Средства защиты manage-bde
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Управляет методами защиты, используемыми для ключа шифрования BitLocker.
Синтаксис
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Параметры
| Параметр | Описание |
|---|---|
| -Получить | Отображает все методы защиты ключей, включенные на диске, и предоставляет их тип и идентификатор (идентификатор). |
| -Добавить | Добавляет методы защиты ключей, указанные с помощью дополнительных параметров -add . |
| -Удалить | Удаляет методы защиты ключей, используемые BitLocker. Все средства защиты ключей будут удалены с диска, если необязательные параметры -delete не используются для указания параметров защиты для удаления. При удалении последнего предохранителя на диске защита BitLocker отключается, чтобы убедиться, что доступ к данным не будет потерян непреднамеренно. |
| -Отключить | Отключает защиту, которая позволит любому пользователю получить доступ к зашифрованным данным, сделав ключ шифрования доступным небезопасным на диске. Никакие средства защиты ключей не удаляются. Защита будет возобновлена при следующей загрузке Windows, если необязательные параметры -disable не используются для указания количества перезагрузки. |
| -Включить | Обеспечивает защиту, удаляя незащищенный ключ шифрования с диска. Все настроенные средства защиты ключей на диске будут применены. |
| -adbackup | Резервное копирование данных восстановления для диска, указанного в службах домен Active Directory (AD DS). Добавьте параметр -id и укажите идентификатор определенного ключа восстановления для резервного копирования. Обязательный параметр -id . |
| -aadbackup | Резервное копирование всех сведений о восстановлении диска, указанного в идентификаторе Microsoft Entra. Добавьте параметр -id и укажите идентификатор определенного ключа восстановления для резервного копирования. Обязательный параметр -id . |
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -Computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -add
Параметр -add также может использовать эти допустимые дополнительные параметры.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Параметр | Описание |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -recoverypassword | Добавляет числовое средство защиты паролей. Вы также можете использовать -rp в качестве сокращенной версии этой команды. |
<numericalpassword> |
Представляет пароль восстановления. |
| -recoverykey | Добавляет внешний средство защиты ключей для восстановления. Вы также можете использовать -rk в качестве сокращенной версии этой команды. |
<pathtoexternalkeydirectory> |
Представляет путь к каталогу ключа восстановления. |
| -startupkey | Добавляет внешний средство защиты ключей для запуска. Вы также можете использовать -sk в качестве сокращенной версии этой команды. |
<pathtoexternalkeydirectory> |
Представляет путь каталога к ключу запуска. |
| -Сертификат | Добавляет средство защиты открытого ключа для диска данных. Вы также можете использовать -cert в качестве сокращенной версии этой команды. |
| -Cf | Указывает, что файл сертификата будет использоваться для предоставления сертификата открытого ключа. |
<pathtocertificatefile> |
Представляет путь к каталогу к файлу сертификата. |
| -Ct | Указывает, что отпечаток сертификата будет использоваться для идентификации сертификата открытого ключа. |
<certificatethumbprint> |
Указывает значение свойства отпечатка сертификата, который требуется использовать. Например, значение отпечатка сертификата 9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3a 7b должно быть указано как a909502d82a2ae4143e6f8886b0d427a3a7b. |
| -tpmandpin | Добавляет доверенный модуль платформы (TPM) и личные идентификаторы пин-кода для диска операционной системы. Вы также можете использовать -tp в качестве сокращенной версии этой команды. |
| -tpmandstartupkey | Добавляет средство защиты доверенного платформенного модуля и ключа запуска для диска операционной системы. Вы также можете использовать -tsk в качестве сокращенной версии этой команды. |
| -tpmandpinandstartupkey | Добавляет модуль TPM, ПИН-код и средство защиты ключей запуска для диска операционной системы. Вы также можете использовать -tpsk в качестве сокращенной версии этой команды. |
| -Пароль | Добавляет средство защиты ключа пароля для диска данных. Вы также можете использовать -pw в качестве сокращенной версии этой команды. |
| -adaccountorgroup | Добавляет средство защиты удостоверений на основе безопасности для тома. Вы также можете использовать -sid в качестве сокращенной версии этой команды. ВАЖНО. По умолчанию не удается добавить средство защиты ADaccountorgroup удаленно с помощью WMI или manage-bde. Если для развертывания требуется возможность удаленного добавления этого средства защиты, необходимо включить ограниченное делегирование. |
| -Computername | Указывает, что управление bde используется для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -delete
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Параметр | Описание |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -Тип | Определяет средство защиты ключа для удаления. Вы также можете использовать -t в качестве сокращенной версии этой команды. |
| recoverypassword | Указывает, что все средства защиты ключей восстановления должны быть удалены. |
| externalkey | Указывает, что все внешние средства защиты ключей, связанные с диском, должны быть удалены. |
| сертификат | Указывает, что все средства защиты ключей сертификата, связанные с диском, должны быть удалены. |
| tpm | Указывает, что следует удалить все средства защиты ключей, доступные только для доверенного платформенного модуля, связанные с диском. |
| tpmandstartupkey | Указывает, что следует удалить все средства защиты ключей на основе ключа TPM и ключа запуска, связанные с диском. |
| tpmandpin | Указывает, что все средства защиты ключей на основе TPM и ПИН-кода, связанные с диском, должны быть удалены. |
| tpmandpinandstartupkey | Указывает, что следует удалить все средства защиты ключей на основе ключа на основе TPM, ПИН-кода и ключа запуска, связанные с диском. |
| password | Указывает, что все средства защиты ключей паролей, связанные с диском, должны быть удалены. |
| identity | Указывает, что все средства защиты ключей идентификации, связанные с диском, должны быть удалены. |
| -ID | Определяет средство защиты ключей для удаления с помощью идентификатора ключа. Этот параметр является альтернативным параметром -type . |
<keyprotectorID> |
Определяет отдельный предохранитель ключа на диске для удаления. Идентификаторы средств защиты ключей можно отобразить с помощью команды manage-bde -protectors -get . |
| -Computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -disable
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Параметр | Описание |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| перезагрузка | Указывает, что защита тома операционной системы приостановлена и возобновляется после перезапуска Windows число раз, указанное в параметре перезагрузки . Укажите 0 , чтобы приостановить защиту на неопределенный срок. Если этот параметр не указан, защита BitLocker автоматически возобновляется после перезапуска Windows. Вы также можете использовать -rc в качестве сокращенной версии этой команды. |
| -Computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? Или/? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Примеры
Чтобы добавить средство защиты ключа сертификата, определяемое файлом сертификата, для диска E введите:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Чтобы добавить средство защиты ключей adaccountorgroup, определяемое доменом и именем пользователя, для диска E введите следующее:
manage-bde -protectors -add E: -sid DOMAIN\user
Чтобы отключить защиту до перезагрузки компьютера 3 раза, введите:
manage-bde -protectors -disable C: -rc 3
Чтобы удалить все средства защиты ключей на основе ключей на основе ключей TPM на диске C, введите:
manage-bde -protectors -delete C: -type tpmandstartupkey
Чтобы перечислить все средства защиты ключей для диска C, введите следующее:
manage-bde -protectors -get C:
Чтобы создать резервную копию всех сведений о восстановлении для диска C в AD DS, введите (где -id идентификатор конкретного предохранителя ключей для резервного копирования):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'
Дополнительные ссылки
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по