Partilhar via


manage-bde protectors

Gerencia os métodos de proteção usados para a chave de criptografia do BitLocker.

Sintaxe

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

Parâmetros

Parâmetro Descrição
-get Exibe todos os métodos de proteção de chave habilitados na unidade e fornece seu tipo e identificador (ID).
-add Adiciona métodos de proteção de chave conforme especificado usando parâmetros -add adicionais.
-delete Exclui os métodos de proteção de chave usados pelo BitLocker. Todos os protetores de chave serão removidos de uma unidade, a menos que os parâmetros opcionais -delete sejam usados para especificar quais protetores devem ser excluídos. Quando o último protetor em uma unidade é excluído, a proteção do BitLocker da unidade é desabilitada para garantir que o acesso aos dados não seja perdido inadvertidamente.
-disable Desabilita a proteção, o que permitirá que qualquer pessoa acesse dados criptografados, disponibilizando a chave de criptografia sem segurança na unidade. Nenhum protetor de chave é removido. A proteção será retomada na próxima vez que o Windows for inicializado, a menos que os parâmetros -disable opcionais sejam usados para especificar a contagem de reinicialização.
-enable Habilita a proteção removendo a chave de criptografia não segura da unidade. Todos os protetores de chave configurados na unidade serão impostos.
-adbackup Faz backup das informações de recuperação da unidade especificada para o AD DS (Active Directory Domain Services). Acrescente o parâmetro -id e especifique a ID de uma chave de recuperação específica para fazer backup. O parâmetro -id é necessário.
-aadbackup Faz backup de todas as informações de recuperação da unidade especificada para o Microsoft Entra ID. Acrescente o parâmetro -id e especifique a ID de uma chave de recuperação específica para fazer backup. O parâmetro -id é necessário.
<drive> Representa uma letra de unidade seguida de dois-pontos.
-computername Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando.
<name> Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele.
-? ou /? Exibe uma pequena ajuda no prompt de comando.
-help ou -h Exibe uma ajuda completa no prompt de comando.

Parâmetros -add adicionais

O parâmetro -add também pode usar esses parâmetros adicionais válidos.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parâmetro Descrição
<drive> Representa uma letra de unidade seguida de dois-pontos.
-recoverypassword Adiciona um protetor de senha numérico. Você também pode usar -rp como uma versão abreviada desse comando.
<numericalpassword> Representa a senha de recuperação.
-recoverykey Adiciona um protetor de chave externa para recuperação. Você também pode usar -rk como uma versão abreviada desse comando.
<pathtoexternalkeydirectory> Representa o caminho do diretório para a chave de recuperação.
-startupkey Adiciona um protetor de chave externa para inicialização. Você também pode usar -sk como uma versão abreviada desse comando.
<pathtoexternalkeydirectory> Representa o caminho do diretório para a chave de inicialização.
-certificate Adiciona um protetor de chave pública para uma unidade de dados. Você também pode usar -cert como uma versão abreviada desse comando.
-cf Especifica que um arquivo de certificado será usado para fornecer o certificado de chave pública.
<pathtocertificatefile> Representa o caminho do diretório para o arquivo de certificado.
-ct Especifica que uma impressão digital do certificado será usada para identificar o certificado de chave pública
<certificatethumbprint> Especifica o valor da propriedade de impressão digital do certificado que você deseja usar. Por exemplo, o valor da Impressão digital do certificado de a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2 a 7b deve ser especificado como a909502dd82ae41433e6f83886b00d4277a32a7b.
-tpmandpin Adiciona um TPM (Trusted Platform Module) e um protetor de PIN (número de identificação pessoal) para a unidade do sistema operacional. Você também pode usar -tp como uma versão abreviada desse comando.
-tpmandstartupkey Adiciona um TPM e um protetor de chave de inicialização para a unidade do sistema operacional. Você também pode usar -tsk como uma versão abreviada desse comando.
-tpmandpinandstartupkey Adiciona um protetor de chave de inicialização, PIN e TPM para a unidade do sistema operacional. Você também pode usar -tpsk como uma versão abreviada desse comando.
-password Adiciona um protetor de chave de senha para a unidade de dados. Você também pode usar -pw como uma versão abreviada desse comando.
-adaccountorgroup Adiciona um protetor de identidade baseado em SID (identificador de segurança) no volume. Você também pode usar -sid como uma versão abreviada desse comando. IMPORTANTE: por padrão, você não pode adicionar um protetor ADaccountorgroup remotamente usando WMI ou manage-bde. Se sua implantação exigir a capacidade de adicionar esse protetor remotamente, você deverá habilitar a delegação restrita.
-computername Especifica que manage-bde está sendo usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando.
<name> Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele.
-? ou /? Exibe uma pequena ajuda no prompt de comando.
-help ou -h Exibe uma ajuda completa no prompt de comando.

