hantera bde-skydd
Hanterar de skyddsmetoder som används för BitLocker-krypteringsnyckeln.
Syntax
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameterar
| Parameter | Beskrivning |
|---|---|
| -få | Visar alla nyckelskyddsmetoder som är aktiverade på enheten och anger deras typ och identifierare (ID). |
| -addera | Lägger till viktiga skyddsmetoder som anges med hjälp av ytterligare -add parametrar. |
| -ta bort | Tar bort viktiga skyddsmetoder som används av BitLocker. Alla nyckelskydd tas bort från en enhet om inte de valfria parametrarna -delete används för att ange vilka skydd som ska tas bort. När det sista skyddet på en enhet tas bort inaktiveras BitLocker-skyddet för enheten för att säkerställa att åtkomsten till data inte går förlorad oavsiktligt. |
| -inaktivera | Inaktiverar skydd, vilket gör att vem som helst kan komma åt krypterade data genom att göra krypteringsnyckeln tillgänglig oskyddad på enheten. Inga nyckelskydd tas bort. Skyddet återupptas nästa gång Windows startas om inte de valfria inaktivera parametrar används för att ange antalet omstarter. |
| -möjliggöra | Aktiverar skydd genom att ta bort den oskyddade krypteringsnyckeln från enheten. Alla konfigurerade nyckelskydd på enheten tillämpas. |
| -adbackup | Säkerhetskopierar återställningsinformation för den enhet som angetts för Active Directory Domain Services (AD DS). Lägg till parametern -id och ange ID för en specifik återställningsnyckel för säkerhetskopiering. Parametern -id krävs. |
| -aadbackup | Säkerhetskopierar all återställningsinformation för den enhet som anges till Microsoft Entra-ID. Lägg till parametern -id och ange ID för en specifik återställningsnyckel för säkerhetskopiering. Parametern -id krävs. |
<drive> |
Representerar en enhetsbeteckning följt av ett kolon. |
| -datornamn | Anger att manage-bde.exe ska användas för att ändra BitLocker-skyddet på en annan dator. Du kan också använda -cn som en förkortad version av det här kommandot. |
<name> |
Representerar namnet på den dator där BitLocker-skyddet ska ändras. Godkända värden inkluderar datorns NetBIOS-namn och datorns IP-adress. |
| -? eller/? | Visar kort hjälp i kommandotolken. |
| -hjälp eller -h | Visar fullständig hjälp i kommandotolken. |
Ytterligare -add parametrar
Parametern -add kan också använda dessa giltiga ytterligare parametrar.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parameter | Beskrivning |
|---|---|
<drive> |
Representerar en enhetsbeteckning följt av ett kolon. |
| -recoverypassword | Lägger till ett numeriskt lösenordsskydd. Du kan också använda -rp som en förkortad version av det här kommandot. |
<numericalpassword> |
Representerar återställningslösenordet. |
| -recoverykey | Lägger till ett externt nyckelskydd för återställning. Du kan också använda -rk som en förkortad version av det här kommandot. |
<pathtoexternalkeydirectory> |
Representerar katalogsökvägen till återställningsnyckeln. |
| -startupkey | Lägger till ett externt nyckelskydd för start. Du kan också använda -sk som en förkortad version av det här kommandot. |
<pathtoexternalkeydirectory> |
Representerar katalogsökvägen till startnyckeln. |
| -intyg | Lägger till ett skydd för offentlig nyckel för en dataenhet. Du kan också använda -cert som en förkortad version av det här kommandot. |
| -jfr | Anger att en certifikatfil ska användas för att tillhandahålla certifikatet för den offentliga nyckeln. |
<pathtocertificatefile> |
Representerar katalogsökvägen till certifikatfilen. |
| -Ct | Anger att ett tumavtryck för certifikatet ska användas för att identifiera certifikatet för offentlig nyckel |
<certificatethumbprint> |
Anger värdet för tumavtrycksegenskapen för det certifikat som du vill använda. Till exempel ska ett tumavtrycksvärde för certifikatet a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b anges som a909502dd82ae41433e6f83886b00d4277b. |
| -tpmandpin | Lägger till ett TPM-skydd (Trusted Platform Module) och ett PIN-skydd (Personal Identification Number) för operativsystemenheten. Du kan också använda -tp som en förkortad version av det här kommandot. |
| -tpmandstartupkey | Lägger till ett TPM- och startnyckelskydd för operativsystemenheten. Du kan också använda -tsk som en förkortad version av det här kommandot. |
| -tpmandpinandstartupkey | Lägger till ett TPM-, PIN-kods- och startnyckelskydd för operativsystemenheten. Du kan också använda -tpsk som en förkortad version av det här kommandot. |
| -lösenord | Lägger till ett lösenordsnyckelskydd för dataenheten. Du kan också använda -pw som en förkortad version av det här kommandot. |
