предохранители manage-bde
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Управляет методами защиты, используемыми для ключа шифрования BitLocker.
Синтаксис
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Параметры
| Параметр | Описание |
|---|---|
| -Получить | Отображает все методы защиты ключей, включенные на диске, и предоставляет их тип и идентификатор (ID). |
| -Добавить | Добавляет методы защиты ключей, указанные с помощью дополнительных параметров -add . |
| -Удалить | Удаляет методы защиты ключей, используемые BitLocker. Все предохранители ключей будут удалены с диска, если только необязательные параметры -delete не используются для указания удаляемых предохранителей. При удалении последнего предохранителя на диске защита BitLocker на диске отключается, чтобы гарантировать, что доступ к данным не будет потерян непреднамеренно. |
| -Отключить | Отключает защиту, которая позволяет всем пользователям получать доступ к зашифрованным данным, делая ключ шифрования доступным незащищенным на диске. Предохранители ключа не удаляются. Защита будет возобновлена при следующей загрузке Windows, если для указания количества перезагрузок не используются необязательные параметры -disable . |
| -Включить | Включает защиту путем удаления незащищенного ключа шифрования с диска. Будут применены все настроенные предохранители ключей на диске. |
| -adbackup | Резервное копирование сведений о восстановлении для диска, указанного в доменные службы Active Directory (AD DS). Добавьте параметр -id и укажите идентификатор определенного ключа восстановления для резервного копирования. Параметр -id является обязательным. |
| -aadbackup | Резервное копирование всех сведений о восстановлении для указанного диска в Azure Active Directory (Azure AD). Добавьте параметр -id и укажите идентификатор определенного ключа восстановления для резервного копирования. Параметр -id является обязательным. |
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -Computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают NetBIOS-имя компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -add
Параметр -add также может использовать эти допустимые дополнительные параметры.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Параметр | Описание |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -recoverypassword | Добавляет числовое средство защиты паролем. Вы также можете использовать -rp в качестве сокращенной версии этой команды. |
<numericalpassword> |
Представляет пароль восстановления. |
| -recoverykey | Добавляет внешний предохранитель ключа для восстановления. Вы также можете использовать -rk в качестве сокращенной версии этой команды. |
<pathtoexternalkeydirectory> |
Представляет путь к каталогу к ключу восстановления. |
| -startupkey | Добавляет внешний предохранитель ключа для запуска. Вы также можете использовать -sk в качестве сокращенной версии этой команды. |
<pathtoexternalkeydirectory> |
Представляет путь к каталогу к ключу запуска. |
| -Сертификат | Добавляет предохранитель открытого ключа для диска данных. Вы также можете использовать -cert в качестве сокращенной версии этой команды. |
| -cf | Указывает, что файл сертификата будет использоваться для предоставления сертификата открытого ключа. |
<pathtocertificatefile> |
Представляет путь к каталогу к файлу сертификата. |
| -Ct | Указывает, что отпечаток сертификата будет использоваться для идентификации сертификата открытого ключа. |
<certificatethumbprint> |
Задает значение свойства отпечатка сертификата, который вы хотите использовать. Например, значение отпечатка сертификата a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b должно быть указано как a909502dd82ae41433e6f83886b00d427a32a7b. |
| -tpmandpin | Добавляет доверенный платформенный модуль (TPM) и предохранитель личного идентификационного номера (ПИН-код) для диска операционной системы. Вы также можете использовать -tp в качестве сокращенной версии этой команды. |
| -tpmandstartupkey | Добавляет доверенный платформенный модуль и предохранитель ключа запуска для диска операционной системы. В качестве сокращенной версии этой команды можно также использовать -лезвие . |
| -tpmandpinandstartupkey | Добавляет доверенный платформенный модуль, ПИН-код и предохранитель ключа запуска для диска операционной системы. Вы также можете использовать -tpsk в качестве сокращенной версии этой команды. |
| -password | Добавляет предохранитель ключа пароля для диска данных. Вы также можете использовать -pw в качестве сокращенной версии этой команды. |
| -adaccountorgroup | Добавляет средство защиты удостоверений на основе идентификатора безопасности (SID) для тома. Вы также можете использовать -sid в качестве сокращенной версии этой команды. ВАЖНО: По умолчанию вы не можете удаленно добавить предохранитель ADaccountorgroup с помощью инструментария WMI или manage-bde. Если для развертывания требуется возможность удаленного добавления этого средства защиты, необходимо включить ограниченное делегирование. |
| -Computername | Указывает, что manage-bde используется для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают NetBIOS-имя компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -delete
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Параметр | Описание |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -Тип | Определяет удаляемую защиту ключа. Вы также можете использовать -t в качестве сокращенной версии этой команды. |
| recoverypassword | Указывает, что все предохранители ключа восстановления должны быть удалены. |
| externalkey | Указывает, что все внешние предохранители ключей, связанные с диском, должны быть удалены. |
| сертификат | Указывает, что все предохранители ключа сертификата, связанные с диском, должны быть удалены. |
| Tpm | Указывает, что все предохранители ключей только TPM, связанные с диском, должны быть удалены. |
| tpmandstartupkey | Указывает, что все предохранители ключа TPM и ключа запуска, связанные с диском, должны быть удалены. |
| tpmandpin | Указывает, что все предохранители ключей на основе доверенного платформенного модуля и ПИН-кода, связанные с диском, должны быть удалены. |
| tpmandpinandstartupkey | Указывает, что все предохранители ключа на основе TPM, ПИН-кода и ключа запуска, связанные с диском, должны быть удалены. |
| password | Указывает, что все предохранители ключа пароля, связанные с диском, должны быть удалены. |
| удостоверение | Указывает, что все предохранители ключа идентификации, связанные с диском, должны быть удалены. |
| -ID | Определяет удаляемый предохранитель ключа с помощью идентификатора ключа. Этот параметр является альтернативой параметру -type . |
<keyprotectorID> |
Определяет отдельный предохранитель ключа на удаляемом диске. Идентификаторы предохранителей ключей можно отобразить с помощью команды manage-bde -protectors -get . |
| -Computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают NetBIOS-имя компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -disable
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Параметр | Описание |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| rebootcount | Указывает, что защита тома операционной системы приостановлена и возобновится после перезапуска Windows с учетом количества раз, указанного в параметре rebootcount . Укажите значение 0 , чтобы приостановить защиту на неопределенный срок. Если этот параметр не указан, защита BitLocker автоматически возобновляется после перезапуска Windows. Вы также можете использовать -rc в качестве сокращенной версии этой команды. |
| -Computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают NetBIOS-имя компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Примеры
Чтобы добавить предохранитель ключа сертификата, определяемый файлом сертификата, на диск E, введите:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Чтобы добавить предохранитель ключа adaccountorgroup , определяемый доменом и именем пользователя, на диск E, введите:
manage-bde -protectors -add E: -sid DOMAIN\user
Чтобы отключить защиту, пока компьютер не перезагрузится 3 раза, введите:
manage-bde -protectors -disable C: -rc 3
Чтобы удалить все предохранители ключей на основе TPM и ключей запуска на диске C, введите:
manage-bde -protectors -delete C: -type tpmandstartupkey
Чтобы получить список всех предохранителей ключей для диска C, введите:
manage-bde -protectors -get C:
Чтобы создать резервную копию всех сведений о восстановлении для диска C в AD DS, введите (где -id — это идентификатор конкретного предохранителя ключей для резервного копирования):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'