Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Gerencia os métodos de proteção usados para a chave de criptografia BitLocker.
Sintaxe
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetros
Parâmetro | Descrição |
---|---|
-Obter | Exibe todos os métodos de proteção de chave habilitados na unidade e fornece seu tipo e identificador (ID). |
-adicionar | Adiciona métodos de proteção de chave conforme especificado usando parâmetros adicionais -add. |
-Excluir | Exclui os métodos de proteção de chave usados pelo BitLocker. Todos os protetores de chave serão removidos de uma unidade, a menos que os parâmetros opcionais -delete sejam usados para especificar quais protetores excluir. Quando o último protetor de uma unidade é excluído, a proteção BitLocker da unidade é desabilitada para garantir que o acesso aos dados não seja perdido inadvertidamente. |
-desativar | Desativa a proteção, que permitirá que qualquer pessoa acesse dados criptografados, tornando a chave de criptografia disponível sem segurança na unidade. Nenhum protetor de chave é removido. A proteção será retomada na próxima vez que o Windows for inicializado, a menos que os parâmetros opcionais -disable sejam usados para especificar a contagem de reinicialização. |
-ativar | Permite a proteção removendo a chave de encriptação não segura da unidade. Todos os protetores de chave configurados na unidade serão aplicados. |
-adbackup | Faz backup das informações de recuperação da unidade especificada para os Serviços de Domínio Ative Directory (AD DS). Anexe o parâmetro -id e especifique o ID de uma chave de recuperação específica para backup. O parâmetro -id é necessário. |
-aadbackup | Faz backup de todas as informações de recuperação da unidade especificada para o ID do Microsoft Entra. Anexe o parâmetro -id e especifique o ID de uma chave de recuperação específica para backup. O parâmetro -id é necessário. |
<drive> |
Representa uma letra de unidade seguida de dois pontos. |
-nome do computador | Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando. |
<name> |
Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador. |
-? ou /? | Exibe uma breve ajuda no prompt de comando. |
-ajuda ou -h | Exibe a ajuda completa no prompt de comando. |
Parâmetros -add adicionais
O parâmetro -add também pode usar esses parâmetros adicionais válidos.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parâmetro | Descrição |
---|---|
<drive> |
Representa uma letra de unidade seguida de dois pontos. |
-recoverypassword | Adiciona um protetor de senha numérica. Você também pode usar -rp como uma versão abreviada deste comando. |
<numericalpassword> |
Representa a senha de recuperação. |
-chave de recuperação | Adiciona um protetor de chave externa para recuperação. Você também pode usar -rk como uma versão abreviada deste comando. |
<pathtoexternalkeydirectory> |
Representa o caminho do diretório para a chave de recuperação. |
-chave de arranque | Adiciona um protetor de chave externa para inicialização. Você também pode usar -sk como uma versão abreviada deste comando. |
<pathtoexternalkeydirectory> |
Representa o caminho do diretório para a chave de inicialização. |
-certificado | Adiciona um protetor de chave pública para uma unidade de dados. Você também pode usar -cert como uma versão abreviada deste comando. |
-cf | Especifica que um arquivo de certificado será usado para fornecer o certificado de chave pública. |
<pathtocertificatefile> |
Representa o caminho do diretório para o arquivo de certificado. |
-tomografia computadorizada (TC) | Especifica que uma impressão digital do certificado será usada para identificar o certificado de chave pública |
<certificatethumbprint> |
Especifica o valor da propriedade de impressão digital do certificado que você deseja usar. Por exemplo, um valor de impressão digital de certificado de a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b deve ser especificado como a909502dd82ae41433e6f83886b00d4277a32a7b. |
-tpmandpin | Adiciona um Trusted Platform Module (TPM) e um protetor de número de identificação pessoal (PIN) para a unidade do sistema operacional. Você também pode usar -tp como uma versão abreviada deste comando. |
-tpmandstartupkey | Adiciona um TPM e protetor de chave de inicialização para a unidade do sistema operacional. Você também pode usar -tsk como uma versão abreviada deste comando. |
-TPMandPinandStartupKey | Adiciona um TPM, PIN e protetor de chave de inicialização para a unidade do sistema operacional. Você também pode usar -tpsk como uma versão abreviada deste comando. |
-palavra-passe | Adiciona um protetor de chave de senha para a unidade de dados. Você também pode usar -pw como uma versão abreviada deste comando. |
