certificatethumbprint> |
Especifica o valor da propriedade de impressão digital do certificado que você deseja usar. Por exemplo, o valor da Impressão digital do certificado de a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2 a 7b deve ser especificado como a909502dd82ae41433e6f83886b00d4277a32a7b. |
| -tpmandpin | Adiciona um TPM (Trusted Platform Module) e um protetor de PIN (número de identificação pessoal) para a unidade do sistema operacional. Você também pode usar -tp como uma versão abreviada desse comando. |
| -tpmandstartupkey | Adiciona um TPM e um protetor de chave de inicialização para a unidade do sistema operacional. Você também pode usar -tsk como uma versão abreviada desse comando. |
| -tpmandpinandstartupkey | Adiciona um protetor de chave de inicialização, PIN e TPM para a unidade do sistema operacional. Você também pode usar -tpsk como uma versão abreviada desse comando. |
| -password | Adiciona um protetor de chave de senha para a unidade de dados. Você também pode usar -pw como uma versão abreviada desse comando. |
| -adaccountorgroup | Adiciona um protetor de identidade baseado em SID (identificador de segurança) no volume. Você também pode usar -sid como uma versão abreviada desse comando. IMPORTANTE: por padrão, você não pode adicionar um protetor ADaccountorgroup remotamente usando WMI ou manage-bde. Se sua implantação exigir a capacidade de adicionar esse protetor remotamente, você deverá habilitar a delegação restrita. |
| -computername | Especifica que manage-bde está sendo usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando. |
<name> |
Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele. |
| -? ou /? | Exibe uma pequena ajuda no prompt de comando. |
| -help ou -h | Exibe uma ajuda completa no prompt de comando. |
Parâmetros -delete adicionais
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parâmetro | Descrição |
|---|---|
<drive> |
Representa uma letra de unidade seguida de dois-pontos. |
| -type | Identifica o protetor de chave a ser excluído. Você também pode usar -t como uma versão abreviada desse comando. |
| recoverypassword | Especifica que todos os protetores de chave de senha de recuperação devem ser excluídos. |
| externalkey | Especifica que todos os protetores de chave externa associados à unidade devem ser excluídos. |
| certificado | Especifica que todos os protetores de chave de certificado associados à unidade devem ser excluídos. |
| tpm | Especifica que todos os protetores de chave somente TPM associados à unidade devem ser excluídos. |
| tpmandstartupkey | Especifica que todos os protetores de chave baseados em chave de inicialização e TPM associados à unidade devem ser excluídos. |
| tpmandpin | Especifica que todos os protetores de chave baseados em TPM e PIN associados à unidade devem ser excluídos. |
| tpmandpinandstartupkey | Especifica que todos os protetores de chave baseados em chave de inicialização, PIN e TPM associados à unidade devem ser excluídos. |
| password | Especifica que todos os protetores de chave de senha associados à unidade devem ser excluídos. |
| identidade | Especifica que todos os protetores de chave de identidade associados à unidade devem ser excluídos. |
| -ID | Identifica o protetor de chave a ser excluído usando o identificador de chave. Esse parâmetro é uma opção alternativa para o parâmetro -type. |
<keyprotectorID> |
Identifica um protetor de chave individual na unidade a ser excluída. As IDs do protetor de chave podem ser exibidas usando o comando manage-bde -protectors -get. |
| -computername | Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando. |
<name> |
Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele. |
| -? ou /? | Exibe uma pequena ajuda no prompt de comando. |
| -help ou -h | Exibe uma ajuda completa no prompt de comando. |
Parâmetros -disable adicionais
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parâmetro | Descrição |
|---|---|
<drive> |
Representa uma letra de unidade seguida de dois-pontos. |
| rebootcount | Especifica que a proteção do volume do sistema operacional foi suspensa e será retomada depois que o Windows tiver sido reiniciado o número de vezes especificado no parâmetro rebootcount. Especifique 0 para suspender a proteção indefinidamente. Se esse parâmetro não for especificado, a proteção do BitLocker será retomada automaticamente depois que o Windows for reiniciado. Você também pode usar -rc como uma versão abreviada desse comando. |
| -computername | Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando. |
<name> |
Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele. |
| -? ou /? | Exibe uma pequena ajuda no prompt de comando. |
| -help ou -h | Exibe uma ajuda completa no prompt de comando. |
Exemplos
Para adicionar um protetor de chave de certificado, identificado por um arquivo de certificado, na unidade E, digite:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Para adicionar um protetor de chave adaccountorgroup, identificado pelo nome de usuário e domínio, na unidade E, digite:
manage-bde -protectors -add E: -sid DOMAIN\user
Para desabilitar a proteção até que o computador seja reinicializado três vezes, digite:
manage-bde -protectors -disable C: -rc 3
Para excluir todos os protetores de chave baseados em chaves de inicialização e TPM na unidade C, digite:
manage-bde -protectors -delete C: -type tpmandstartupkey
Para listar todos os protetores de chave para a unidade C, digite:
manage-bde -protectors -get C:
Para fazer backup de todas as informações de recuperação da unidade C para o AD DS, digite (onde -id é a ID do protetor de chave específico para backup):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'