manage-bde protectors
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Administra los métodos de protección usados para la clave de cifrado de BitLocker.
Sintaxis
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parámetros
| Parámetro | Descripción |
|---|---|
| -get | Muestra todos los métodos de protección de claves habilitados en la unidad y proporciona su tipo e identificador (ID). |
| -add | Agrega métodos de protección de claves tal como se especifican mediante parámetros -add adicionales. |
| -delete | Elimina los métodos de protección de claves utilizados por BitLocker. Todos los protectores de clave se quitarán de una unidad a menos que se usen los parámetros opcionales -delete para especificar qué protectores eliminar. Cuando se elimina el último protector de una unidad, se deshabilita la protección de BitLocker de la unidad para asegurarse de que el acceso a los datos no se pierde accidentalmente. |
| -disable | Deshabilita la protección, lo que permitirá a cualquier persona acceder a los datos cifrados haciendo que la clave de cifrado esté disponible sin proteger en la unidad. No se quita ningún protector de clave. La protección se reanudará la próxima vez que se inicie Windows a menos que se usen los parámetros opcionales -disable para especificar el recuento de reinicios. |
| -enable | Habilita la protección quitando la clave de cifrado no seguro de la unidad. Se aplicarán todos los protectores de clave configurados en la unidad. |
| -adbackup | Realiza una copia de seguridad de la información de recuperación de la unidad especificada en Active Directory Domain Services (AD DS). Anexe el parámetro -id y especifique el identificador de una clave de recuperación específica para realizar una copia de seguridad. Se requiere el parámetro -id. |
| -aadbackup | Realiza una copia de seguridad de toda la información de recuperación de la unidad especificada en Microsoft Entra ID. Anexe el parámetro -id y especifique el identificador de una clave de recuperación específica para realizar una copia de seguridad. Se requiere el parámetro -id. |
<drive> |
Representa la letra de una unidad seguida del signo de dos puntos. |
| -computername | Especifica que manage-bde.exe se usará para modificar la protección de BitLocker en un equipo diferente. También puede usar -cn como una versión abreviada de este comando. |
<name> |
Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre de NetBIOS del equipo y la dirección IP del mismo. |
| -? o /? | Muestra una breve Ayuda en el símbolo del sistema. |
| -help o -h | Muestra la Ayuda completa en el símbolo del sistema. |
Parámetros -add adicionales
El parámetro -add también puede usar estos parámetros adicionales válidos.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parámetro | Descripción |
|---|---|
<drive> |
Representa la letra de una unidad seguida del signo de dos puntos. |
| -recoverypassword | Agrega un protector de contraseña numérico. También puede usar -rp como una versión abreviada de este comando. |
<numericalpassword> |
Representa la contraseña de recuperación. |
| -recoverykey | Agrega un protector de clave externa para la recuperación. También puede usar -rk como una versión abreviada de este comando. |
<pathtoexternalkeydirectory> |
Representa la ruta de acceso del directorio a la clave de recuperación. |
| -startupkey | Agrega un protector de clave externa para el inicio. También puede usar -sk como una versión abreviada de este comando. |
<pathtoexternalkeydirectory> |
Representa la ruta de acceso del directorio a la clave de inicio. |
| -certificate | Agrega un protector de clave pública para una unidad de datos. También puede usar -cert como una versión abreviada de este comando. |
| -cf | Especifica que se usará un archivo de certificado para proporcionar el certificado de clave pública. |
<pathtocertificatefile> |
Representa la ruta de acceso del directorio al archivo de certificado. |
| -ct | Especifica que se usará una huella digital de certificado para identificar el certificado de clave pública |
<certificatethumbprint> |
Especifica el valor de la propiedad de huella digital del certificado que desea usar. Por ejemplo, un valor de huella digital de certificado de a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b debería especificarse como a909502dd82ae41433e6f83886b00d4277a32a7b. |
| -tpmandpin | Agrega un Módulo de plataforma segura (TPM) y un protector de número de identificación personal (PIN) para la unidad del sistema operativo. También puede usar -tp como una versión abreviada de este comando. |
| -tpmandstartupkey | Agrega un protector de clave de inicio y TPM para la unidad del sistema operativo. También puede usar -tsk como una versión abreviada de este comando. |
| -tpmandpinandstartupkey | Agrega un protector TPM, PIN y clave de inicio para la unidad del sistema operativo. También puede usar -tpsk como una versión abreviada de este comando. |
| -password | Agrega un protector de clave de contraseña para la unidad de datos. También puede usar -pw como una versión abreviada de este comando. |
