manage-bde protectors
Gestisce i metodi di protezione utilizzati per la chiave di crittografia BitLocker.
Sintassi
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametri
| Parametro | Descrizione |
|---|---|
| -Introduzione | Visualizza tutti i metodi di protezione con chiave abilitati per l'unità e fornisce il tipo e l'identificatore (ID). |
| -aggiungere | Aggiunge metodi di protezione con chiave specificato utilizzando parametri -add aggiuntivi. |
| -Elimina | Elimina i metodi di protezione della chiave utilizzati da BitLocker. Tutte le protezioni con chiave verrà rimossa da un'unità a meno che non facoltativo -eliminare parametri vengono utilizzati per specificare quali programmi di protezione da eliminare. Quando viene eliminata l'ultimo protezione in un'unità, la protezione BitLocker dell'unità è disabilitata per assicurare che l'accesso ai dati non vengano perso accidentalmente. |
| -Disabilita | Disabilita la protezione, che consentirà a chiunque di accedere ai dati crittografati rendendo disponibile la chiave di crittografia non protette sul disco. Nessuna protezione con chiave vengono rimossi. Protezione verrà ripresa al successivo avvio di Windows a meno che non facoltativo -disabilitare parametri vengono utilizzati per specificare il numero di riavvio. |
| -abilitare | Abilita la protezione rimuovendo la chiave di crittografia non protetta dall'unità. Verranno applicate tutte le protezioni con chiave configurata nell'unità. |
| -adbackup | Esegue il backup delle informazioni di ripristino per l'unità specificata in Active Directory Domain Services. Aggiungere il parametro -id e specificare l'ID di una chiave di ripristino specifica per eseguire il backup. Il parametro -id è obbligatorio. |
| -aadbackup | Esegue il backup di tutte le informazioni di ripristino per l'unità specificata in Microsoft Entra ID. Aggiungere il parametro -id e specificare l'ID di una chiave di ripristino specifica per eseguire il backup. Il parametro -id è obbligatorio. |
<drive> |
Rappresenta una lettera di unità seguita da due punti. |
| -computername | Specifica chemanage-bde.exe verrà utilizzato per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando. |
<name> |
Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer. |
| -? o /? | Visualizza la guida rapida al prompt dei comandi. |
| -help o -h | Visualizza la guida completa al prompt dei comandi. |
Parametri -add aggiuntivi
Il parametro -add può anche usare questi parametri aggiuntivi validi.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parametro | Descrizione |
|---|---|
<drive> |
Rappresenta una lettera di unità seguita da due punti. |
| -recoverypassword | Aggiunge una protezione con password numerica. È inoltre possibile utilizzare - rp come una versione abbreviata di questo comando. |
<numericalpassword> |
Rappresenta la password di ripristino. |
| -recoverykey | Aggiunge una protezione con chiave esterna per il ripristino. È inoltre possibile utilizzare - rk come una versione abbreviata di questo comando. |
<pathtoexternalkeydirectory> |
Rappresenta il percorso della directory per la chiave di ripristino. |
| -chiave di avvio | Aggiunge una protezione con chiave esterna per l'avvio. È inoltre possibile utilizzare -sk come una versione abbreviata di questo comando. |
<pathtoexternalkeydirectory> |
Rappresenta il percorso della directory per la chiave di avvio. |
| -certificato | Aggiunge una protezione con chiave pubblica per un'unità di dati. È inoltre possibile utilizzare -cert come una versione abbreviata di questo comando. |
| -cf | Specifica un file di certificato verrà utilizzato per fornire il certificato chiave pubblica. |
<pathtocertificatefile> |
Rappresenta il percorso della directory del file di certificato. |
| -ct | Specifica un'identificazione personale del certificato verrà utilizzato per identificare il certificato chiave pubblica |
<certificatethumbprint> |
Specifica il valore della proprietà identificazione personale del certificato da utilizzare. Ad esempio, un valore di identificazione personale certificato di "a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0D che 42 77 a3 2a 7b" deve essere specificato come a909502dd82ae41433e6f83886b00d4277a32a7b. |
| -tpmandpin | Aggiunge un modulo TPM (Trusted Platform) e protezione (PIN) numero di identificazione personale per l'unità del sistema operativo. È inoltre possibile utilizzare - tp come una versione abbreviata di questo comando. |
| -tpmandstartupkey | Aggiunge una protezione con chiave TPM e avvio per l'unità del sistema operativo. È inoltre possibile utilizzare -tsk come una versione abbreviata di questo comando. |
| -tpmandpinandstartupkey | Aggiunge un TPM, PIN e protezione con chiave di avvio per l'unità del sistema operativo. È inoltre possibile utilizzare - tpsk come una versione abbreviata di questo comando. |
| -password | Aggiunge una protezione con chiave password per l'unità dati. È inoltre possibile utilizzare - pw come una versione abbreviata di questo comando. |