-adaccountorgroup | Adiciona um protetor de identidade baseado em identificador de segurança (SID) para o volume. Você também pode usar -sid como uma versão abreviada deste comando. IMPORTANTE: Por padrão, você não pode adicionar um protetor ADaccountorgroup remotamente usando WMI ou manage-bde. Se sua implantação exigir a capacidade de adicionar esse protetor remotamente, você deverá habilitar a delegação restrita. |
-nome do computador | Especifica que manage-bde está sendo usado para modificar a proteção BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando. |
<name> |
Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador. |
-? ou /? | Exibe uma breve ajuda no prompt de comando. |
-ajuda ou -h | Exibe a ajuda completa no prompt de comando. |
Parâmetros -delete adicionais
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetro | Descrição |
---|---|
<drive> |
Representa uma letra de unidade seguida de dois pontos. |
-tipo | Identifica o protetor de chave a ser excluído. Você também pode usar -t como uma versão abreviada deste comando. |
recoverypassword | Especifica que todos os protetores de chave de senha de recuperação devem ser excluídos. |
chave externa | Especifica que todos os protetores de chave externos associados à unidade devem ser excluídos. |
certificado | Especifica que todos os protetores de chave de certificado associados à unidade devem ser excluídos. |
TPM | Especifica que todos os protetores de chave somente TPM associados à unidade devem ser excluídos. |
TPMandStartupKey | Especifica que qualquer TPM e protetores de chave baseados em chave de inicialização associados à unidade devem ser excluídos. |
Tpmandpin | Especifica que todos os protetores de chave baseados em TPM e PIN associados à unidade devem ser excluídos. |
TPMandPinandStartupKey | Especifica que qualquer TPM, PIN e protetores de chave baseados em chave de inicialização associados à unidade devem ser excluídos. |
palavra-passe | Especifica que todos os protetores de chave de senha associados à unidade devem ser excluídos. |
identidade | Especifica que todos os protetores de chave de identidade associados à unidade devem ser excluídos. |
-ID | Identifica o protetor de chave a ser excluído usando o identificador de chave. Este parâmetro é uma opção alternativa ao parâmetro -type. |
<keyprotectorID> |
Identifica um protetor de chave individual na unidade a ser excluído. Os IDs do protetor de chaves podem ser exibidos usando o comando manage-bde -protectors -get. |
-nome do computador | Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando. |
<name> |
Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador. |
-? ou /? | Exibe uma breve ajuda no prompt de comando. |
-ajuda ou -h | Exibe a ajuda completa no prompt de comando. |
Parâmetros -disable adicionais
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetro | Descrição |
---|---|
<drive> |
Representa uma letra de unidade seguida de dois pontos. |
Contagem de reinicialização | Especifica que a proteção do volume do sistema operacional foi suspensa e será retomada após a reinicialização do Windows o número de vezes especificado no parâmetro rebootcount. Especifique 0 para suspender a proteção indefinidamente. Se esse parâmetro não for especificado, a proteção BitLocker será retomada automaticamente após a reinicialização do Windows. Você também pode usar -rc como uma versão abreviada deste comando. |
-nome do computador | Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada deste comando. |
<name> |
Representa o nome do computador no qual modificar a proteção BitLocker. Os valores aceites incluem o nome NetBIOS do computador e o endereço IP do computador. |
-? ou /? | Exibe uma breve ajuda no prompt de comando. |
-ajuda ou -h | Exibe a ajuda completa no prompt de comando. |
Exemplos
Para adicionar um protetor de chave de certificado, identificado por um arquivo de certificado, à unidade E, digite:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Para adicionar um adaccountorgroup protetor de chave, identificado por domínio e nome de usuário, à unidade E, digite:
manage-bde -protectors -add E: -sid DOMAIN\user
Para desativar a proteção até que o computador seja reinicializado 3 vezes, digite:
manage-bde -protectors -disable C: -rc 3
Para excluir todos os protetores de chave baseados em TPM e chaves de inicialização na unidade C, digite:
manage-bde -protectors -delete C: -type tpmandstartupkey
Para listar todos os protetores de chave para a unidade C, digite:
manage-bde -protectors -get C:
Para fazer backup de todas as informações de recuperação da unidade C para AD DS, digite (onde -id
é a ID do protetor de chave específico para backup):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'