Partager via


manage-bde protectors

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Gère les méthodes de protection employées pour la clé de chiffrement BitLocker.

Syntaxe

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]

Paramètres

Paramètre Description
-get Affiche toutes les méthodes de protection de clés activées sur le lecteur et fournit leur type et leur identificateur (ID).
-add Ajoute les méthodes de protection de clés comme spécifié à l’aide de paramètres -add supplémentaires.
-delete Supprime les méthodes de protection de clés employées par BitLocker. Tous les protecteurs de clé sont supprimés d’un lecteur, sauf si les paramètres -delete facultatifs sont utilisés pour spécifier les protecteurs à supprimer. Lorsque le dernier protecteur d’un lecteur est supprimé, la protection BitLocker du lecteur est désactivée afin de garantir que l’accès aux données n’est pas perdu par inadvertance.
-disable Désactive la protection, ce qui permet à quiconque d’accéder aux données chiffrées en supprimant la sécurité de la clé de chiffrement disponible sur le lecteur. Aucun protecteur de clé n’est supprimé. La protection reprend lors du prochain démarrage de Windows, sauf si les paramètres -disable facultatifs sont utilisés pour spécifier le nombre de redémarrages.
-enable Active la protection en supprimant la clé de chiffrement non sécurisée du lecteur. Tous les protecteurs de clé configurés sur le lecteur sont appliqués.
-adbackup Sauvegarde les informations de récupération pour le lecteur spécifié sur Active Directory Domain Services (AD DS). Ajoutez le paramètre -id et spécifiez l’ID d’une clé de récupération spécifique à sauvegarder. Le paramètre -id est obligatoire.
-aadbackup Sauvegarde toutes les informations de récupération du lecteur spécifié dans Microsoft Entra ID. Ajoutez le paramètre -id et spécifiez l’ID d’une clé de récupération spécifique à sauvegarder. Le paramètre -id est obligatoire.
<drive> Représente une lettre de lecteur suivie par un signe deux-points.
-computername Spécifie que manage-bde.exe sera utilisé pour modifier la protection BitLocker sur un autre ordinateur. Vous pouvez également utiliser -cn comme version abrégée de cette commande.
<name> Représente le nom de l’ordinateur sur lequel modifier la protection BitLocker. Les valeurs acceptées incluent le nom NetBIOS de l’ordinateur et l’adresse IP de l’ordinateur.
-? ou /? Affiche une aide succincte au niveau de l’invite de commandes.
-help ou -h Affiche une aide complète au niveau de l’invite de commandes.

Paramètres -add supplémentaires

Le paramètre -add peut également employer ces paramètres supplémentaires valides.

manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
Paramètre Description
<drive> Représente une lettre de lecteur suivie par un signe deux-points.
-recoverypassword Ajoute un protecteur de mot de passe numérique. Vous pouvez également utiliser -rp comme version abrégée de cette commande.
<numericalpassword> Représente le mot de passe de récupération.
-recoverykey Ajoute un protecteur de clé externe à des fins de récupération. Vous pouvez également utiliser -rk comme version abrégée de cette commande.
<pathtoexternalkeydirectory> Représente le chemin d’accès au répertoire de la clé de récupération.
-startupkey Ajoute un protecteur de clé externe à des fins de démarrage. Vous pouvez également utiliser -sk en tant que version abrégée de cette commande.
<pathtoexternalkeydirectory> Représente le chemin d’accès au répertoire de la clé de démarrage.
-certificate Ajoute un protecteur de clé publique pour un lecteur de données. Vous pouvez également utiliser -cert comme version abrégée de cette commande.
-cf Spécifie qu’un fichier de certificat sera utilisé afin de fournir le certificat de clé publique.
<pathtocertificatefile> Représente le chemin d’accès au répertoire du fichier de certificat.
-ct Spécifie qu’une empreinte de certificat sera utilisée afin d’identifier le certificat de clé publique.
<certificatethumbprint> Spécifie la valeur de la propriété d’empreinte numérique du certificat que vous souhaitez employer. Par exemple, une valeur d’empreinte de certificat de a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b doit être spécifiée sous la forme de a909502dd82ae41433e6f83886b00d4277a32a7b.
-tpmandpin Ajoute un module de plateforme sécurisée (TPM) et un protecteur de numéro d’identification personnel (PIN) pour le lecteur de système d’exploitation. Vous pouvez également utiliser -tp en tant que version abrégée de cette commande.
-tpmandstartupkey Ajoute un module de plateforme sécurisée (TPM) et un protecteur de clé de démarrage pour le lecteur de système d’exploitation. Vous pouvez également utiliser -tsk en tant que version abrégée de cette commande.
-tpmandpinandstartupkey Ajoute un module de plateforme sécurisée (TPM), un code PIN et un protecteur de clé de démarrage pour le lecteur de système d’exploitation. Vous pouvez également utiliser -tpsk en tant que version abrégée de cette commande.
-password Ajoute un protecteur de clé de mot de passe pour le lecteur de données. Vous pouvez également utiliser -pw comme version abrégée de cette commande.
-adaccountorgroup Ajoute un protecteur d’identité basé sur un ID de sécurité (SID) pour le volume. Vous pouvez également utiliser -sid en tant que version abrégée de cette commande. IMPORTANT : par défaut, vous ne pouvez pas ajouter de protecteur ADaccountorgroup à distance à l’aide de WMI ou de manage-bde. Si votre déploiement nécessite la possibilité d’ajouter ce protecteur à distance, vous devez activer la délégation contrainte.
-computername Spécifie que manage-bde est utilisé pour modifier la protection BitLocker sur un autre ordinateur. Vous pouvez également utiliser -cn comme version abrégée de cette commande.
<name> Représente le nom de l’ordinateur sur lequel modifier la protection BitLocker. Les valeurs acceptées incluent le nom NetBIOS de l’ordinateur et l’adresse IP de l’ordinateur.
-? ou /? Affiche une aide succincte au niveau de l’invite de commandes.
-help ou -h Affiche une aide complète au niveau de l’invite de commandes.

