manage-bde protectors
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
管理 BitLocker 加密金鑰所使用的保護方法。
語法
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
參數
| 參數 | 描述 |
|---|---|
| -get | 顯示磁碟機上啟用的所有金鑰保護方法,並提供其類型和識別碼 (ID)。 |
| -add | 使用其他 -add 參數,新增指定的金鑰保護方法。 |
| -delete | 刪除 BitLocker 所使用的金鑰保護方法。 除非使用選擇性的 -delete 參數來指定要刪除的保護裝置,否則所有金鑰保護裝置都會從磁碟機中移除。 刪除磁碟機上的最後一個保護裝置時,會停用磁碟機的 BitLocker 保護,以確保不會意外遺失資料的存取權。 |
| -disable | 停用保護,允許任何人透過在磁碟機上不安全地提供加密金鑰來存取加密資料。 不會移除任何金鑰保護裝置。 除非使用選擇性的 -disable 參數指定重新啟動計數,否則下次 Windows 開機時將會繼續保護。 |
| -enable | 從磁碟機移除不安全的加密金鑰,以啟用保護。 將會強制執行磁碟機上所有已設定的金鑰保護裝置。 |
| -adbackup | 備份指定到 Azure Active Directory 網域服務 (AD DS) 的磁碟機復原資訊。 附加 -id 參數,並指定要備份之特定復原金鑰的識別碼。 -id 是必要參數。 |
| -aadbackup | 備份指定到 Microsoft Entra ID 之磁碟機的所有復原資訊。 附加 -id 參數,並指定要備份之特定復原金鑰的識別碼。 -id 是必要參數。 |
<drive> |
表示磁碟機代號後面接冒號。 |
| -computername | 指定使用 manage-bde 修改不同電腦上的 BitLocker 保護。 您也可以使用 -cn 做為此命令的縮寫版本。 |
<name> |
表示要修改 BitLocker 保護的電腦名稱。 接受的值包括電腦的 NetBIOS 名稱和電腦的 IP 位址。 |
| -? 或 /? | 在命令提示字元顯示簡短說明。 |
| -help 或 -h | 在命令提示字元顯示完整說明。 |
其他 -add 參數
-add 參數也可以使用這些有效的其他參數。
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| 參數 | 描述 |
|---|---|
<drive> |
表示磁碟機代號後面接冒號。 |
| -recoverypassword | 新增數值密碼保護裝置。 您也可以使用 -rp 做為此命令的縮寫版本。 |
<numericalpassword> |
表示復原密碼。 |
| -recoverykey | 新增用於復原的外部金鑰保護裝置。 您也可以使用 -rk 做為此命令的縮寫版本。 |
<pathtoexternalkeydirectory> |
表示復原金鑰的目錄路徑。 |
| -startupkey | 新增用於啟動的外部金鑰保護裝置。 您也可以使用 -sk 做為此命令的縮寫版本。 |
<pathtoexternalkeydirectory> |
表示啟動金鑰的目錄路徑。 |
| -certificate | 新增資料磁碟機的公開金鑰保護裝置。 您也可以使用 -cert 做為此命令的縮寫版本。 |
| -cf | 指定將使用憑證檔案來提供公開金鑰憑證。 |
<pathtocertificatefile> |
表示憑證檔案的目錄路徑。 |
| -ct | 指定將使用憑證指紋來識別公開金鑰憑證 |
<certificatethumbprint> |
指定要使用的憑證指紋屬性值。 例如,在程式碼中應該將憑證指紋值 a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b 指定為 a909502dd82ae41433e6f83886b00d4277a32a7b。 |
| -tpmandpin | 為作業系統磁碟機新增信賴平台模組 (TPM) 和個人識別碼 (PIN) 保護裝置。 您也可以使用 -tp 做為此命令的縮寫版本。 |
| -tpmandstartupkey | 為作業系統磁碟機新增 TPM 和啟動金鑰保護裝置。 您也可以使用 -tsk 做為此命令的縮寫版本。 |
| -tpmandpinandstartupkey | 為作業系統磁碟機新增 TPM、PIN 和啟動金鑰保護裝置。 您也可以使用 -tpsk 做為此命令的縮寫版本。 |
| -password | 新增資料磁碟機的密碼金鑰保護裝置。 您也可以使用 -pw 做為此命令的縮寫版本。 |
| -adaccountorgroup | 為磁碟區新增安全性識別碼 (SID) 型身分識別保護裝置。 您也可以使用 -sid 做為此命令的縮寫版本。 重要事項: 預設情況下,您無法使用 WMI 或 manage-bde 從遠端新增 ADaccountorgroup 保護裝置。 如果您的部署需要能夠從遠端新增此保護裝置,則必須啟用限制委派。 |
