protectores manage-bde

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Administra los métodos de protección utilizados para la clave de cifrado de BitLocker.

Sintaxis

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

Parámetros

Parámetro Description
-get Muestra todos los métodos de protección de claves habilitados en la unidad y proporciona su tipo e identificador (ID).
-add Agrega métodos de protección de claves como se especifica mediante parámetros -add adicionales.
-delete Elimina los métodos de protección de claves usados por BitLocker. Todos los protectores de clave se quitarán de una unidad a menos que se utilicen los parámetros opcionales -delete para especificar los protectores que se van a eliminar. Cuando se elimina el último protector de una unidad, se deshabilita la protección de BitLocker de la unidad para asegurarse de que el acceso a los datos no se pierde accidentalmente.
-disable Deshabilita la protección, que permitirá a cualquier persona acceder a los datos cifrados haciendo que la clave de cifrado esté disponible de forma no segura en la unidad. No se quita ningún protector de clave. La protección se reanudará la próxima vez Windows arranque, a menos que se utilicen los parámetros opcionales -disable para especificar el número de reinicios.
-enable Habilita la protección quitando la clave de cifrado no segura de la unidad. Se aplicarán todos los protectores de clave configurados en la unidad.
-adbackup Hace una copia de seguridad de la información de recuperación de la unidad especificada Active Directory Domain Services (AD DS). Anexe el parámetro -id y especifique el identificador de una clave de recuperación específica de la que se debe hacer una copia de seguridad. Se requiere el parámetro -id.
-aadbackup Hace una copia de seguridad de toda la información de recuperación de la unidad especificada Azure Active Directory (Azure AD). Anexe el parámetro -id y especifique el identificador de una clave de recuperación específica de la que se debe hacer una copia de seguridad. Se requiere el parámetro -id.
<drive> Representa la letra de una unidad seguida del signo de dos puntos.
-computername Especifica que manage-bde.exe se usará para modificar la protección de BitLocker en un equipo diferente. También puede usar -cn como versión abreviada de este comando.
<name> Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre NetBIOS del equipo y la dirección IP del equipo.
-? o /? Muestra una breve ayuda en el símbolo del sistema.
-help o -h Muestra la ayuda completa en el símbolo del sistema.

Parámetros -add adicionales

El parámetro -add también puede usar estos parámetros adicionales válidos.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parámetro Description
<drive> Representa la letra de una unidad seguida del signo de dos puntos.
-recoverypassword Agrega un protector numérico de contraseña. También puede usar -rp como una versión abreviada de este comando.
<numericalpassword> Representa la contraseña de recuperación.
-recoverykey Agrega un protector de clave externa para la recuperación. También puede usar -rk como una versión abreviada de este comando.
<pathtoexternalkeydirectory> Representa la ruta de acceso del directorio a la clave de recuperación.
-startupkey Agrega un protector de clave externa para el inicio. También puede usar -sk como versión abreviada de este comando.
<pathtoexternalkeydirectory> Representa la ruta de acceso del directorio a la clave de inicio.
-certificate Agrega un protector de clave pública para una unidad de datos. También puede usar -cert como versión abreviada de este comando.
-cf Especifica que se usará un archivo de certificado para proporcionar el certificado de clave pública.
<pathtocertificatefile> Representa la ruta de acceso del directorio al archivo de certificado.
-ct Especifica que se usará una huella digital del certificado para identificar el certificado de clave pública.
<certificatethumbprint> Especifica el valor de la propiedad de huella digital del certificado que desea usar. Por ejemplo, un valor de huella digital de certificado de a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b debe especificarse como a909502ddd82ae41433e6f83886b00d427a32a7b.
-tpmandpin Agrega un protector Módulo de plataforma segura (TPM) y un número de identificación personal (PIN) para la unidad del sistema operativo. También puede usar -tp como versión abreviada de este comando.
-tpmandstartupkey Agrega un TPM y un protector de clave de inicio para la unidad del sistema operativo. También puede usar - debug como una versión abreviada de este comando.
-tpmandpinandstartupkey Agrega un protector de TPM, PIN y clave de inicio para la unidad del sistema operativo. También puede usar -tpsk como una versión abreviada de este comando.
-password Agrega un protector de clave de contraseña para la unidad de datos. También puede usar -pw como una versión abreviada de este comando.
-adaccountorgroup Agrega un protector de identidad basado en identificador de seguridad (SID) para el volumen. También puede usar -sid como una versión abreviada de este comando. IMPORTANTE: De forma predeterminada, no se puede agregar un protector de ADaccountorgroup de forma remota mediante WMI o manage-bde. Si la implementación requiere la capacidad de agregar este protector de forma remota, debe habilitar la delegación restringida.
-computername Especifica que manage-bde se usa para modificar la protección de BitLocker en un equipo diferente. También puede usar -cn como versión abreviada de este comando.
<name> Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre NetBIOS del equipo y la dirección IP del equipo.
-? o /? Muestra una breve ayuda en el símbolo del sistema.
-help o -h Muestra la ayuda completa en el símbolo del sistema.

