Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляет методами защиты, используемыми для ключа шифрования BitLocker.
Syntax
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameters
| Parameter | Description |
|---|---|
| -get | Отображает все методы защиты ключей, включенные на диске, и предоставляет их тип и идентификатор (идентификатор). |
| -add | Добавляет методы защиты ключей, указанные с помощью дополнительных параметров -add . |
| -delete | Удаляет методы защиты ключей, используемые BitLocker. Все протекторы клавиш будут удалены с диска, если не используются необязательные параметры -delete для указания того, какие протекторы следует удалить. При удалении последнего предохранителя на диске защита BitLocker отключается, чтобы убедиться, что доступ к данным не будет потерян непреднамеренно. |
| -disable | Отключает защиту, которая позволит любому пользователю получить доступ к зашифрованным данным, сделав ключ шифрования доступным небезопасным на диске. Никакие средства защиты ключей не удаляются. Защита будет возобновлена при следующей загрузке Windows, если для указания количества перезагрузок не используются необязательные параметры -disable . |
| -enable | Обеспечивает защиту, удаляя незащищенный ключ шифрования с диска. Все настроенные средства защиты ключей на диске будут применены. |
| -adbackup | Резервное копирование данных восстановления для диска, указанного в службах домен Active Directory (AD DS). Добавьте параметр -id и укажите идентификатор конкретного ключа восстановления для резервного копирования. Параметр -id является обязательным. |
| -aadbackup | Резервное копирование всех сведений о восстановлении диска, указанного в идентификаторе Microsoft Entra. Добавьте параметр -id и укажите идентификатор конкретного ключа восстановления для резервного копирования. Параметр -id является обязательным. |
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? or /? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -add
Параметр -add также может использовать эти допустимые дополнительные параметры.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -recoverypassword | Добавляет числовое средство защиты паролей. Вы также можете использовать -rp в качестве сокращенной версии этой команды. |
<numericalpassword> |
Представляет пароль восстановления. |
| -recoverykey | Добавляет внешний средство защиты ключей для восстановления. Вы также можете использовать -rk в качестве сокращенной версии этой команды. |
<pathtoexternalkeydirectory> |
Представляет путь к каталогу ключа восстановления. |
| -startupkey | Добавляет внешний средство защиты ключей для запуска. Вы также можете использовать -sk в качестве сокращенной версии этой команды. |
<pathtoexternalkeydirectory> |
Представляет путь каталога к ключу запуска. |
| -certificate | Добавляет средство защиты открытого ключа для диска данных. Вы также можете использовать -cert в качестве сокращенной версии этой команды. |
| -cf | Указывает, что файл сертификата будет использоваться для предоставления сертификата открытого ключа. |
<pathtocertificatefile> |
Представляет путь к каталогу к файлу сертификата. |
| -ct | Указывает, что отпечаток сертификата будет использоваться для идентификации сертификата открытого ключа. |
<certificatethumbprint> |
Указывает значение свойства отпечатка сертификата, который требуется использовать. Например, значение отпечатка сертификата 9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3a 7b должно быть указано как a909502d82a2ae4143e6f8886b0d427a3a7b. |
| -tpmandpin | Добавляет доверенный модуль платформы (TPM) и личные идентификаторы пин-кода для диска операционной системы. Вы также можете использовать -tp в качестве сокращенной версии этой команды. |
| -tpmandstartupkey | Добавляет средство защиты доверенного платформенного модуля и ключа запуска для диска операционной системы. Вы также можете использовать -tsk в качестве сокращенной версии этой команды. |
| -tpmandpinandstartupkey | Добавляет модуль TPM, ПИН-код и средство защиты ключей запуска для диска операционной системы. Вы также можете использовать -tpsk в качестве сокращенной версии этой команды. |
| -password | Добавляет средство защиты ключа пароля для диска данных. Вы также можете использовать -pw в качестве сокращенной версии этой команды. |