| -computername | 指定使用 manage-bde 修改不同電腦上的 BitLocker 保護。 您也可以使用 -cn 做為此命令的縮寫版本。 |
<name> |
表示要修改 BitLocker 保護的電腦名稱。 接受的值包括電腦的 NetBIOS 名稱和電腦的 IP 位址。 |
| -? 或 /? | 在命令提示字元顯示簡短說明。 |
| -help 或 -h | 在命令提示字元顯示完整說明。 |
其他 -delete 參數
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| 參數 | 描述 |
|---|---|
<drive> |
表示磁碟機代號後面接冒號。 |
| -type | 識別要刪除的金鑰保護裝置。 您也可以使用 -t 做為此命令的縮寫版本。 |
| recoverypassword | 指定應該刪除任何修復密碼密鑰保護裝置。 |
| externalkey | 指定應該刪除與磁碟機相關聯的任何外部金鑰保護裝置。 |
| 憑證 (certificate) | 指定應該刪除與磁碟機相關聯的任何憑證金鑰保護裝置。 |
| tpm | 指定應該刪除與磁碟機相關聯的任何僅限 TPM 金鑰保護裝置。 |
| tpmandstartupkey | 指定應該刪除與磁碟機相關聯的任何 TPM 和啟動金鑰式金鑰保護裝置。 |
| tpmandpin | 指定應該刪除與磁碟機相關聯的任何 TPM 和 PIN 式金鑰保護裝置。 |
| tpmandpinandstartupkey | 指定應該刪除與磁碟機相關聯的任何 TPM、PIN 和啟動金鑰式金鑰保護裝置。 |
| password | 指定應該刪除與磁碟機相關聯的任何密碼金鑰保護裝置。 |
| 身分 | 指定應該刪除與磁碟機相關聯的任何識別金鑰保護裝置。 |
| -ID | 使用金鑰識別要刪除的金鑰保護裝置。 此參數是 -type 參數的替代選項。 |
<keyprotectorID> |
識別磁碟機上要刪除的個別金鑰保護裝置。 您可以使用 manage-bde -protectors -get 命令來顯示金鑰保護裝置識別碼。 |
| -computername | 指定使用 manage-bde 修改不同電腦上的 BitLocker 保護。 您也可以使用 -cn 做為此命令的縮寫版本。 |
<name> |
表示要修改 BitLocker 保護的電腦名稱。 接受的值包括電腦的 NetBIOS 名稱和電腦的 IP 位址。 |
| -? 或 /? | 在命令提示字元顯示簡短說明。 |
| -help 或 -h | 在命令提示字元顯示完整說明。 |
其他 -disable 參數
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| 參數 | 描述 |
|---|---|
<drive> |
表示磁碟機代號後面接冒號。 |
| rebootcount | 指定作業系統磁碟區的保護已暫停,並將在 Windows 重新啟動達到 rebootcount 參數中指定的次數後恢復。 指定 0 無限期暫停保護。 如果未指定此參數,BitLocker 保護會在 Windows 重新啟動後自動恢復。 您也可以使用 -rc 做為此命令的縮寫版本。 |
| -computername | 指定使用 manage-bde 修改不同電腦上的 BitLocker 保護。 您也可以使用 -cn 做為此命令的縮寫版本。 |
<name> |
表示要修改 BitLocker 保護的電腦名稱。 接受的值包括電腦的 NetBIOS 名稱和電腦的 IP 位址。 |
| -? 或 /? | 在命令提示字元顯示簡短說明。 |
| -help 或 -h | 在命令提示字元顯示完整說明。 |
範例
若要將由憑證檔案識別的憑證金鑰保護裝置新增至磁碟機 E,請輸入:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
若要將由網域和使用者名稱識別的 adaccountorgroup 金鑰保護裝置新增至磁碟機 E,請輸入:
manage-bde -protectors -add E: -sid DOMAIN\user
若要停用保護,直到電腦重新啟動 3 次,請輸入:
manage-bde -protectors -disable C: -rc 3
若要刪除磁碟機 C 上所有 TPM 和啟動金鑰式金鑰保護裝置,請輸入:
manage-bde -protectors -delete C: -type tpmandstartupkey
若要列出磁碟機 C 的所有金鑰保護裝置,請輸入:
manage-bde -protectors -get C:
若要將磁碟機 C 的所有復原資訊備份到 AD DS,請輸入 (其中 -id 是要備份的特定金鑰保護裝置識別碼):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'