Paramètres -delete supplémentaires

manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Paramètre Description
<drive> Représente une lettre de lecteur suivie par un signe deux-points.
-type Détermine le protecteur de clé à supprimer. Vous pouvez également utiliser -t en tant que version abrégée de cette commande.
recoverypassword Spécifie que tous les protecteurs de clé de mot de passe de récupération doivent être supprimés.
externalkey Spécifie que tous les protecteurs de clé externe associés au lecteur doivent être supprimés.
certificat Spécifie que tous les protecteurs de clé de certificat associés au lecteur doivent être supprimés.
tpm Spécifie que tous les protecteurs de clé TPM uniquement associés au lecteur doivent être supprimés.
tpmandstartupkey Spécifie que tous les protecteurs de clé TPM et de clé de démarrage associés au lecteur doivent être supprimés.
tpmandpin Spécifie que tous les protecteurs de clé TPM et PIN associés au lecteur doivent être supprimés.
tpmandpinandstartupkey Spécifie que tous les protecteurs de clé TPM, PIN et de clé de démarrage associés au lecteur doivent être supprimés.
mot de passe Spécifie que tous les protecteurs de clé de mot de passe associés au lecteur doivent être supprimés.
identité Spécifie que tous les protecteurs de clé d’identité uniquement associés au lecteur doivent être supprimés.
-ID Détermine le protecteur de clé à supprimer à l’aide de l’identificateur de clé. Ce paramètre est une option de substitution au paramètre -type.
<keyprotectorID> Détermine un protecteur de clé individuel sur le lecteur à supprimer. Les ID de protecteur de clé peuvent être affichés à l’aide de la commande manage-bde -protectors -get.
-computername Spécifie que manage-bde.exe sera utilisé pour modifier la protection BitLocker sur un autre ordinateur. Vous pouvez également utiliser -cn comme version abrégée de cette commande.
<name> Représente le nom de l’ordinateur sur lequel modifier la protection BitLocker. Les valeurs acceptées incluent le nom NetBIOS de l’ordinateur et l’adresse IP de l’ordinateur.
-? ou /? Affiche une aide succincte au niveau de l’invite de commandes.
-help ou -h Affiche une aide complète au niveau de l’invite de commandes.

Paramètres -disable supplémentaires

manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
Paramètre Description
<drive> Représente une lettre de lecteur suivie par un signe deux-points.
rebootcount Spécifie que la protection du volume hébergeant un système d’exploitation a été interrompue et reprendra après le redémarrage de Windows selon le nombre de fois spécifié dans le paramètre rebootcount. Spécifiez 0 pour interrompre la protection indéfiniment. Si ce paramètre n’est pas spécifié, la protection BitLocker reprend automatiquement après le redémarrage de Windows. Vous pouvez également utiliser -rc en tant que version abrégée de cette commande.
-computername Spécifie que manage-bde.exe sera utilisé pour modifier la protection BitLocker sur un autre ordinateur. Vous pouvez également utiliser -cn comme version abrégée de cette commande.
<name> Représente le nom de l’ordinateur sur lequel modifier la protection BitLocker. Les valeurs acceptées incluent le nom NetBIOS de l’ordinateur et l’adresse IP de l’ordinateur.
-? ou /? Affiche une aide succincte au niveau de l’invite de commandes.
-help ou -h Affiche une aide complète au niveau de l’invite de commandes.

Exemples

Pour ajouter un protecteur de clé de certificat, identifié par un fichier de certificat, au lecteur E, saisissez :

manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer

Pour ajouter un protecteur de clé adaccountorgroup, identifié par le domaine et le nom d’utilisateur, au lecteur E, saisissez :

manage-bde -protectors -add E: -sid DOMAIN\user

Pour désactiver la protection jusqu’à ce que l’ordinateur ait redémarré 3 fois, saisissez :

manage-bde -protectors -disable C: -rc 3

Pour supprimer tous les protecteurs de clé TPM et de clé de démarrage sur le lecteur C, saisissez :

manage-bde -protectors -delete C: -type tpmandstartupkey

Pour répertorier tous les protecteurs de clé pour le lecteur C, saisissez :

manage-bde -protectors -get C:

Pour sauvegarder toutes les informations de récupération du lecteur C sur AD DS, saisissez (où -id équivaut à l’ID du protecteur de clé spécifique à sauvegarder) :

manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'