manage-bde on
加密驱动器并打开 BitLocker。
语法
manage-bde –on <drive> {[-recoverypassword <numericalpassword>]|[-recoverykey <pathtoexternaldirectory>]|[-startupkey <pathtoexternalkeydirectory>]|[-certificate]|
[-tpmandpin]|[-tpmandpinandstartupkey <pathtoexternalkeydirectory>]|[-tpmandstartupkey <pathtoexternalkeydirectory>]|[-password]|[-ADaccountorgroup <domain\account>]}
[-usedspaceonly][-encryptionmethod {aes128_diffuser|aes256_diffuser|aes128|aes256}] [-skiphardwaretest] [-discoveryvolumetype <filesystemtype>] [-forceencryptiontype <type>] [-removevolumeshadowcopies][-computername <name>]
[{-?|/?}] [{-help|-h}]
参数
| 参数 | 说明 |
|---|---|
<drive> |
表示后接冒号的驱动器号。 |
| -recoverypassword | 添加数字密码保护程序。 还可以使用 -rp 作为此命令的缩写版本。 |
<numericalpassword> |
表示恢复密码。 |
| -recoverykey | 添加用于恢复的外部密钥保护程序。 还可以使用 -rk 作为此命令的缩写版本。 |
<pathtoexternaldirectory> |
表示恢复密钥的目录路径。 |
| -startupkey | 添加用于启动的外部密钥保护程序。 还可以使用 -sk 作为此命令的缩写版本。 |
<pathtoexternalkeydirectory> |
表示启动密钥的目录路径。 |
| -certificate | 为数据驱动器添加公钥保护程序。 还可以使用 -cert 作为此命令的缩写版本。 |
| -tpmandpin | 为操作系统驱动器添加受信任的平台模块 (TPM) 和个人标识号 (PIN) 保护程序。 还可以使用 -tp 作为此命令的缩写版本。 |
| -tpmandstartupkey | 为操作系统驱动器添加 TPM 和启动密钥保护程序。 还可以使用 -tsk 作为此命令的缩写版本。 |
| -tpmandpinandstartupkey | 为操作系统驱动器添加 TPM、PIN 和启动密钥保护程序。 还可以使用 -tpsk 作为此命令的缩写版本。 |
| -password | 为数据驱动器添加密码密钥保护程序。 还可以使用 -pw 作为此命令的缩写版本。 |
| -ADaccountorgroup | 为卷添加基于 SID 的标识保护程序。 如果用户或计算机具有正确的凭据,卷将自动解锁。 指定计算机帐户时,将 $ 追加到计算机名称,并指定 –service 以指示应在 BitLocker 服务器的内容而不是用户中发生解锁。 还可以使用 -sid 作为此命令的缩写版本。 |
| -usedspaceonly | 将加密模式设置为“仅加密已用空间”。 卷中包含已用空间的部分将加密,但可用空间不会加密。 如果未指定此选项,则会加密卷中所有已用空间和可用空间。 还可以使用 -used 作为此命令的缩写版本。 |
| -encryptionMethod | 配置加密算法和密钥大小。 还可以使用 -em 作为此命令的缩写版本。 |
| -skiphardwaretest | 在不进行硬件测试的情况下开始加密。 还可以使用 -s 作为此命令的缩写版本。 |
| -discoveryvolumetype | 指定要用于发现数据驱动器的文件系统。 发现数据驱动器是一个隐藏驱动器,它添加到包含 BitLocker To Go 阅读器、受 BitLocker 保护的 FAT 格式的可移动数据驱动器。 |
| -forceencryptiontype | 强制 BitLocker 使用软件或硬件加密。 可以将加密类型指定为“硬件”或“软件”。 如果选择了 hardware 参数,但驱动器不支持硬件加密,manage-bde 会返回错误。 如果组策略设置禁止指定的加密类型,manage-bde 将返回错误。 还可以使用 -fet 作为此命令的缩写版本。 |
| -removevolumeshadowcopies | 强制删除卷的卷影副本。 运行此命令后,将无法使用以前的系统还原点还原此卷。 还可以使用 -rvsc 作为此命令的缩写版本。 |
<filesystemtype> |
指定哪些文件系统可用于发现数据驱动器:“FAT32”、“默认”或“无”。 |
| -computername | 指定正在使用 manage-bde 修改另一台计算机上的 BitLocker 保护。 还可以使用 -cn 作为此命令的缩写版本。 |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? 或 /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
示例
若要为驱动器 C 启用 BitLocker 并将恢复密码添加到该驱动器,请键入:
manage-bde –on C: -recoverypassword
若要为驱动器 C 启用 BitLocker,将恢复密码添加到该驱动器,并将恢复密钥保存到驱动器 E,请键入:
manage-bde –on C: -recoverykey E:\ -recoverypassword
若要为驱动器 C 启用 BitLocker,使用外部密钥保护程序(如 USB 密钥)解锁操作系统驱动器,请键入:
manage-bde -on C: -startupkey E:\
重要
如果将 BitLocker 用于没有 TPM 的计算机,需要此方法。
若要为数据驱动器 E 启用 BitLocker,并添加密码密钥保护程序,请键入:
manage-bde –on E: -pw
若要为操作系统驱动器 C 启用 BitLocker,并使用基于硬件的加密,请键入:
manage-bde –on C: -fet hardware