manage-bde protectors
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
管理用于 BitLocker 加密密钥的保护方法。
语法
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
参数
| 参数 | 说明 |
|---|---|
| -get | 显示驱动器上启用的所有密钥保护方法,并提供其类型和标识符 (ID)。 |
| -add | 使用其他 -add 参数添加指定的密钥保护方法。 |
| -delete | 删除 BitLocker 使用的密钥保护方法。 所有密钥保护程序都将从驱动器中删除,除非使用可选的 -delete 参数指定要删除的保护程序。 删除驱动器上的最后一个保护程序后,将禁用驱动器的 BitLocker 保护,以确保不会意外丢失对数据的访问。 |
| -disable | 禁用保护,这将允许任何人通过在驱动器上不安全地提供加密密钥来访问加密数据。 不会删除密钥保护程序。 除非使用可选的 -disable 参数指定重启计数,否则下次启动 Windows 时将恢复保护。 |
| -enable | 通过从驱动器中删除不安全的加密密钥来启用保护。 将强制执行驱动器上配置的所有密钥保护程序。 |
| -adbackup | 将指定驱动器的恢复信息备份到 Active Directory 域服务 (AD DS)。 附加 -id 参数,并指定要备份的特定恢复密钥的 ID。 /id 参数是必需的。 |
| -aadbackup | 备份指定给 Microsoft Entra ID 的驱动器的所有恢复信息。 附加 -id 参数,并指定要备份的特定恢复密钥的 ID。 /id 参数是必需的。 |
<drive> |
表示后接冒号的驱动器号。 |
| -computername | 指定要使用 manage-bde.exe 来修改另一台计算机上的 BitLocker 保护。 还可以使用 -cn 作为此命令的缩写版本。 |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? 或 /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
附加的 -add 参数
-add 参数还可以使用这些有效的附加参数。
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| 参数 | 说明 |
|---|---|
<drive> |
表示后接冒号的驱动器号。 |
| -recoverypassword | 添加数字密码保护程序。 还可以使用 -rp 作为此命令的缩写版本。 |
<numericalpassword> |
表示恢复密码。 |
| -recoverykey | 添加用于恢复的外部密钥保护程序。 还可以使用 -rk 作为此命令的缩写版本。 |
<pathtoexternalkeydirectory> |
表示恢复密钥的目录路径。 |
| -startupkey | 添加用于启动的外部密钥保护程序。 还可以使用 -sk 作为此命令的缩写版本。 |
<pathtoexternalkeydirectory> |
表示启动密钥的目录路径。 |
| -certificate | 为数据驱动器添加公钥保护程序。 还可以使用 -cert 作为此命令的缩写版本。 |
| -cf | 指定将使用证书文件来提供公钥证书。 |
<pathtocertificatefile> |
表示证书文件的目录路径。 |
| -ct | 指定将使用证书指纹来标识公钥证书 |
<certificatethumbprint> |
指定要使用的证书的指纹属性的值。 例如,a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b 的证书指纹值应指定为 a909502dd82ae41433e6f83886b00d4277a32a7b。 |
| -tpmandpin | 为操作系统驱动器添加受信任的平台模块 (TPM) 和个人标识号 (PIN) 保护程序。 还可以使用 -tp 作为此命令的缩写版本。 |
| -tpmandstartupkey | 为操作系统驱动器添加 TPM 和启动密钥保护程序。 还可以使用 -tsk 作为此命令的缩写版本。 |
| -tpmandpinandstartupkey | 为操作系统驱动器添加 TPM、PIN 和启动密钥保护程序。 还可以使用 -tpsk 作为此命令的缩写版本。 |
| -password | 为数据驱动器添加密码密钥保护程序。 还可以使用 -pw 作为此命令的缩写版本。 |
| -adaccountorgroup | 为卷添加基于安全标识符 (SID) 的标识保护程序。 还可以使用 -sid 作为此命令的缩写版本。 重要提示:默认情况下,不能使用 WMI 或 manage-bde 远程添加 ADaccountorgroup 保护程序。 如果部署需要远程添加此保护程序的功能,则必须启用约束委派。 |
| -computername | 指定正在使用 manage-bde 修改另一台计算机上的 BitLocker 保护。 还可以使用 -cn 作为此命令的缩写版本。 |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? 或 /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
附加的 -delete 参数
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| 参数 | 说明 |
|---|---|
<drive> |
表示后接冒号的驱动器号。 |
| -type | 标识要删除的密钥保护程序。 还可以使用 -t 作为此命令的缩写版本。 |
| recoverypassword | 指定应删除任何恢复密码密钥保护程序。 |
| externalkey | 指定应删除与驱动器关联的任何外部密钥保护程序。 |
| 证书 (certificate) | 指定应删除与驱动器关联的任何证书密钥保护程序。 |
| tpm | 指定应删除与驱动器关联的任何仅 TPM 密钥保护程序。 |
| tpmandstartupkey | 指定应删除与驱动器关联的任何基于 TPM 和启动密钥的密钥保护程序。 |
| tpmandpin | 指定应删除与驱动器关联的任何基于 TPM 和 PIN 的密钥保护程序。 |
| tpmandpinandstartupkey | 指定应删除与驱动器关联的任何基于 TPM、PIN 和启动密钥的密钥保护程序。 |
| password | 指定应删除与驱动器关联的任何密码密钥保护程序。 |
| identity | 指定应删除与驱动器关联的任何标识密钥保护程序。 |
| -ID | 使用密钥标识符标识要删除的密钥保护程序。 此参数是 -type 参数的替代选项。 |
<keyprotectorID> |
标识驱动器上要删除的单个密钥保护程序。 可以使用 manage-bde -protectors -get 命令显示密钥保护程序 ID。 |
| -computername | 指定要使用 manage-bde.exe 来修改另一台计算机上的 BitLocker 保护。 还可以使用 -cn 作为此命令的缩写版本。 |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? 或 /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
附加的 -disable 参数
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| 参数 | 说明 |
|---|---|
<drive> |
表示后接冒号的驱动器号。 |
| rebootcount | 指定对操作系统卷的保护已暂停,并且将在重启 Windows 后按照 rebootcount 参数中指定的次数恢复。 指定“0”可无限期暂停保护。 如果未指定此参数,则 BitLocker 保护会在 Windows 重启后自动恢复。 还可以使用 -rc 作为此命令的缩写版本。 |
| -computername | 指定要使用 manage-bde.exe 来修改另一台计算机上的 BitLocker 保护。 还可以使用 -cn 作为此命令的缩写版本。 |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? 或 /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
示例
要将由证书文件标识的证书密钥保护程序添加到驱动器 E,请键入:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
要将由域和用户名标识的 adaccountorgroup 密钥保护程序添加到驱动器 E,请键入:
manage-bde -protectors -add E: -sid DOMAIN\user
要在计算机重启 3 次之前禁用保护,请键入:
manage-bde -protectors -disable C: -rc 3
要删除驱动器 C 上所有基于 TPM 和启动密钥的密钥保护程序,请键入:
manage-bde -protectors -delete C: -type tpmandstartupkey
要列出驱动器 C 的所有密钥保护程序,请键入:
manage-bde -protectors -get C:
要将驱动器 C 的所有恢复信息备份到 AD DS,请键入(其中 -id 是要备份的特定密钥保护程序的 ID):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'