manage-bde protectors
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
BitLocker 암호화 키에 사용 되는 보호 방법을 관리 합니다.
구문
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
매개 변수
| 매개 변수 | 설명 |
|---|---|
| -가져오기 | 드라이브에서 사용 하도록 설정 하는 모든 키 보호 방법을 표시 하 고 해당 형식 및 ID (식별자)를 제공 합니다. |
| -추가 | 추가 -add 매개 변수를 사용하여 지정한 대로 키 보호 방법을 추가합니다. |
| -삭제 | BitLocker에 사용 되는 키 보호 메서드를 삭제 합니다. 모든 키 보호기 하지 않는 한 드라이브에서 제거 됩니다 선택적 -매개 변수를 삭제 삭제 하려면 보호 기능을 지정 하는 데 사용 됩니다. 드라이브에 마지막 보호기 삭제 될 때 BitLocker 보호 드라이브의 데이터에 액세스할 수 없는지 확인 손실 실수로 비활성화 됩니다. |
| -사용 하지 않도록 설정 | 사용자는 누구나 하 여 암호화 키 사용 가능한 드라이브에 보안이 설정 되지 않은 암호화 된 데이터에 액세스 하는 보호를 사용 하지 않습니다. 없는 키 보호기 제거 됩니다. 보호 하지 않는 한 Windows 부팅 될 다음에 다시 시작 될 것임 선택적 -매개 변수를 사용 하지 않도록 설정 다시 부팅 횟수를 지정 하는 데 사용 됩니다. |
| -사용 하도록 설정 | 드라이브에서 보안 되지 않은 암호화 키를 제거 하 여 보호를 사용 합니다. 모든 구성 된 키 보호기는 드라이브에 적용 됩니다. |
| -adbackup | ADDS(Active Directory Domain Services)에 지정된 드라이브의 복구 정보를 백업합니다. -id 매개변수를 추가하고 백업할 특정 복구 키의 ID를 지정합니다. -id 매개변수는 필수입니다. |
| -aadbackup | Microsoft Entra ID에 지정된 드라이브의 모든 복구 정보를 백업합니다. -id 매개변수를 추가하고 백업할 특정 복구 키의 ID를 지정합니다. -id 매개변수는 필수입니다. |
<drive> |
드라이브 문자를 뒤에 콜론을 나타냅니다. |
| -computername | manage-bde.exe를 사용하여 다른 컴퓨터에서 BitLocker 보호 기능을 수정하도록 지정합니다. 사용할 수도 있습니다 -cn 이 명령의 축약된 버전으로 합니다. |
<name> |
BitLocker 보호를 수정할 수 있는 컴퓨터의 이름을 나타냅니다. 사용 가능한 값에는 컴퓨터의 NetBIOS 이름 및 컴퓨터의 IP 주소 포함 됩니다. |
| -? 또는 /? | 명령 프롬프트에 간단한 도움말을 표시합니다. |
| -help 또는-h | 명령 프롬프트에 전체 도움말을 표시합니다. |
추가 - 매개 변수 추가
추가 매개변수는 이러한 유효한 추가 매개변수를 사용할 수도 있습니다.