Parámetros -delete adicionales

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parámetro Description
<drive> Representa la letra de una unidad seguida del signo de dos puntos.
-type Identifica el protector de clave que se eliminará. También puede usar -t como una versión abreviada de este comando.
recoverypassword Especifica que se deben eliminar los protectores de clave de contraseña de recuperación.
externalkey Especifica que se deben eliminar los protectores de clave externos asociados a la unidad.
certificado Especifica que se deben eliminar los protectores de clave de certificado asociados a la unidad.
Tpm Especifica que se deben eliminar todos los protectores de clave solo TPM asociados a la unidad.
tpmandstartupkey Especifica que se deben eliminar todos los protectores de clave basados en claves de inicio y TPM asociados a la unidad.
tpmandpin Especifica que se deben eliminar todos los protectores de clave basados en TPM y PIN asociados a la unidad.
tpmandpinandstartupkey Especifica que se deben eliminar todos los protectores de clave basados en claves de inicio, PIN y TPM asociados a la unidad.
password Especifica que se deben eliminar los protectores de clave de contraseña asociados a la unidad.
identity Especifica que se deben eliminar todos los protectores de clave de identidad asociados a la unidad.
-ID Identifica el protector de clave que se debe eliminar mediante el identificador de clave. Este parámetro es una opción alternativa al parámetro -type.
<keyprotectorID> Identifica un protector de clave individual en la unidad que se desea eliminar. Los IDs del protector de clave se pueden mostrar mediante el comando manage-bde -protectors -get.
-computername Especifica que manage-bde.exe se usará para modificar la protección de BitLocker en otro equipo. También puede usar -cn como versión abreviada de este comando.
<name> Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre NetBIOS del equipo y la dirección IP del equipo.
-? o /? Muestra una breve ayuda en el símbolo del sistema.
-help o -h Muestra la ayuda completa en el símbolo del sistema.

Parámetros adicionales de deshabilitación

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parámetro Description
<drive> Representa la letra de una unidad seguida del signo de dos puntos.
rebootcount Especifica que la protección del volumen del sistema operativo se ha suspendido y se reanudará después Windows se haya reiniciado el número de veces especificado en el parámetro rebootcount. Especifique 0 para suspender la protección indefinidamente. Si no se especifica este parámetro, la protección de BitLocker se reanuda automáticamente después Windows se reinicia. También puede usar -rc como una versión abreviada de este comando.
-computername Especifica que manage-bde.exe se usará para modificar la protección de BitLocker en otro equipo. También puede usar -cn como versión abreviada de este comando.
<name> Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre NetBIOS del equipo y la dirección IP del equipo.
-? o /? Muestra una breve ayuda en el símbolo del sistema.
-help o -h Muestra la ayuda completa en el símbolo del sistema.

Ejemplos

Para agregar un protector de clave de certificado, identificado por un archivo de certificado, para la unidad E, escriba:

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Para agregar un protector de clave adaccountorgroup, identificado por dominio y nombre de usuario, para la unidad E, escriba:

manage-bde -protectors -add E: -sid DOMAIN\user

Para deshabilitar la protección hasta que el equipo se haya reiniciado tres veces, escriba:

manage-bde -protectors -disable C: -rc 3

Para eliminar todos los protectores de claves basadas en claves de inicio y TPM en la unidad C, escriba:

manage-bde -protectors -delete C: -type tpmandstartupkey

Para hacer una copia de seguridad de toda la información de recuperación de la unidad C AD DS, escriba:

manage-bde -protectors -adbackup C:

Referencias adicionales