| -adaccountorgroup | Lägger till ett säkerhetsidentifierare(SID)-baserat identitetsskydd för volymen. Du kan också använda -sid som en förkortad version av det här kommandot. VIKTIGT: Som standard kan du inte lägga till ett ADaccountorgroup-skydd via fjärranslutning med hjälp av WMI eller manage-bde. Om distributionen kräver möjligheten att lägga till det här skyddet via fjärranslutning måste du aktivera begränsad delegering. |
| -datornamn | Anger att manage-bde används för att ändra BitLocker-skyddet på en annan dator. Du kan också använda -cn som en förkortad version av det här kommandot. |
<name> |
Representerar namnet på den dator där BitLocker-skyddet ska ändras. Godkända värden inkluderar datorns NetBIOS-namn och datorns IP-adress. |
| -? eller/? | Visar kort hjälp i kommandotolken. |
| -hjälp eller -h | Visar fullständig hjälp i kommandotolken. |
Ytterligare -delete parametrar
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Beskrivning |
|---|---|
<drive> |
Representerar en enhetsbeteckning följt av ett kolon. |
| -typ | Identifierar nyckelskyddet som ska tas bort. Du kan också använda -t som en förkortad version av det här kommandot. |
| recoverypassword | Anger att alla skydd för återställning av lösenordsnycklar ska tas bort. |
| externalkey | Anger att eventuella externa nyckelskydd som är associerade med enheten ska tas bort. |
| certifikat | Anger att alla certifikatnyckelskydd som är associerade med enheten ska tas bort. |
| tpm | Anger att alla nyckelskydd med endast TPM som är associerade med enheten ska tas bort. |
| tpmandstartupkey | Anger att alla TPM- och startnyckelbaserade nyckelskydd som är associerade med enheten ska tas bort. |
| tpmandpin | Anger att alla TPM- och PIN-baserade nyckelskydd som är associerade med enheten ska tas bort. |
| tpmandpinandstartupkey | Anger att alla TPM-, PIN- och startnyckelbaserade nyckelskydd som är associerade med enheten ska tas bort. |
| lösenord | Anger att alla lösenordsnyckelskydd som är associerade med enheten ska tas bort. |
| identitet | Anger att eventuella identitetsnyckelskydd som är associerade med enheten ska tas bort. |
| -ID | Identifierar nyckelskyddet som ska tas bort med hjälp av nyckelidentifieraren. Den här parametern är ett alternativ till parametern -type. |
<keyprotectorID> |
Identifierar ett enskilt nyckelskydd på enheten som ska tas bort. Nyckelskydds-ID:n kan visas med hjälp av kommandot manage-bde -protectors -get. |
| -datornamn | Anger att manage-bde.exe ska användas för att ändra BitLocker-skyddet på en annan dator. Du kan också använda -cn som en förkortad version av det här kommandot. |
<name> |
Representerar namnet på den dator där BitLocker-skyddet ska ändras. Godkända värden inkluderar datorns NetBIOS-namn och datorns IP-adress. |
| -? eller/? | Visar kort hjälp i kommandotolken. |
| -hjälp eller -h | Visar fullständig hjälp i kommandotolken. |
Ytterligare -disable parametrar
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Beskrivning |
|---|---|
<drive> |
Representerar en enhetsbeteckning följt av ett kolon. |
| rebootcount | Anger att skyddet för operativsystemvolymen har pausats och återupptas efter att Windows har startats om det antal gånger som anges i parametern rebootcount. Ange 0 för att pausa skyddet på obestämd tid. Om den här parametern inte har angetts återupptas BitLocker-skyddet automatiskt efter att Windows har startats om. Du kan också använda -rc som en förkortad version av det här kommandot. |
| -datornamn | Anger att manage-bde.exe ska användas för att ändra BitLocker-skyddet på en annan dator. Du kan också använda -cn som en förkortad version av det här kommandot. |
<name> |
Representerar namnet på den dator där BitLocker-skyddet ska ändras. Godkända värden inkluderar datorns NetBIOS-namn och datorns IP-adress. |
| -? eller/? | Visar kort hjälp i kommandotolken. |
| -hjälp eller -h | Visar fullständig hjälp i kommandotolken. |
Exempel
Om du vill lägga till ett skydd för certifikatnyckeln, som identifieras av en certifikatfil, för att köra E skriver du:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Om du vill lägga till en adaccountorgroup nyckelskydd, identifierad med domän och användarnamn, för att köra E skriver du:
manage-bde -protectors -add E: -sid DOMAIN\user
Om du vill inaktivera skyddet tills datorn har startats om tre gånger skriver du:
manage-bde -protectors -disable C: -rc 3
Om du vill ta bort alla TPM- och startnycklar baserade på nyckelskydd på enhet C skriver du:
manage-bde -protectors -delete C: -type tpmandstartupkey
Om du vill visa en lista över alla nyckelskydd för enhet C skriver du:
manage-bde -protectors -get C:
Om du vill säkerhetskopiera all återställningsinformation för enhet C till AD DS skriver du (där -id är ID för det specifika nyckelskydd som ska säkerhetskopieras):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'