Partilhar via


Protetores Manage-BDE

Gerencia os métodos de proteção usados para a chave de criptografia BitLocker.

Sintaxe

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

Parâmetros

Parâmetro Descrição
-Obter Exibe todos os métodos de proteção de chave habilitados na unidade e fornece seu tipo e identificador (ID).
-adicionar Adiciona métodos de proteção de chave conforme especificado usando parâmetros adicionais -add.
-Excluir Exclui os métodos de proteção de chave usados pelo BitLocker. Todos os protetores de chave serão removidos de uma unidade, a menos que os parâmetros opcionais -delete sejam usados para especificar quais protetores excluir. Quando o último protetor de uma unidade é excluído, a proteção BitLocker da unidade é desabilitada para garantir que o acesso aos dados não seja perdido inadvertidamente.
-desativar Desativa a proteção, que permitirá que qualquer pessoa acesse dados criptografados, tornando a chave de criptografia disponível sem segurança na unidade. Nenhum protetor de chave é removido. A proteção será retomada na próxima vez que o Windows for inicializado, a menos que os parâmetros opcionais -disable sejam usados para especificar a contagem de reinicialização.
-ativar Permite a proteção removendo a chave de encriptação não segura da unidade. Todos os protetores de chave configurados na unidade serão aplicados.
-adbackup Faz backup das informações de recuperação da unidade especificada para os Serviços de Domínio Ative Directory (AD DS). Anexe o parâmetro -id e especifique o ID de uma chave de recuperação específica para backup. O parâmetro -id é necessário.
-aadbackup Faz backup de todas as informações de recuperação da unidade especificada para o ID do Microsoft Entra. Anexe o parâmetro -id e especifique o ID de uma chave de recuperação específica para backup. O parâmetro -id é necessário.
<drive> Representa uma letra de unidade seguida de dois pontos.
-nome do computador Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando.
<name> Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador.
-? ou /? Exibe uma breve ajuda no prompt de comando.
-ajuda ou -h Exibe a ajuda completa no prompt de comando.

Parâmetros -add adicionais

O parâmetro -add também pode usar esses parâmetros adicionais válidos.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parâmetro Descrição
<drive> Representa uma letra de unidade seguida de dois pontos.
-recoverypassword Adiciona um protetor de senha numérica. Você também pode usar -rp como uma versão abreviada deste comando.
<numericalpassword> Representa a senha de recuperação.
-chave de recuperação Adiciona um protetor de chave externa para recuperação. Você também pode usar -rk como uma versão abreviada deste comando.
<pathtoexternalkeydirectory> Representa o caminho do diretório para a chave de recuperação.
-chave de arranque Adiciona um protetor de chave externa para inicialização. Você também pode usar -sk como uma versão abreviada deste comando.
<pathtoexternalkeydirectory> Representa o caminho do diretório para a chave de inicialização.
-certificado Adiciona um protetor de chave pública para uma unidade de dados. Você também pode usar -cert como uma versão abreviada deste comando.
-cf Especifica que um arquivo de certificado será usado para fornecer o certificado de chave pública.
<pathtocertificatefile> Representa o caminho do diretório para o arquivo de certificado.
-tomografia computadorizada (TC) Especifica que uma impressão digital do certificado será usada para identificar o certificado de chave pública
<certificatethumbprint> Especifica o valor da propriedade de impressão digital do certificado que você deseja usar. Por exemplo, um valor de impressão digital de certificado de a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b deve ser especificado como a909502dd82ae41433e6f83886b00d4277a32a7b.
-tpmandpin Adiciona um Trusted Platform Module (TPM) e um protetor de número de identificação pessoal (PIN) para a unidade do sistema operacional. Você também pode usar -tp como uma versão abreviada deste comando.
-tpmandstartupkey Adiciona um TPM e protetor de chave de inicialização para a unidade do sistema operacional. Você também pode usar -tsk como uma versão abreviada deste comando.
-TPMandPinandStartupKey Adiciona um TPM, PIN e protetor de chave de inicialização para a unidade do sistema operacional. Você também pode usar -tpsk como uma versão abreviada deste comando.
-palavra-passe Adiciona um protetor de chave de senha para a unidade de dados. Você também pode usar -pw como uma versão abreviada deste comando.
-adaccountorgroup Adiciona um protetor de identidade baseado em identificador de segurança (SID) para o volume. Você também pode usar -sid como uma versão abreviada deste comando. IMPORTANTE: Por padrão, você não pode adicionar um protetor ADaccountorgroup remotamente usando WMI ou manage-bde. Se sua implantação exigir a capacidade de adicionar esse protetor remotamente, você deverá habilitar a delegação restrita.
-nome do computador Especifica que manage-bde está sendo usado para modificar a proteção BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando.
<name> Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador.
-? ou /? Exibe uma breve ajuda no prompt de comando.
-ajuda ou -h Exibe a ajuda completa no prompt de comando.

