manage-bde on
加密驱动器并打开 BitLocker。
语法
manage-bde –on <drive> {[-recoverypassword <numericalpassword>]|[-recoverykey <pathtoexternaldirectory>]|[-startupkey <pathtoexternalkeydirectory>]|[-certificate]|
[-tpmandpin]|[-tpmandpinandstartupkey <pathtoexternalkeydirectory>]|[-tpmandstartupkey <pathtoexternalkeydirectory>]|[-password]|[-ADaccountorgroup <domain\account>]}
[-usedspaceonly][-encryptionmethod {aes128_diffuser|aes256_diffuser|aes128|aes256}] [-skiphardwaretest] [-discoveryvolumetype <filesystemtype>] [-forceencryptiontype <type>] [-removevolumeshadowcopies][-computername <name>]
[{-?|/?}] [{-help|-h}]
参数
| 参数 | 说明 |
|---|---|
<drive> |
表示后跟冒号的驱动器号。 |
| -recoverypassword | 添加数字密码保护程序。 还可以使用 -rp 作为此命令的缩写版本。 |
<numericalpassword> |
表示恢复密码。 |
| -recoverykey | 添加用于恢复的外部密钥保护程序。 还可以使用 -rk 作为此命令的缩写版本。 |
<pathtoexternaldirectory> |
表示恢复密钥的目录路径。 |
| -startupkey | 添加用于启动的外部密钥保护程序。 还可以使用 -sk 作为此命令的缩写版本。 |
<pathtoexternalkeydirectory> |
表示启动密钥的目录路径。 |
| -证书 | 为数据驱动器添加公钥保护程序。 还可以使用 -cert 作为此命令的缩写版本。 |
| -tpmandpin | 为作系统驱动器添加受信任的平台模块(TPM)和个人标识号(PIN)保护器。 还可以使用 -tp 作为此命令的缩写版本。 |
| -tpmandstartupkey | 为作系统驱动器添加 TPM 和启动密钥保护器。 还可以使用 -tsk 作为此命令的缩写版本。 |
| -tpmandpinandstartupkey | 为作系统驱动器添加 TPM、PIN 和启动密钥保护器。 还可以使用 -tpsk 作为此命令的缩写版本。 |
| -密码 | 为数据驱动器添加密码密钥保护程序。 还可以使用 -pw 作为此命令的缩写版本。 |
| -ADaccountorgroup | 为卷添加基于 SID 的标识保护程序。 如果用户或计算机具有适当的凭据,卷将自动解锁。 指定计算机帐户时,将 $ 追加到计算机名称,并指定 –service,以指示解锁应在 BitLocker 服务器的内容而不是用户中发生。 还可以使用 -sid 作为此命令的缩写版本。 |
| -usedspaceonly | 将加密模式设置为“仅使用空间”加密。 包含已用空间的卷部分将加密,但可用空间不会加密。 如果未指定此选项,则会加密卷上所有已用空间和可用空间。 还可以使用 -used 作为此命令的缩写版本。 |
| -encryptionMethod | 配置加密算法和密钥大小。 还可以使用 -em 作为此命令的缩写版本。 |
| -skiphardwaretest | 在不使用硬件测试的情况下开始加密。 还可以使用 -s 作为此命令的缩写版本。 |
| -discoveryvolumetype | 指定要用于发现数据驱动器的文件系统。 发现数据驱动器是添加到 FAT 格式、受 BitLocker 保护的可移动数据驱动器(包含 BitLocker To Go 读取器)的隐藏驱动器。 |
| -forceencryptiontype | 强制 BitLocker 使用软件或硬件加密。 可以将 硬件 或 软件 指定为加密类型。 如果选择 硬件 参数,但驱动器不支持硬件加密,manage-bde 将返回错误。 如果组策略设置禁止指定的加密类型,manage-bde 将返回错误。 还可以使用 -fet 作为此命令的缩写版本。 |
| -removevolumeshadowcopies | 强制删除卷卷副本。 运行此命令后,将无法使用以前的系统还原点还原此卷。 还可以使用 -rvsc 作为此命令的缩写版本。 |
<filesystemtype> |
指定哪些文件系统可用于发现数据驱动器:FAT32、默认值或 none。 |
| -computername | 指定 manage-bde 用于修改其他计算机上的 BitLocker 保护。 还可以使用 -cn 作为此命令的缩写版本。 |
<name> |
表示要对其修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? 或/? | 在命令提示符处显示简短的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
例子
若要为驱动器 C 启用 BitLocker 并将恢复密码添加到驱动器,请键入:
manage-bde –on C: -recoverypassword
若要为驱动器 C 启用 BitLocker,请将恢复密码添加到驱动器,并将恢复密钥保存到驱动器 E,请键入:
manage-bde –on C: -recoverykey E:\ -recoverypassword
若要为驱动器 C 打开 BitLocker,请使用外部密钥保护程序(如 USB 密钥)解锁作系统驱动器,请键入:
manage-bde -on C: -startupkey E:\
重要
如果将 BitLocker 与没有 TPM 的计算机一起使用,则需要此方法。
若要为数据驱动器 E 启用 BitLocker 并添加密码密钥保护程序,请键入:
manage-bde –on E: -pw
若要为作系统驱动器 C 启用 BitLocker 并使用基于硬件的加密,请键入:
manage-bde –on C: -fet hardware