BitLocker：使用 BitLocker 驱动器加密工具管理 BitLock

本文内容

本文面向 IT 专业人员介绍如何使用工具来管理 BitLocker。

BitLocker 驱动器加密工具包括命令行工具 manage-bde 和 repair-bde 以及用于Windows PowerShell的 BitLocker cmdlet。

manage-bde 和 BitLocker cmdlet 都可用于执行可通过 BitLocker 控制面板完成的任何任务，并且适合用于自动部署和其他脚本方案。

Repair-bde 是一种特殊情况工具，适用于无法正常解锁或无法使用恢复控制台解锁受 BitLocker 保护的驱动器的灾难恢复方案。

Manage-bde

Manage-bde 是一种命令行工具，可用于编写 BitLocker 操作脚本。 Manage-bde 提供了 BitLocker 控制面板中未显示的其他选项。 有关选项的完整列表 manage-bde.exe ，请参阅 Manage-bde 命令行参考。

Manage-bde 包含较少的默认设置，并且需要更大的自定义来配置 BitLocker。 例如，仅 manage-bde.exe -on 对数据卷使用 命令即可完全加密卷，而无需对保护程序进行任何身份验证。 以这种方式加密的卷仍要求用户交互打开 BitLocker 保护，即使命令已成功完成，因为需要向卷添加身份验证方法才能完全保护该卷。 以下部分提供了 manage-bde 的常见使用方案示例。

将 manage-bde 与操作系统卷配合使用

下面列出了操作系统卷的基本有效命令示例。 通常，仅 manage-bde.exe -on 使用 命令会使用仅限 TPM 的保护程序且没有恢复密钥来加密操作系统卷。 但是，许多环境需要更安全的保护程序（如密码或 PIN），并且希望使用恢复密钥进行信息恢复。 建议将至少一个主保护程序加上一个恢复保护程序添加到操作系统卷。

使用 manage-bde.exe 时的一个好做法是确定目标系统上的卷状态。 使用以下命令确定卷状态：

manage-bde.exe -status

此命令返回每个卷的目标卷、当前加密状态、加密方法和卷类型 (操作系统或数据) ：

以下示例演示如何在没有 TPM 芯片的计算机上启用 BitLocker。 在开始加密过程之前，必须创建 BitLocker 所需的启动密钥并将其保存到 U 盘。 为操作系统卷启用 BitLocker 后，BitLocker 需要访问 U 盘以获取加密密钥。 在此示例中来哥修改器防检测版，驱动器号 E 表示 U 盘。 运行命令后，它将提示重新启动计算机以完成加密过程。

manage-bde.exe -protectors -add C: -startupkey E:
manage-bde.exe -on C:

注意

加密完成后，必须先插入 USB 启动密钥，然后才能启动操作系统。

非 TPM 硬件上的启动密钥保护程序的替代方法是使用密码和 ADaccountorgroup 保护程序来保护操作系统卷。 在此方案中，首先添加保护程序。 若要添加保护程序，请输入以下命令：

manage-bde.exe -protectors -add C: -pw -sid 

上述命令要求在将密码保护程序添加到卷之前输入并确认密码保护程序。 在卷上启用保护程序后，可以打开 BitLocker。

在使用 TPM 的计算机上，无需使用 manage-bde.exe定义任何保护程序即可加密操作系统卷。 若要在不定义任何保护程序的情况下在具有 TPM 的计算机上启用 BitLocker，请输入以下命令：

manage-bde.exe -on C:

上述命令使用 TPM 作为默认保护程序加密驱动器。 如果验证 TPM 保护程序是否可用，可以通过运行以下命令列出可用于卷的保护程序列表：

 manage-bde.exe -protectors -get 

对数据卷使用 manage-bde

数据卷使用与操作系统卷相同的加密语法，但它们不需要保护程序来完成操作。 可以使用基本命令加密数据卷：

manage-bde.exe -on

或者其他保护程序可以先添加到卷。 建议将至少一个主保护程序加上一个恢复保护程序添加到数据卷。

数据卷的常见保护程序是密码保护程序。 在下面的示例中，将密码保护程序添加到卷，然后打开 BitLocker。

manage-bde.exe -protectors -add -pw C:
manage-bde.exe -on C:

Repair-bde

BitLocker 存储关键信息的硬盘区域可能会损坏来哥修改器防检测版，例如，当硬盘发生故障或 Windows 意外退出时。

如果驱动器是使用 BitLocker 加密的，则 BitLocker 修复工具 (Repair-bde) 可用于访问严重损坏硬盘上的加密数据。 只要使用有效的恢复密码或恢复密钥解密数据，Repair-bde 就可以重建驱动器的关键部分并打捞可恢复的数据。 如果驱动器上的 BitLocker 元数据数据已损坏，则必须提供备份密钥包以及恢复密码或恢复密钥。 如果使用 AD DS 备份的默认设置，则会在 Active Directory 域服务 (AD DS) 中备份此密钥包。 使用此密钥包以及恢复密码或恢复密钥，可以解密受 BitLocker 保护的驱动器损坏的部分内容。 每个密钥包仅适用于具有相应驱动器标识符的驱动器。 BitLocker 恢复密码查看器可用于从 AD DS 获取此密钥包。

提示

如果未将恢复信息备份到 AD DS，或者需要以替代方式保存密钥包，则 命令：

manage-bde.exe -KeyPackage

可用于为卷生成密钥包。

Repair-bde 命令行工具适用于操作系统未启动或 BitLocker 恢复控制台无法启动时使用。 如果满足以下条件，请使用 Repair-bde：

注意

驱动器损坏可能与 BitLocker 无关。 因此，建议在使用 BitLocker 修复工具之前尝试其他工具来帮助诊断和解决驱动器问题。 Windows 恢复环境 (Windows RE) 提供了用于修复计算机的其他选项。

Repair-bde 存在以下限制：

有关使用 repair-bde 的详细信息，请参阅 Repair-bde。

Windows PowerShell 的 BitLocker cmdlet

Windows PowerShell cmdlet 为管理员提供了一种在处理 BitLocker 时使用的新方法。 使用 Windows PowerShell 的脚本功能，管理员可以轻松地将 BitLocker 选项集成到现有脚本中。 以下列表显示可用的 BitLocker cmdlet。

名称参数

Add-BitLockerKeyProtector

ADAccountOrGroupADAccountOrGroupProtector“确认”MountPoint密码PasswordProtectorPinRecoveryKeyPathRecoveryKeyProtectorRecoveryPasswordRecoveryPasswordProtector服务StartupKeyPathStartupKeyProtectorTpmAndPinAndStartupKeyProtectorTpmAndPinProtectorTpmAndStartupKeyProtectorTpmProtectorWhatIf

Backup-BitLockerKeyProtector

“确认”KeyProtectorIdMountPointWhatIf

Disable-BitLocker

“确认”MountPointWhatIf

Disable-BitLockerAutoUnlock

“确认”MountPointWhatIf

Enable-BitLocker

AdAccountOrGroupAdAccountOrGroupProtector“确认”EncryptionMethodHardwareEncryption密码PasswordProtectorPinRecoveryKeyPathRecoveryKeyProtectorRecoveryPasswordRecoveryPasswordProtector服务SkipHardwareTestStartupKeyPathStartupKeyProtectorTpmAndPinAndStartupKeyProtectorTpmAndPinProtectorTpmAndStartupKeyProtectorTpmProtectorUsedSpaceOnlyWhatIf

Enable-BitLockerAutoUnlock

“确认”MountPointWhatIf

Get-BitLockerVolume

MountPoint

Lock-BitLocker

“确认”ForceDismountMountPointWhatIf

Remove-BitLockerKeyProtector

“确认”KeyProtectorIdMountPointWhatIf

Resume-BitLocker

“确认”MountPointWhatIf

Suspend-BitLocker

“确认”MountPointRebootCountWhatIf

Unlock-BitLocker

AdAccountOrGroup“确认”MountPoint密码RecoveryKeyPathRecoveryPasswordRecoveryPasswordWhatIf

与 manage-bde 类似，Windows PowerShell cmdlet 允许配置超出控制面板中提供的选项。 与 manage-bde 一样，在运行 Windows PowerShell cmdlet 之前，用户需要考虑他们正在加密的卷的特定需求。