| -adaccountorgroup | Добавляет средство защиты удостоверений на основе безопасности для тома. Вы также можете использовать -sid в качестве сокращенной версии этой команды. ВАЖНЫЙ: По умолчанию вы не можете добавить протектор ADaccountorgroup удаленно с помощью WMI или manage-bde. Если для развертывания требуется возможность удаленного добавления этого средства защиты, необходимо включить ограниченное делегирование. |
| -computername | Указывает, что управление bde используется для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? or /? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -delete
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| -type | Определяет средство защиты ключа для удаления. Вы также можете использовать -t в качестве сокращенной версии этой команды. |
| recoverypassword | Указывает, что все средства защиты ключей восстановления должны быть удалены. |
| externalkey | Указывает, что все внешние средства защиты ключей, связанные с диском, должны быть удалены. |
| certificate | Указывает, что все средства защиты ключей сертификата, связанные с диском, должны быть удалены. |
| tpm | Указывает, что следует удалить все средства защиты ключей, доступные только для доверенного платформенного модуля, связанные с диском. |
| tpmandstartupkey | Указывает, что следует удалить все средства защиты ключей на основе ключа TPM и ключа запуска, связанные с диском. |
| tpmandpin | Указывает, что все средства защиты ключей на основе TPM и ПИН-кода, связанные с диском, должны быть удалены. |
| tpmandpinandstartupkey | Указывает, что следует удалить все средства защиты ключей на основе ключа на основе TPM, ПИН-кода и ключа запуска, связанные с диском. |
| password | Указывает, что все средства защиты ключей паролей, связанные с диском, должны быть удалены. |
| identity | Указывает, что все средства защиты ключей идентификации, связанные с диском, должны быть удалены. |
| -ID | Определяет средство защиты ключей для удаления с помощью идентификатора ключа. Этот параметр является альтернативой параметру -type . |
<keyprotectorID> |
Определяет отдельный предохранитель ключа на диске для удаления. Идентификаторы средств защиты ключей можно отобразить с помощью команды manage-bde -protectors -get . |
| -computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? or /? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Дополнительные параметры -disable
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
Представляет букву диска, за которой следует двоеточие. |
| rebootcount | Указывает, что защита тома операционной системы была приостановлена и возобновится после перезапуска Windows количество раз, указанное в параметре rebootcount . Укажите 0 , чтобы приостановить защиту на неопределенный срок. Если этот параметр не указан, защита BitLocker автоматически возобновляется после перезапуска Windows. Вы также можете использовать -rc в качестве сокращенной версии этой команды. |
| -computername | Указывает, что manage-bde.exe будет использоваться для изменения защиты BitLocker на другом компьютере. Вы также можете использовать -cn в качестве сокращенной версии этой команды. |
<name> |
Представляет имя компьютера, на котором необходимо изменить защиту BitLocker. Допустимые значения включают имя NetBIOS компьютера и IP-адрес компьютера. |
| -? or /? | Отображает краткую справку в командной строке. |
| -help или -h | Отображает полную справку в командной строке. |
Examples
Чтобы добавить средство защиты ключа сертификата, определяемое файлом сертификата, для диска E введите:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Чтобы добавить на диск E протектор ключей adaccountorgroup , определяемый по домену и имени пользователя, введите:
manage-bde -protectors -add E: -sid DOMAIN\user
Чтобы отключить защиту до перезагрузки компьютера 3 раза, введите:
manage-bde -protectors -disable C: -rc 3
Чтобы удалить все средства защиты ключей на основе ключей на основе ключей TPM на диске C, введите:
manage-bde -protectors -delete C: -type tpmandstartupkey
Чтобы перечислить все средства защиты ключей для диска C, введите следующее:
manage-bde -protectors -get C:
Чтобы создать резервную копию всех сведений о восстановлении для диска C в AD DS, введите (где -id идентификатор конкретного предохранителя ключей для резервного копирования):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'