Partilhar via


manage-bde on

Criptografa a unidade e ativa o BitLocker.

Sintaxe

manage-bde –on <drive> {[-recoverypassword <numericalpassword>]|[-recoverykey <pathtoexternaldirectory>]|[-startupkey <pathtoexternalkeydirectory>]|[-certificate]|
[-tpmandpin]|[-tpmandpinandstartupkey <pathtoexternalkeydirectory>]|[-tpmandstartupkey <pathtoexternalkeydirectory>]|[-password]|[-ADaccountorgroup <domain\account>]}
[-usedspaceonly][-encryptionmethod {aes128_diffuser|aes256_diffuser|aes128|aes256}] [-skiphardwaretest] [-discoveryvolumetype <filesystemtype>] [-forceencryptiontype <type>] [-removevolumeshadowcopies][-computername <name>]
[{-?|/?}] [{-help|-h}]

Parâmetros

Parâmetro Descrição
<drive> Representa uma letra de unidade seguida de dois-pontos.
-recoverypassword Adiciona um protetor de senha numérico. Você também pode usar -rp como uma versão abreviada desse comando.
<numericalpassword> Representa a senha de recuperação.
-recoverykey Adiciona um protetor de chave externa para recuperação. Você também pode usar -rk como uma versão abreviada desse comando.
<pathtoexternaldirectory> Representa o caminho do diretório para a chave de recuperação.
-startupkey Adiciona um protetor de chave externa para inicialização. Você também pode usar -sk como uma versão abreviada desse comando.
<pathtoexternalkeydirectory> Representa o caminho do diretório para a chave de inicialização.
-certificate Adiciona um protetor de chave pública para uma unidade de dados. Você também pode usar -cert como uma versão abreviada desse comando.
-tpmandpin Adiciona um TPM (Trusted Platform Module) e um protetor de PIN (número de identificação pessoal) para a unidade do sistema operacional. Você também pode usar -tp como uma versão abreviada desse comando.
-tpmandstartupkey Adiciona um TPM e um protetor de chave de inicialização para a unidade do sistema operacional. Você também pode usar -tsk como uma versão abreviada desse comando.
-tpmandpinandstartupkey Adiciona um protetor de chave de inicialização, PIN e TPM para a unidade do sistema operacional. Você também pode usar -tpsk como uma versão abreviada desse comando.
-password Adiciona um protetor de chave de senha para a unidade de dados. Você também pode usar -pw como uma versão abreviada desse comando.
-ADaccountorgroup Adiciona um protetor de identidade baseado em SID para o volume. O volume será desbloqueado automaticamente se o usuário ou o computador tiver as credenciais adequadas. Ao especificar uma conta de computador, acrescente um $ ao nome do computador e especifique –service para indicar que o desbloqueio deve ocorrer no conteúdo do servidor BitLocker em vez do usuário. Você também pode usar -sid como uma versão abreviada desse comando.
-usedspaceonly Define o modo de criptografia como criptografia Somente Espaço Usado. As seções do volume contendo o espaço usado serão criptografadas, mas o espaço livre não será. Se essa opção não for especificada, todo o espaço usado e o espaço livre no volume serão criptografados. Você também pode usar -used como uma versão abreviada desse comando.
-encryptionMethod Configura o algoritmo de criptografia e o tamanho da chave. Você também pode usar -em como uma versão abreviada desse comando.
-skiphardwaretest Inicia a criptografia sem um teste de hardware. Você também pode usar -s como uma versão abreviada desse comando.
-discoveryvolumetype Especifica o sistema de arquivos a ser usado para a unidade de dados de descoberta. A unidade de dados de descoberta é uma unidade oculta adicionada a uma unidade de dados removível formatada em FAT e protegida pelo BitLocker, que contém o Leitor BitLocker To Go.
-forceencryptiontype Força o BitLocker a usar a criptografia de hardware ou software. Você pode especificar Hardware ou Software como o tipo de criptografia. Se o parâmetro hardware estiver selecionado, mas a unidade não der suporte à criptografia de hardware, manage-bde retornará um erro. Se as configurações da Política de Grupo proibir o tipo de criptografia especificado, manage-bde retornará um erro. Você também pode usar -fet como uma versão abreviada desse comando.
-removevolumeshadowcopies Force a exclusão de Cópias de Sombra de Volume para o volume. Você não poderá restaurar esse volume usando pontos de restauração do sistema anteriores depois de executar esse comando. Você também pode usar -rvsc como uma versão abreviada desse comando.
<filesystemtype> Especifica quais sistemas de arquivos podem ser usados com unidades de dados de descoberta: FAT32, padrão ou nenhum.
-computername Especifica que manage-bde está sendo usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando.
<name> Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele.
-? ou /? Exibe uma pequena Ajuda no prompt de comando.
-help ou -h Exibe uma Ajuda completa na solicitação de comando.

Exemplos

Para ativar o BitLocker para a unidade C e adicionar uma senha de recuperação à unidade, digite:

manage-bde –on C: -recoverypassword

Para ativar o BitLocker para a unidade C, adicione uma senha de recuperação à unidade e, para salvar uma chave de recuperação para a unidade E, digite:

manage-bde –on C: -recoverykey E:\ -recoverypassword

Para ativar o BitLocker para a unidade C, usando um protetor de chave externa (como uma chave USB) para desbloquear a unidade do sistema operacional, digite:

manage-bde -on C: -startupkey E:\

Importante

Esse método será necessário se você estiver usando o BitLocker com computadores que não têm um TPM.

Para ativar o BitLocker para a unidade de dados E e adicionar um protetor de chave de senha, digite:

manage-bde –on E: -pw

Para ativar o BitLocker para a unidade do sistema operacional C e usar a criptografia baseada em hardware, digite:

manage-bde –on C: -fet hardware