一个很好的初始步骤是确定计算机上的卷 () 的当前状态。 可以使用 cmdlet 确定卷 () 的 Get-BitLockerVolume 当前状态。

Get-BitLockerVolume cmdlet 输出提供有关卷类型、保护程序、保护状态和其他详细信息的信息。

提示

使用时 Get-BitLockerVolume ，由于输出显示中缺少空间，有时可能不会显示所有保护器。 如果未看到卷的所有保护程序，请使用 Windows PowerShell 管道命令 (|) 设置保护程序的完整列表的格式：

Get-BitLockerVolume C: | fl

若要在卷上预配 BitLocker 之前删除现有保护程序，请使用 Remove-BitLockerKeyProtector cmdlet。 运行此 cmdlet 需要删除与保护程序关联的 GUID。

简单的脚本可以通过管道将每个Get-BitLockerVolume的值返回到另一个变量，如下所示：

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

使用此脚本，可以显示 $keyprotectors 变量中的信息，以确定每个保护程序的 GUID。

通过使用此信息，可以使用 命令删除特定卷的密钥保护程序：

Remove-BitLockerKeyProtector : -KeyProtectorID "{GUID}"

注意

BitLocker cmdlet 需要用引号括起来的密钥保护程序 GUID 才能执行。 确保命令中包含包含大括号的整个 GUID。

将 BitLocker Windows PowerShell cmdlet 与操作系统卷配合使用

使用 BitLocker Windows PowerShell cmdlet 类似于使用 manage-bde 工具来加密操作系统卷。 Windows PowerShell为用户提供了灵活性。 例如，用户可以添加所需的保护程序作为用于加密卷的一部分命令。 下面是常见用户方案的示例，以及在 BitLocker Windows PowerShell中完成这些方案的步骤。

以下示例演示如何仅使用 TPM 保护程序在操作系统驱动器上启用 BitLocker：

Enable-BitLocker C:

在下面的示例中，添加了一个额外的保护程序 StartupKey 保护程序，并选择跳过 BitLocker 硬件测试。 在此示例中，无需重新启动即可立即启动加密。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath  -SkipHardwareTest

对数据卷使用 BitLocker Windows PowerShell cmdlet

使用 Windows PowerShell 的数据卷加密与操作系统卷相同。 在加密卷之前添加所需的保护程序。 以下示例使用变量 $pw 作为密码向 E： 卷添加密码保护程序。 $pw变量保存为 SecureString 值，以存储用户定义的密码。

$pw = Read-Host -AsSecureString

Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

在 Windows PowerShell 中使用 AD 帐户或组保护程序

Windows 8 和 Windows Server 2012 中引入的 ADAccountOrGroup 保护程序是基于 Active Directory SID 的保护程序。 此保护程序可以添加到操作系统和数据卷，尽管它不会在预启动环境中解锁操作系统卷。 保护程序需要域帐户或组的 SID 才能与保护程序链接。 BitLocker 可以通过为群集名称对象添加基于 SID 的保护程序来保护群集感知磁盘 (CNO) ，该保护程序允许磁盘正确故障转移到群集的任何成员计算机，并由群集的任何成员计算机解锁。

警告

在操作系统卷上使用时， ADAccountOrGroup 保护程序需要使用其他保护程序来使用 (，例如 TPM、PIN 或恢复密钥)

若要将 ADAccountOrGroup 保护程序添加到卷，请使用实际的域 SID 或组名称前面有域和反斜杠。 在下面的示例中，CONTOSO\Administrator 帐户作为保护程序添加到数据卷 G。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

对于希望对帐户或组使用 SID 的用户，第一步是确定与帐户关联的 SID。 若要在 Windows PowerShell 中获取用户帐户的特定 SID，请使用以下命令：

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

get-aduser -filter {samaccountname -eq "administrator"}

提示

除了上述 PowerShell 命令外，还可以使用 WHOAMI /ALL 找到有关本地登录用户和组成员身份的信息。 这不需要使用其他功能。

以下示例使用帐户的 SID 将 ADAccountOrGroup 保护程序添加到以前加密的操作系统卷：

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

注意

基于 Active Directory 的保护程序通常用于解锁启用了故障转移群集的卷。

相关文章