manage-bde protectors

Gestisce i metodi di protezione utilizzati per la chiave di crittografia BitLocker.

Sintassi

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

Parametri

Parametro Descrizione
-Introduzione Visualizza tutti i metodi di protezione con chiave abilitati per l'unità e fornisce il tipo e l'identificatore (ID).
-aggiungere Aggiunge metodi di protezione con chiave specificato utilizzando parametri -add aggiuntivi.
-Elimina Elimina i metodi di protezione della chiave utilizzati da BitLocker. Tutte le protezioni con chiave verrà rimossa da un'unità a meno che non facoltativo -eliminare parametri vengono utilizzati per specificare quali programmi di protezione da eliminare. Quando viene eliminata l'ultimo protezione in un'unità, la protezione BitLocker dell'unità è disabilitata per assicurare che l'accesso ai dati non vengano perso accidentalmente.
-Disabilita Disabilita la protezione, che consentirà a chiunque di accedere ai dati crittografati rendendo disponibile la chiave di crittografia non protette sul disco. Nessuna protezione con chiave vengono rimossi. Protezione verrà ripresa al successivo avvio di Windows a meno che non facoltativo -disabilitare parametri vengono utilizzati per specificare il numero di riavvio.
-abilitare Abilita la protezione rimuovendo la chiave di crittografia non protetta dall'unità. Verranno applicate tutte le protezioni con chiave configurata nell'unità.
-adbackup Esegue il backup delle informazioni di ripristino per l'unità specificata in Active Directory Domain Services. Aggiungere il parametro -id e specificare l'ID di una chiave di ripristino specifica per eseguire il backup. Il parametro -id è obbligatorio.
-aadbackup Esegue il backup di tutte le informazioni di ripristino per l'unità specificata in Microsoft Entra ID. Aggiungere il parametro -id e specificare l'ID di una chiave di ripristino specifica per eseguire il backup. Il parametro -id è obbligatorio.
<drive> Rappresenta una lettera di unità seguita da due punti.
-computername Specifica chemanage-bde.exe verrà utilizzato per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando.
<name> Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer.
-? o /? Visualizza la guida rapida al prompt dei comandi.
-help o -h Visualizza la guida completa al prompt dei comandi.

Parametri -add aggiuntivi

Il parametro -add può anche usare questi parametri aggiuntivi validi.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Parametro Descrizione
<drive> Rappresenta una lettera di unità seguita da due punti.
-recoverypassword Aggiunge una protezione con password numerica. È inoltre possibile utilizzare - rp come una versione abbreviata di questo comando.
<numericalpassword> Rappresenta la password di ripristino.
-recoverykey Aggiunge una protezione con chiave esterna per il ripristino. È inoltre possibile utilizzare - rk come una versione abbreviata di questo comando.
<pathtoexternalkeydirectory> Rappresenta il percorso della directory per la chiave di ripristino.
-chiave di avvio Aggiunge una protezione con chiave esterna per l'avvio. È inoltre possibile utilizzare -sk come una versione abbreviata di questo comando.
<pathtoexternalkeydirectory> Rappresenta il percorso della directory per la chiave di avvio.
-certificato Aggiunge una protezione con chiave pubblica per un'unità di dati. È inoltre possibile utilizzare -cert come una versione abbreviata di questo comando.
-cf Specifica un file di certificato verrà utilizzato per fornire il certificato chiave pubblica.
<pathtocertificatefile> Rappresenta il percorso della directory del file di certificato.
-ct Specifica un'identificazione personale del certificato verrà utilizzato per identificare il certificato chiave pubblica
<certificatethumbprint> Specifica il valore della proprietà identificazione personale del certificato da utilizzare. Ad esempio, un valore di identificazione personale certificato di "a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0D che 42 77 a3 2a 7b" deve essere specificato come a909502dd82ae41433e6f83886b00d4277a32a7b.
-tpmandpin Aggiunge un modulo TPM (Trusted Platform) e protezione (PIN) numero di identificazione personale per l'unità del sistema operativo. È inoltre possibile utilizzare - tp come una versione abbreviata di questo comando.
-tpmandstartupkey Aggiunge una protezione con chiave TPM e avvio per l'unità del sistema operativo. È inoltre possibile utilizzare -tsk come una versione abbreviata di questo comando.
-tpmandpinandstartupkey Aggiunge un TPM, PIN e protezione con chiave di avvio per l'unità del sistema operativo. È inoltre possibile utilizzare - tpsk come una versione abbreviata di questo comando.
-password Aggiunge una protezione con chiave password per l'unità dati. È inoltre possibile utilizzare - pw come una versione abbreviata di questo comando.
-adaccountorgroup Aggiunge un ID di sicurezza (SID)-protezione di identità per il volume di base. È inoltre possibile utilizzare -sid come una versione abbreviata di questo comando. IMPORTANTE: per impostazione predefinita, non è possibile aggiungere una protezione ADaccountorgroup in remoto usando WMI o manage-bde. Se la distribuzione richiede la possibilità di aggiungere questo tipo di protezione in modalità remota è necessario abilitare la delega vincolata.
-computername Specifica che manage-bde viene utilizzata per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando.
<name> Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer.
-? o /? Visualizza la guida rapida al prompt dei comandi.
-help o -h Visualizza la guida completa al prompt dei comandi.