Parâmetros -delete adicionais

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetro Descrição
<drive> Representa uma letra de unidade seguida de dois pontos.
-tipo Identifica o protetor de chave a ser excluído. Você também pode usar -t como uma versão abreviada deste comando.
recoverypassword Especifica que todos os protetores de chave de senha de recuperação devem ser excluídos.
chave externa Especifica que todos os protetores de chave externos associados à unidade devem ser excluídos.
certificado Especifica que todos os protetores de chave de certificado associados à unidade devem ser excluídos.
TPM Especifica que todos os protetores de chave somente TPM associados à unidade devem ser excluídos.
TPMandStartupKey Especifica que qualquer TPM e protetores de chave baseados em chave de inicialização associados à unidade devem ser excluídos.
Tpmandpin Especifica que todos os protetores de chave baseados em TPM e PIN associados à unidade devem ser excluídos.
TPMandPinandStartupKey Especifica que qualquer TPM, PIN e protetores de chave baseados em chave de inicialização associados à unidade devem ser excluídos.
palavra-passe Especifica que todos os protetores de chave de senha associados à unidade devem ser excluídos.
identidade Especifica que todos os protetores de chave de identidade associados à unidade devem ser excluídos.
-ID Identifica o protetor de chave a ser excluído usando o identificador de chave. Este parâmetro é uma opção alternativa ao parâmetro -type.
<keyprotectorID> Identifica um protetor de chave individual na unidade a ser excluído. Os IDs do protetor de chaves podem ser exibidos usando o comando manage-bde -protectors -get.
-nome do computador Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando.
<name> Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador.
-? ou /? Exibe uma breve ajuda no prompt de comando.
-ajuda ou -h Exibe a ajuda completa no prompt de comando.

Parâmetros -disable adicionais

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetro Descrição
<drive> Representa uma letra de unidade seguida de dois pontos.
Contagem de reinicialização Especifica que a proteção do volume do sistema operacional foi suspensa e será retomada após a reinicialização do Windows o número de vezes especificado no parâmetro rebootcount. Especifique 0 para suspender a proteção indefinidamente. Se esse parâmetro não for especificado, a proteção BitLocker será retomada automaticamente após a reinicialização do Windows. Você também pode usar -rc como uma versão abreviada deste comando.
-nome do computador Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando.
<name> Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador.
-? ou /? Exibe uma breve ajuda no prompt de comando.
-ajuda ou -h Exibe a ajuda completa no prompt de comando.

Exemplos

Para adicionar um protetor de chave de certificado, identificado por um arquivo de certificado, à unidade E, digite:

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Para adicionar um adaccountorgroup protetor de chave, identificado por domínio e nome de usuário, à unidade E, digite:

manage-bde -protectors -add E: -sid DOMAIN\user

Para desativar a proteção até que o computador seja reinicializado 3 vezes, digite:

manage-bde -protectors -disable C: -rc 3

Para excluir todos os protetores de chave baseados em TPM e chaves de inicialização na unidade C, digite:

manage-bde -protectors -delete C: -type tpmandstartupkey

Para listar todos os protetores de chave para a unidade C, digite:

manage-bde -protectors -get C:

Para fazer backup de todas as informações de recuperação da unidade C para AD DS, digite (onde -id é a ID do protetor de chave específico para backup):

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'