| -adaccountorgroup | Aggiunge un ID di sicurezza (SID)-protezione di identità per il volume di base. È inoltre possibile utilizzare -sid come una versione abbreviata di questo comando. IMPORTANTE: per impostazione predefinita, non è possibile aggiungere una protezione ADaccountorgroup in remoto usando WMI o manage-bde. Se la distribuzione richiede la possibilità di aggiungere questo tipo di protezione in modalità remota è necessario abilitare la delega vincolata. |
| -computername | Specifica che manage-bde viene utilizzata per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando. |
<name> |
Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer. |
| -? o /? | Visualizza la guida rapida al prompt dei comandi. |
| -help o -h | Visualizza la guida completa al prompt dei comandi. |
Parametri -delete aggiuntivi
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parametro | Descrizione |
|---|---|
<drive> |
Rappresenta una lettera di unità seguita da due punti. |
| -type | Identifica la protezione con chiave da eliminare. È inoltre possibile utilizzare -t come una versione abbreviata di questo comando. |
| RecoveryPassword | Specifica che le protezioni con chiave di password di ripristino deve essere eliminata. |
| ExternalKey | Specifica che le protezioni con chiave esterne associate all'unità devono essere eliminate. |
| certificato | Specifica che le protezioni con chiave certificato associati con l'unità devono essere eliminate. |
| tpm | Specifica che le protezioni con chiave solo TPM associati con l'unità devono essere eliminate. |
| TPMAndStartupKey | Specifica che devono essere eliminate qualsiasi TPM e avvio basata su chiave protezioni con chiave associate all'unità. |
| TPMAndPIN | Specifica che deve essere eliminata qualsiasi TPM e PIN basati protezioni con chiave associata all'unità. |
| tpmandpinandstartupkey | Specifica che devono essere eliminate qualsiasi TPM e PIN di avvio basato su chiave protezioni con chiave associate all'unità. |
| password | Specifica che le protezioni con chiave password associate all'unità devono essere eliminate. |
| identity | Specifica che le protezioni con chiave di identità associata all'unità deve essere eliminata. |
| -ID | Identifica la protezione con chiave da eliminare utilizzando l'identificatore di chiave. Questo parametro è un'opzione alternativa per il -type parametro. |
<keyprotectorID> |
Identifica un singolo protezione con chiave sull'unità da eliminare. ID di protezione con chiave possono essere visualizzati utilizzando il gestire-bde-protezioni-ottenere comando. |
| -computername | Specifica chemanage-bde.exe verrà utilizzato per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando. |
<name> |
Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer. |
| -? o /? | Visualizza la guida rapida al prompt dei comandi. |
| -help o -h | Visualizza la guida completa al prompt dei comandi. |
Parametri -disable aggiuntivi
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parametro | Descrizione |
|---|---|
<drive> |
Rappresenta una lettera di unità seguita da due punti. |
| rebootcount | Specifica che la protezione del volume del sistema operativo è stato sospeso e verrà ripresa dopo Windows è stato riavviato il numero di volte specificato nel parametro rebootcount. Specificare 0 per sospendere la protezione in modo indefinito. Se questo parametro non viene specificato, la protezione BitLocker riprende automaticamente dopo il riavvio di Windows. È inoltre possibile utilizzare -rc come una versione abbreviata di questo comando. |
| -computername | Specifica chemanage-bde.exe verrà utilizzato per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando. |
<name> |
Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer. |
| -? o /? | Visualizza la guida rapida al prompt dei comandi. |
| -help o -h | Visualizza la guida completa al prompt dei comandi. |
Esempi
Per aggiungere una protezione con chiave certificato, identificata da un file di certificato, per l'unità E, digitare:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
Per aggiungere una protezione con chiave adaccountorgroup, identificata da dominio e nome utente, per l'unità E, digitare:
manage-bde -protectors -add E: -sid DOMAIN\user
Per disabilitare la protezione fino a quando il computer non è stato riavviato 3 volte, digitare:
manage-bde -protectors -disable C: -rc 3
Per eliminare tutte le protezioni con chiavi basate su chiavi di avvio e TPM nell'unità C, digitare:
manage-bde -protectors -delete C: -type tpmandstartupkey
Per elencare tutte le protezioni con chiave per l'unità C, digitare:
manage-bde -protectors -get C:
Per eseguire il backup di tutte le informazioni di ripristino per l'unità C in Active Directory Domain Services, digitare (dove -id è l'ID della protezione con chiave specifica di cui eseguire il backup):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'