Parâmetros -delete adicionais

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetro Descrição
<drive> Representa uma letra de unidade seguida de dois-pontos.
-type Identifica o protetor de chave a ser excluído. Você também pode usar -t como uma versão abreviada desse comando.
recoverypassword Especifica que todos os protetores de chave de senha de recuperação devem ser excluídos.
externalkey Especifica que todos os protetores de chave externa associados à unidade devem ser excluídos.
certificado Especifica que todos os protetores de chave de certificado associados à unidade devem ser excluídos.
tpm Especifica que todos os protetores de chave somente TPM associados à unidade devem ser excluídos.
tpmandstartupkey Especifica que todos os protetores de chave baseados em chave de inicialização e TPM associados à unidade devem ser excluídos.
tpmandpin Especifica que todos os protetores de chave baseados em TPM e PIN associados à unidade devem ser excluídos.
tpmandpinandstartupkey Especifica que todos os protetores de chave baseados em chave de inicialização, PIN e TPM associados à unidade devem ser excluídos.
password Especifica que todos os protetores de chave de senha associados à unidade devem ser excluídos.
identidade Especifica que todos os protetores de chave de identidade associados à unidade devem ser excluídos.
-ID Identifica o protetor de chave a ser excluído usando o identificador de chave. Esse parâmetro é uma opção alternativa para o parâmetro -type.
<keyprotectorID> Identifica um protetor de chave individual na unidade a ser excluída. As IDs do protetor de chave podem ser exibidas usando o comando manage-bde -protectors -get.
-computername Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando.
<name> Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele.
-? ou /? Exibe uma pequena ajuda no prompt de comando.
-help ou -h Exibe uma ajuda completa no prompt de comando.

Parâmetros -disable adicionais

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parâmetro Descrição
<drive> Representa uma letra de unidade seguida de dois-pontos.
rebootcount Especifica que a proteção do volume do sistema operacional foi suspensa e será retomada depois que o Windows tiver sido reiniciado o número de vezes especificado no parâmetro rebootcount. Especifique 0 para suspender a proteção indefinidamente. Se esse parâmetro não for especificado, a proteção do BitLocker será retomada automaticamente depois que o Windows for reiniciado. Você também pode usar -rc como uma versão abreviada desse comando.
-computername Especifica que manage-bde.exe será usado para modificar a proteção do BitLocker em um computador diferente. Você também pode usar -cn como uma versão abreviada desse comando.
<name> Representa o nome do computador no qual modificar a proteção do BitLocker. Valores aceitos incluem o nome NetBIOS do computador e o endereço IP dele.
-? ou /? Exibe uma pequena ajuda no prompt de comando.
-help ou -h Exibe uma ajuda completa no prompt de comando.

Exemplos

Para adicionar um protetor de chave de certificado, identificado por um arquivo de certificado, na unidade E, digite:

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Para adicionar um protetor de chave adaccountorgroup, identificado pelo nome de usuário e domínio, na unidade E, digite:

manage-bde -protectors -add E: -sid DOMAIN\user

Para desabilitar a proteção até que o computador seja reinicializado três vezes, digite:

manage-bde -protectors -disable C: -rc 3

Para excluir todos os protetores de chave baseados em chaves de inicialização e TPM na unidade C, digite:

manage-bde -protectors -delete C: -type tpmandstartupkey

Para listar todos os protetores de chave para a unidade C, digite:

manage-bde -protectors -get C:

Para fazer backup de todas as informações de recuperação da unidade C para o AD DS, digite (onde -id é a ID do protetor de chave específico para backup):

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'