manage-bde on
Verschlüsselt das Laufwerk und aktiviert BitLocker.
Syntax
manage-bde –on <drive> {[-recoverypassword <numericalpassword>]|[-recoverykey <pathtoexternaldirectory>]|[-startupkey <pathtoexternalkeydirectory>]|[-certificate]|
[-tpmandpin]|[-tpmandpinandstartupkey <pathtoexternalkeydirectory>]|[-tpmandstartupkey <pathtoexternalkeydirectory>]|[-password]|[-ADaccountorgroup <domain\account>]}
[-usedspaceonly][-encryptionmethod {aes128_diffuser|aes256_diffuser|aes128|aes256}] [-skiphardwaretest] [-discoveryvolumetype <filesystemtype>] [-forceencryptiontype <type>] [-removevolumeshadowcopies][-computername <name>]
[{-?|/?}] [{-help|-h}]
Parameter
| Parameter | BESCHREIBUNG |
|---|---|
<drive> |
Stellt einen von einem Doppelpunkt gefolgten Laufwerkbuchstaben dar. |
| -recoverypassword | Fügt eine numerische Kennwortschutzvorrichtung hinzu. Sie können auch -rp als abgekürzte Version dieses Befehls verwenden. |
<numericalpassword> |
Stellt das Wiederherstellungskennwort dar. |
| -recoverykey | Fügt eine Schutzvorrichtung für externe Schlüssel für die Wiederherstellung hinzu. Sie können auch -rk als abgekürzte Version dieses Befehls verwenden. |
<pathtoexternaldirectory> |
Stellt den Verzeichnispfad des Wiederherstellungsschlüssels dar. |
| -startupkey | Fügt eine Schutzvorrichtung für externe Schlüssel für den Start hinzu. Sie können auch -sk als abgekürzte Version dieses Befehls verwenden. |
<pathtoexternalkeydirectory> |
Stellt den Verzeichnispfad des Startschlüssels dar. |
| -certificate | Fügt eine Schutzvorrichtung für öffentliche Schlüssel für ein Datenlaufwerk hinzu. Sie können auch -cert als abgekürzte Version dieses Befehls verwenden. |
| -tpmandpin | Fügt eine TPM- (Trusted Platform Module) und eine PIN-Schutzvorrichtung (persönliche Identifikationsnummer) für das Betriebssystemlaufwerk hinzu. Sie können auch -tp als abgekürzte Version dieses Befehls verwenden. |
| -tpmandstartupkey | Fügt eine TPM- und Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können auch -tsk als abgekürzte Version dieses Befehls verwenden. |
| -tpmandpinandstartupkey | Fügt eine TPM-, PIN- und Startschlüsselschutzvorrichtung für das Betriebssystemlaufwerk hinzu. Sie können auch -tpsk als abgekürzte Version dieses Befehls verwenden. |
| -password | Fügt eine Kennwortschlüsselschutzvorrichtung für das Datenlaufwerk hinzu. Sie können auch -pw als abgekürzte Version dieses Befehls verwenden. |
| -ADaccountorgroup | Fügt eine SID-basierte Identitätsschutzvorrichtung für das Volume hinzu. Das Volume wird automatisch entsperrt, wenn der Benutzer oder Computer über die richtigen Anmeldeinformationen verfügt. Wenn Sie ein Computerkonto angeben, fügen Sie $ an den Computernamen an, und geben Sie –service an, um anzugeben, dass die Entsperrung im Inhalt des BitLocker-Servers anstelle des Benutzers erfolgen soll. Sie können auch -sid als abgekürzte Version dieses Befehls verwenden. |
| -usedspaceonly | Legt fest, dass der Verschlüsselungsmodus nur verwendeten Speicherplatz verschlüsselt. Die Abschnitte des Volumes, die verwendeten Speicherplatz enthalten, werden verschlüsselt, der freie Speicherplatz jedoch nicht. Wenn diese Option nicht angegeben ist, werden der gesamte verwendete Speicherplatz und der freie Speicherplatz auf dem Volume verschlüsselt. Sie können auch -used als abgekürzte Version dieses Befehls verwenden. |
