管理用于 BitLocker 加密密钥的保护方法。
Syntax
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameters
| Parameter | Description |
|---|---|
| -get | 显示驱动器上启用的所有密钥保护方法,并提供其类型和标识符 (ID)。 |
| -add | Adds key protection methods as specified by using additional -add parameters. |
| -delete | 删除 BitLocker 使用的密钥保护方法。 All key protectors will be removed from a drive unless the optional -delete parameters are used to specify which protectors to delete. 删除驱动器上的最后一个保护程序后,将禁用驱动器的 BitLocker 保护,以确保不会意外丢失对数据的访问。 |
| -disable | 禁用保护,这将允许任何人通过在驱动器上不安全地提供加密密钥来访问加密数据。 不会删除密钥保护程序。 Protection will be resumed the next time Windows is booted unless the optional -disable parameters are used to specify the reboot count. |
| -enable | 通过从驱动器中删除不安全的加密密钥来启用保护。 将强制执行驱动器上配置的所有密钥保护程序。 |
| -adbackup | 将指定驱动器的恢复信息备份到 Active Directory 域服务 (AD DS)。 Append the -id parameter and specify the ID of a specific recovery key to back up. The -id parameter is required. |
| -aadbackup | 备份指定给 Microsoft Entra ID 的驱动器的所有恢复信息。 Append the -id parameter and specify the ID of a specific recovery key to back up. The -id parameter is required. |
<drive> |
表示后接冒号的驱动器号。 |
| -computername | 指定要使用 manage-bde.exe 来修改另一台计算机上的 BitLocker 保护。 You can also use -cn as an abbreviated version of this command. |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? or /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
附加的 -add 参数
-add 参数还可以使用这些有效的附加参数。
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
表示后接冒号的驱动器号。 |
| -recoverypassword | 添加数字密码保护程序。 You can also use -rp as an abbreviated version of this command. |
<numericalpassword> |
表示恢复密码。 |
| -recoverykey | 添加用于恢复的外部密钥保护程序。 You can also use -rk as an abbreviated version of this command. |
<pathtoexternalkeydirectory> |
表示恢复密钥的目录路径。 |
| -startupkey | 添加用于启动的外部密钥保护程序。 You can also use -sk as an abbreviated version of this command. |
<pathtoexternalkeydirectory> |
表示启动密钥的目录路径。 |
| -certificate | 为数据驱动器添加公钥保护程序。 You can also use -cert as an abbreviated version of this command. |
| -cf | 指定将使用证书文件来提供公钥证书。 |
<pathtocertificatefile> |
表示证书文件的目录路径。 |
| -ct | 指定将使用证书指纹来标识公钥证书 |
<certificatethumbprint> |
指定要使用的证书的指纹属性的值。 例如,a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b 的证书指纹值应指定为 a909502dd82ae41433e6f83886b00d4277a32a7b。 |
| -tpmandpin | 为操作系统驱动器添加受信任的平台模块 (TPM) 和个人标识号 (PIN) 保护程序。 You can also use -tp as an abbreviated version of this command. |
| -tpmandstartupkey | 为操作系统驱动器添加 TPM 和启动密钥保护程序。 You can also use -tsk as an abbreviated version of this command. |
| -tpmandpinandstartupkey | 为操作系统驱动器添加 TPM、PIN 和启动密钥保护程序。 You can also use -tpsk as an abbreviated version of this command. |
| -password | 为数据驱动器添加密码密钥保护程序。 You can also use -pw as an abbreviated version of this command. |
| -adaccountorgroup | 为卷添加基于安全标识符 (SID) 的标识保护程序。 You can also use -sid as an abbreviated version of this command. IMPORTANT: By default, you can't add an ADaccountorgroup protector remotely using either WMI or manage-bde. 如果部署需要远程添加此保护程序的功能,则必须启用约束委派。 |
| -computername | 指定正在使用 manage-bde 修改另一台计算机上的 BitLocker 保护。 You can also use -cn as an abbreviated version of this command. |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? or /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
附加的 -delete 参数
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
表示后接冒号的驱动器号。 |
| -type | 标识要删除的密钥保护程序。 You can also use -t as an abbreviated version of this command. |
| recoverypassword | 指定应删除任何恢复密码密钥保护程序。 |
| externalkey | 指定应删除与驱动器关联的任何外部密钥保护程序。 |
| 证书 | 指定应删除与驱动器关联的任何证书密钥保护程序。 |
| tpm | 指定应删除与驱动器关联的任何仅 TPM 密钥保护程序。 |
| tpmandstartupkey | 指定应删除与驱动器关联的任何基于 TPM 和启动密钥的密钥保护程序。 |
| tpmandpin | 指定应删除与驱动器关联的任何基于 TPM 和 PIN 的密钥保护程序。 |
| tpmandpinandstartupkey | 指定应删除与驱动器关联的任何基于 TPM、PIN 和启动密钥的密钥保护程序。 |
| 密码 | 指定应删除与驱动器关联的任何密码密钥保护程序。 |
| 标识 | 指定应删除与驱动器关联的任何标识密钥保护程序。 |
| -ID | 使用密钥标识符标识要删除的密钥保护程序。 This parameter is an alternative option to the -type parameter. |
<keyprotectorID> |
标识驱动器上要删除的单个密钥保护程序。 可以使用 manage-bde -protectors -get 命令显示密钥保护程序 ID。 |
| -computername | 指定要使用 manage-bde.exe 来修改另一台计算机上的 BitLocker 保护。 You can also use -cn as an abbreviated version of this command. |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? or /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
附加的 -disable 参数
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
表示后接冒号的驱动器号。 |
| rebootcount | Specifies that protection of the operating system volume has been suspended and will resume after Windows has been restarted the number of times specified in the rebootcount parameter. Specify 0 to suspend protection indefinitely. 如果未指定此参数,则 BitLocker 保护会在 Windows 重启后自动恢复。 You can also use -rc as an abbreviated version of this command. |
| -computername | 指定要使用 manage-bde.exe 来修改另一台计算机上的 BitLocker 保护。 You can also use -cn as an abbreviated version of this command. |
<name> |
表示要在其上修改 BitLocker 保护的计算机的名称。 接受的值包括计算机的 NetBIOS 名称和计算机的 IP 地址。 |
| -? or /? | 在命令提示符处显示简要的帮助。 |
| -help 或 -h | 在命令提示符处显示完整的帮助。 |
Examples
要将由证书文件标识的证书密钥保护程序添加到驱动器 E,请键入:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
To add an adaccountorgroup key protector, identified by domain and user name, to drive E, type:
manage-bde -protectors -add E: -sid DOMAIN\user
要在计算机重启 3 次之前禁用保护,请键入:
manage-bde -protectors -disable C: -rc 3
要删除驱动器 C 上所有基于 TPM 和启动密钥的密钥保护程序,请键入:
manage-bde -protectors -delete C: -type tpmandstartupkey
要列出驱动器 C 的所有密钥保护程序,请键入:
manage-bde -protectors -get C:
要将驱动器 C 的所有恢复信息备份到 AD DS,请键入(其中 -id 是要备份的特定密钥保护程序的 ID):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'