Parametri -delete aggiuntivi

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametro Descrizione
<drive> Rappresenta una lettera di unità seguita da due punti.
-type Identifica la protezione con chiave da eliminare. È inoltre possibile utilizzare -t come una versione abbreviata di questo comando.
RecoveryPassword Specifica che le protezioni con chiave di password di ripristino deve essere eliminata.
ExternalKey Specifica che le protezioni con chiave esterne associate all'unità devono essere eliminate.
certificato Specifica che le protezioni con chiave certificato associati con l'unità devono essere eliminate.
tpm Specifica che le protezioni con chiave solo TPM associati con l'unità devono essere eliminate.
TPMAndStartupKey Specifica che devono essere eliminate qualsiasi TPM e avvio basata su chiave protezioni con chiave associate all'unità.
TPMAndPIN Specifica che deve essere eliminata qualsiasi TPM e PIN basati protezioni con chiave associata all'unità.
tpmandpinandstartupkey Specifica che devono essere eliminate qualsiasi TPM e PIN di avvio basato su chiave protezioni con chiave associate all'unità.
password Specifica che le protezioni con chiave password associate all'unità devono essere eliminate.
identity Specifica che le protezioni con chiave di identità associata all'unità deve essere eliminata.
-ID Identifica la protezione con chiave da eliminare utilizzando l'identificatore di chiave. Questo parametro è un'opzione alternativa per il -type parametro.
<keyprotectorID> Identifica un singolo protezione con chiave sull'unità da eliminare. ID di protezione con chiave possono essere visualizzati utilizzando il gestire-bde-protezioni-ottenere comando.
-computername Specifica chemanage-bde.exe verrà utilizzato per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando.
<name> Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer.
-? o /? Visualizza la guida rapida al prompt dei comandi.
-help o -h Visualizza la guida completa al prompt dei comandi.

Parametri -disable aggiuntivi

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Parametro Descrizione
<drive> Rappresenta una lettera di unità seguita da due punti.
rebootcount Specifica che la protezione del volume del sistema operativo è stato sospeso e verrà ripresa dopo Windows è stato riavviato il numero di volte specificato nel parametro rebootcount. Specificare 0 per sospendere la protezione in modo indefinito. Se questo parametro non viene specificato, la protezione BitLocker riprende automaticamente dopo il riavvio di Windows. È inoltre possibile utilizzare -rc come una versione abbreviata di questo comando.
-computername Specifica chemanage-bde.exe verrà utilizzato per modificare la protezione BitLocker su un computer diverso. È inoltre possibile utilizzare - cn come una versione abbreviata di questo comando.
<name> Rappresenta il nome del computer in cui si desidera modificare la protezione BitLocker. I valori accettati includono nome NetBIOS del computer e l'indirizzo IP del computer.
-? o /? Visualizza la guida rapida al prompt dei comandi.
-help o -h Visualizza la guida completa al prompt dei comandi.

Esempi

Per aggiungere una protezione con chiave certificato, identificata da un file di certificato, per l'unità E, digitare:

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Per aggiungere una protezione con chiave adaccountorgroup, identificata da dominio e nome utente, per l'unità E, digitare:

manage-bde -protectors -add E: -sid DOMAIN\user

Per disabilitare la protezione fino a quando il computer non è stato riavviato 3 volte, digitare:

manage-bde -protectors -disable C: -rc 3

Per eliminare tutte le protezioni con chiavi basate su chiavi di avvio e TPM nell'unità C, digitare:

manage-bde -protectors -delete C: -type tpmandstartupkey

Per elencare tutte le protezioni con chiave per l'unità C, digitare:

manage-bde -protectors -get C:

Per eseguire il backup di tutte le informazioni di ripristino per l'unità C in Active Directory Domain Services, digitare (dove -id è l'ID della protezione con chiave specifica di cui eseguire il backup):

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'