| -encryptionMethod | Konfiguriert den Verschlüsselungsalgorithmus und die Schlüsselgröße. Sie können auch -em als abgekürzte Version dieses Befehls verwenden. |
| -skiphardwaretest | Beginnt die Verschlüsselung, ohne die Hardware zu testen. Sie können auch -s als abgekürzte Version dieses Befehls verwenden. |
| -discoveryvolumetype | Gibt das Dateisystem an, das für das Ermittlungsdatenlaufwerk verwendet werden soll. Das Ermittlungsdatenlaufwerk ist ein ausgeblendetes Laufwerk, das einem FAT-formatierten, BitLocker-geschützten Wechseldatenträger hinzugefügt wird, der den BitLocker To Go-Reader enthält. |
| -forceencryptiontype | Erzwingt, dass BitLocker entweder Software- oder Hardwareverschlüsselung verwendet. Sie können entweder Hardware oder Software als Verschlüsselungstyp angeben. Wenn der Parameter Hardware ausgewählt ist, das Laufwerk jedoch keine Hardwareverschlüsselung unterstützt, gibt manage-bde einen Fehler zurück. Wenn Gruppenrichtlinieneinstellungen den angegebenen Verschlüsselungstyp verbieten, gibt manage-bde einen Fehler zurück. Sie können auch -fet als abgekürzte Version dieses Befehls verwenden. |
| -removevolumeshadowcopies | Erzwingt die Löschung von Schattenkopien für das Volume. Sie können dieses Volume nicht mit vorherigen Systemwiederherstellungspunkten wiederherstellen, nachdem Sie diesen Befehl ausgeführt haben. Sie können auch -rvsc als abgekürzte Version dieses Befehls verwenden. |
<filesystemtype> |
Gibt an, welche Dateisysteme für Ermittlungsdatenlaufwerke verwendet werden können: FAT32, Standard oder keine. |
| -computername | Gibt an, dass manage-bde zum Ändern des BitLocker-Schutzes auf einem anderen Computer verwendet wird. Sie können auch -cn als abgekürzte Version dieses Befehls verwenden. |
<name> |
Stellt den Namen des Computers dar, auf dem der BitLocker-Schutz geändert werden soll. Zu den akzeptierten Werten gehören der NetBIOS-Name des Computers und die IP-Adresse des Computers. |
| -? oder /? | Zeigt eine kurze Hilfe an der Eingabeaufforderung an. |
| -help oder -h | Zeigt die vollständige Hilfe an der Eingabeaufforderung an. |
Beispiele
Um BitLocker für Laufwerk C zu aktivieren und dem Laufwerk ein Wiederherstellungskennwort hinzuzufügen, geben Sie Folgendes ein:
manage-bde –on C: -recoverypassword
Um BitLocker für Laufwerk C zu aktivieren, dem Laufwerk ein Wiederherstellungskennwort hinzuzufügen und einen Wiederherstellungsschlüssel auf Laufwerk E zu speichern, geben Sie Folgendes ein:
manage-bde –on C: -recoverykey E:\ -recoverypassword
Um BitLocker für Laufwerk C zu aktivieren, sodass das Betriebssystemlaufwerk mithilfe einer externen Schlüsselschutzvorrichtung (z. B. einem USB-Stick) entsperrt wird, geben Sie Folgendes ein:
manage-bde -on C: -startupkey E:\
Wichtig
Diese Methode ist erforderlich, wenn Sie BitLocker mit Computern ohne TPM verwenden.
Um BitLocker für Laufwerk E zu aktivieren und eine Kennwortschlüsselschutzvorrichtung hinzuzufügen, geben Sie Folgendes ein:
manage-bde –on E: -pw
Um BitLocker für Betriebssystemlaufwerk C zu aktivieren und die hardwarebasierte Verschlüsselung zu verwenden, geben Sie Folgendes ein:
manage-bde –on C: -fet hardware