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| 매개 변수 | 설명 |
|---|---|
<drive> |
드라이브 문자를 뒤에 콜론을 나타냅니다. |
| -recoverypassword | 숫자 암호 보호기를 추가합니다. 사용할 수도 있습니다 -rp 이 명령의 축약된 버전으로 합니다. |
<numericalpassword> |
복구 암호를 나타냅니다. |
| -recoverykey | 복구에 대 한 외부 키 보호기를 추가 합니다. 사용할 수도 있습니다 -날짜별 이 명령의 축약된 버전으로 합니다. |
<pathtoexternalkeydirectory> |
복구 키에 디렉터리 경로를 나타냅니다. |
| -시작 | 시작에 대 한 외부 키 보호기를 추가 합니다. 사용할 수도 있습니다 -sk 이 명령의 축약된 버전으로 합니다. |
<pathtoexternalkeydirectory> |
시작 키에 디렉터리 경로를 나타냅니다. |
| -인증서 | 데이터 드라이브에 대 한 공개 키 보호기를 추가합니다. 사용할 수도 있습니다 -cert 이 명령의 축약된 버전으로 합니다. |
| -cf | 인증서 파일을 공개 키 인증서를 제공 하는 것을 지정 합니다. |
<pathtocertificatefile> |
인증서 파일의 디렉터리 경로를 나타냅니다. |
| -ct | 공개 키 인증서를 식별 하는 인증서 지문이 사용될지를 지정 합니다. |
<certificatethumbprint> |
사용 하려는 인증서의 지문 속성의 값을 지정 합니다. 예를 들어 인증서 엄지 지문 값은 a9 09 50 2D D8 2A E4 14 33 E6 F8 38 86 B0 0D 42 77 A3 2A 7B로 지정해야 합니다. |
| -tpmandpin | 신뢰할 수 있는 플랫폼 모듈 (TPM) 및 운영 체제 드라이브에 대 한 개인 식별 번호 (PIN) 보호기를 추가합니다. 사용할 수도 있습니다 -tp 이 명령의 축약된 버전으로 합니다. |
| -tpmandstartupkey | 운영 체제 드라이브에 대 한 TPM 및 시작 키 보호기를 추가합니다. 사용할 수도 있습니다 -tsk 이 명령의 축약된 버전으로 합니다. |
| -tpmandpinandstartupkey | TPM, PIN 및 운영 체제 드라이브에 대 한 시작 키 보호기를 추가합니다. 사용할 수도 있습니다 -tpsk 이 명령의 축약된 버전으로 합니다. |
| -암호 | 데이터 드라이브에 암호 키 보호기를 추가합니다. 사용할 수도 있습니다 -pw 이 명령의 축약된 버전으로 합니다. |
| -adaccountorgroup | 보안 식별자 (SID)를 추가-identity 보호기는 볼륨에 대 한 기반으로 합니다. 사용할 수도 있습니다 -sid 이 명령의 축약된 버전으로 합니다. 중요: 기본적으로 WMI 또는 manage-bde를 사용하여 원격으로 ADaccountorgroup 보호자를 추가할 수 없습니다. 배포에 이 보호자를 원격으로 추가할 수 있는 기능이 필요한 경우에는 제한된 위임을 사용 설정해야 합니다. |
| -computername | manage-bde가 다른 컴퓨터에서 BitLocker 보호를 수정하는 데 사용되도록 지정합니다. 사용할 수도 있습니다 -cn 이 명령의 축약된 버전으로 합니다. |
<name> |
BitLocker 보호를 수정할 수 있는 컴퓨터의 이름을 나타냅니다. 사용 가능한 값에는 컴퓨터의 NetBIOS 이름 및 컴퓨터의 IP 주소 포함 됩니다. |
| -? 또는 /? | 명령 프롬프트에 간단한 도움말을 표시합니다. |
| -help 또는-h | 명령 프롬프트에 전체 도움말을 표시합니다. |
추가 -삭제 매개변수
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| 매개 변수 | 설명 |
|---|---|
<drive> |
드라이브 문자를 뒤에 콜론을 나타냅니다. |
| -유형 | 삭제할 키 보호기를 식별 합니다. 사용할 수도 있습니다 -t 이 명령의 축약된 버전으로 합니다. |
| recoverypassword | 모든 복구 암호 키 보호기를 삭제 해야 함을 지정 합니다. |
| externalkey | 드라이브와 연결 된 모든 외부 키 보호기를 삭제 해야 함을 지정 합니다. |
| 인증서(certificate) | 드라이브와 연결 된 모든 인증서 키 보호기를 삭제 해야 함을 지정 합니다. |