| -adaccountorgroup | Agrega un protector de identidad basado en identificadores de seguridad (SID) para el volumen. También puede usar -sid como una versión abreviada de este comando. IMPORTANTE: De manera predeterminada, no puede agregar un protector ADaccountorgroup de forma remota usando WMI o manage-bde. Si la implementación requiere la capacidad de agregar este protector de forma remota, debe habilitar la delegación restringida. |
| -computername | Especifica que manage-bde.exe se usa para modificar la protección de BitLocker en un equipo diferente. También puede usar -cn como una versión abreviada de este comando. |
<name> |
Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre de NetBIOS del equipo y la dirección IP del mismo. |
| -? o /? | Muestra una breve Ayuda en el símbolo del sistema. |
| -help o -h | Muestra la Ayuda completa en el símbolo del sistema. |
Parámetros -delete adicionales
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parámetro | Descripción |
|---|---|
<drive> |
Representa la letra de una unidad seguida del signo de dos puntos. |
| -type | Identifica el protector de clave que se va a eliminar. También puede usar -t como una versión abreviada de este comando. |
| recoverypassword | Especifica que se deben eliminar los protectores de clave de contraseña de recuperación. |
| externalkey | Especifica que se deben eliminar los protectores de clave externos asociados a la unidad. |
| certificado | Especifica que se deben eliminar los protectores de clave de certificado asociados a la unidad. |
| tpm | Especifica que se deben eliminar los protectores de clave solo TPM asociados a la unidad. |
| tpmandstartupkey | Especifica que se deben eliminar los protectores de clave basados en clave de inicio y TPM asociados a la unidad. |
| tpmandpin | Especifica que se deben eliminar los protectores de clave basados en TPM y PIN asociados a la unidad. |
| tpmandpinandstartupkey | Especifica que se deben eliminar los protectores de clave basados en TPM, PIN y clave de inicio asociados a la unidad. |
| password | Especifica que se deben eliminar los protectores de clave de contraseña asociados a la unidad. |
| identity | Especifica que se deben eliminar los protectores de clave de identidad asociados a la unidad. |
| -ID | Identifica el protector de clave que se va a eliminar mediante el identificador de clave. Este parámetro es una opción alternativa al parámetro -type. |
<keyprotectorID> |
Identifica un protector de clave individual en la unidad que se va a eliminar. Los identificadores de protector de clave se pueden mostrar mediante el comando manage-bde -protectors -get. |
| -computername | Especifica que manage-bde.exe se usará para modificar la protección de BitLocker en un equipo diferente. También puede usar -cn como una versión abreviada de este comando. |
<name> |
Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre de NetBIOS del equipo y la dirección IP del mismo. |
| -? o /? | Muestra una breve Ayuda en el símbolo del sistema. |
| -help o -h | Muestra la Ayuda completa en el símbolo del sistema. |
Parámetros -disable adicionales
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parámetro | Descripción |
|---|---|
<drive> |
Representa la letra de una unidad seguida del signo de dos puntos. |
| rebootcount | Especifica que se ha suspendido la protección del volumen del sistema operativo y se reanudará después de reiniciar Windows el número de veces especificadas en el parámetro rebootcount. Especifique 0 para suspender la protección indefinidamente. Si no se especifica este parámetro, la protección de BitLocker se reanuda automáticamente después de reiniciar Windows. También puede usar -rc como una versión abreviada de este comando. |
| -computername | Especifica que manage-bde.exe se usará para modificar la protección de BitLocker en un equipo diferente. También puede usar -cn como una versión abreviada de este comando. |
<name> |
Representa el nombre del equipo en el que se va a modificar la protección de BitLocker. Los valores aceptados incluyen el nombre de NetBIOS del equipo y la dirección IP del mismo. |
| -? o /? | Muestra una breve Ayuda en el símbolo del sistema. |
| -help o -h | Muestra la Ayuda completa en el símbolo del sistema. |
Ejemplos
Para agregar un protector de clave de certificado, identificado por un archivo de certificado, a la unidad E, escriba:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Para agregar un protector de clave adaccountorgroup, identificado por dominio y nombre de usuario, a la unidad E, escriba:
manage-bde -protectors -add E: -sid DOMAIN\user
Para deshabilitar la protección hasta que el equipo se haya reiniciado 3 veces, escriba:
manage-bde -protectors -disable C: -rc 3
Para eliminar todos los protectores de clave basados en claves de inicio y TPM en la unidad C, escriba:
manage-bde -protectors -delete C: -type tpmandstartupkey
Para enumerar todos los protectores de clave de la unidad C, escriba:
manage-bde -protectors -get C:
Para realizar una copia de seguridad de toda la información de recuperación de la unidad C en AD DS, escriba (donde -id es el identificador del protector de clave específico para realizar una copia de seguridad):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'