| tpm | 드라이브와 연결 된 모든 TPM 전용 키 보호기를 삭제 해야 함을 지정 합니다. |
| tpmandstartupkey | 드라이브와 연결된 모든 TPM 및 시동 키 기반 키 보호기를 삭제하도록 지정합니다. |
| tpmandpin | 드라이브와 연결된 모든 TPM 및 PIN 기반 키 보호기를 삭제하도록 지정합니다. |
| tpmandpinandstartupkey | 드라이브와 연결된 모든 TPM, PIN 및 시동 키 기반 키 보호기를 삭제하도록 지정합니다. |
| password | 드라이브와 연결 된 모든 암호 키 보호기를 삭제 해야 함을 지정 합니다. |
| identity | 드라이브와 연결 된 모든 identity 키 보호기를 삭제 해야 함을 지정 합니다. |
| -ID | 키 식별자를 사용 하 여 삭제할 키 보호기를 식별 합니다. 이 매개 변수는 다른 옵션에는 -형식 매개 변수입니다. |
<keyprotectorID> |
삭제 하는 드라이브에는 개별 키 보호기를 식별 합니다. Id 키 보호기를 사용 하 여 표시할 수는 관리 bde-보호기-가져오기 명령입니다. |
| -computername | manage-bde.exe를 사용하여 다른 컴퓨터에서 BitLocker 보호 기능을 수정하도록 지정합니다. 사용할 수도 있습니다 -cn 이 명령의 축약된 버전으로 합니다. |
<name> |
BitLocker 보호를 수정할 수 있는 컴퓨터의 이름을 나타냅니다. 사용 가능한 값에는 컴퓨터의 NetBIOS 이름 및 컴퓨터의 IP 주소 포함 됩니다. |
| -? 또는 /? | 명령 프롬프트에 간단한 도움말을 표시합니다. |
| -help 또는-h | 명령 프롬프트에 전체 도움말을 표시합니다. |
추가 -비활성화 매개변수
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| 매개 변수 | 설명 |
|---|---|
<drive> |
드라이브 문자를 뒤에 콜론을 나타냅니다. |
| rebootcount | 운영 체제 볼륨의 보호가 일시 중단되었으며 rebootcount 매개 변수에 지정된 횟수만큼 Windows를 다시 시작한 후에 다시 시작되도록 지정합니다. 보호를 무기한 일시 중지하려면 0을 지정합니다. 이 매개 변수를 지정하지 않으면 Windows가 다시 시작되면 BitLocker 보호가 자동으로 다시 시작됩니다. 사용할 수도 있습니다 -rc 이 명령의 축약된 버전으로 합니다. |
| -computername | manage-bde.exe를 사용하여 다른 컴퓨터에서 BitLocker 보호 기능을 수정하도록 지정합니다. 사용할 수도 있습니다 -cn 이 명령의 축약된 버전으로 합니다. |
<name> |
BitLocker 보호를 수정할 수 있는 컴퓨터의 이름을 나타냅니다. 사용 가능한 값에는 컴퓨터의 NetBIOS 이름 및 컴퓨터의 IP 주소 포함 됩니다. |
| -? 또는 /? | 명령 프롬프트에 간단한 도움말을 표시합니다. |
| -help 또는-h | 명령 프롬프트에 전체 도움말을 표시합니다. |
예제
인증서 파일로 식별되는 인증서 키 보호기를 E 드라이브에 추가하려면 다음과 같이 입력합니다:
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
도메인 및 사용자 이름으로 식별되는 adaccountorgroup 키 보호기를 E 드라이브에 추가하려면 다음과 같이 입력합니다:
manage-bde -protectors -add E: -sid DOMAIN\user
컴퓨터가 3번 재부팅될 때까지 보호 기능을 사용하지 않도록 설정하려면 다음과 같이 입력합니다.
manage-bde -protectors -disable C: -rc 3
C 드라이브에서 모든 TPM 및 시동 키 기반 키 보호기를 삭제하려면 다음과 같이 입력합니다.
manage-bde -protectors -delete C: -type tpmandstartupkey
C 드라이브의 모든 키 보호기를 나열하려면 다음과 같이 입력합니다.
manage-bde -protectors -get C:
드라이브 C의 모든 복구 정보를 AD DS에 백업하려면 다음과 같이 입력합니다(여기서 -id은 백업할 특정 키 보호기의 ID입니다):
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'