| BitLocker 操作指南 | 您所在的位置:网站首页 › 磁盘工具修复磁盘权限 › BitLocker 操作指南 |
|
BitLocker 操作指南
项目06/18/2024
适用于:
✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016
可通过不同的工具和选项来管理和操作 BitLocker: BitLocker PowerShell 模块 BitLocker 驱动器加密工具 控制面板BitLocker 驱动器加密工具和 BitLocker PowerShell 模块可用于执行可通过 BitLocker 控制面板完成的任何任务。 它们适用于自动部署和其他脚本方案。 BitLocker 控制面板小程序允许用户执行基本任务,例如在驱动器上打开 BitLocker 以及指定解锁方法和身份验证方法。 BitLocker 控制面板小程序适用于基本 BitLocker 任务。 本文介绍 BitLocker 管理工具及其使用方式,并提供实际示例。 BitLocker PowerShell 模块BitLocker PowerShell 模块使管理员能够轻松地将 BitLocker 选项集成到现有脚本中。 有关模块中包含的 cmdlet 列表及其说明和语法,检查 BitLocker PowerShell 参考文章。 BitLocker 驱动器加密工具BitLocker 驱动器加密工具包括两个命令行工具: 配置工具 (manage-bde.exe) 可用于编写 BitLocker 操作脚本,并提供 BitLocker 控制面板小程序中不存在的选项。 有关选项的完整列表 manage-bde.exe ,请参阅 Manage-bde 参考 修复工具 (repair-bde.exe) 对于无法正常解锁受 BitLocker 保护的驱动器或使用恢复控制台的灾难恢复方案非常有用 BitLocker 控制面板小程序使用 BitLocker 加密卷控制面板 (依次选择“开始”、“”、“BitLocker管理 BitLocker) 将使用 BitLocker 的用户数”。 BitLocker 控制面板小程序的名称是 BitLocker 驱动器加密。 小程序支持加密操作系统、固定数据和可移动数据卷。 BitLocker 控制面板根据设备向 Windows 报告自身的方式,按相应类别组织可用驱动器。 BitLocker 控制面板小程序中仅正确显示已分配驱动器号的格式化卷。 在 Windows 资源管理器中使用 BitLockerWindows 资源管理器允许用户通过右键单击卷并选择“打开 BitLocker”来启动 BitLocker 驱动器加密向导。 默认情况下,此选项在客户端计算机上可用。 在服务器上,必须先安装 BitLocker 功能和 Desktop-Experience 功能,此选项才能可用。 选择“打开 BitLocker”后,向导的工作方式与使用 BitLocker 控制面板启动时完全相同。 检查 BitLocker 状态若要检查特定卷的 BitLocker 状态,管理员可以在 BitLocker 控制面板小程序、Windows 资源管理器、manage-bde.exe命令行工具或Windows PowerShell cmdlet 中查看驱动器的状态。 每个选项提供不同级别的详细信息和易用性。 按照以下说明验证 BitLocker 的状态,选择所选工具。 PowerShell 命令提示符 控制面板若要确定卷的当前状态,可以使用 Get-BitLockerVolume cmdlet,该 cmdlet 提供有关卷类型、保护程序、保护状态和其他详细信息的信息。 例如: PS C:\> Get-BitLockerVolume C: | fl ComputerName : DESKTOP MountPoint : C: EncryptionMethod : XtsAes128 AutoUnlockEnabled : AutoUnlockKeyStored : False MetadataVersion : 2 VolumeStatus : FullyEncrypted ProtectionStatus : On LockStatus : Unlocked EncryptionPercentage : 100 WipePercentage : 0 VolumeType : OperatingSystem CapacityGB : 1000 KeyProtector : {Tpm, RecoveryPassword}使用 manage-bde.exe 可以确定目标系统上的卷状态,例如: manage-bde.exe -status此命令返回每个卷的目标卷、当前加密状态、加密方法和卷类型 (操作系统或数据) 。 C:\>manage-bde -status Volume C: [Local Disk] [OS Volume] Size: 1000 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM Numerical Password使用控制面板检查 BitLocker 状态是大多数用户使用的常用方法。 打开后,每个卷的状态将显示在卷说明和驱动器号旁边。 具有小程序的可用状态返回值包括: 状态 描述 打开 为卷启用了 BitLocker 关闭 未为卷启用 BitLocker Suspended BitLocker 已挂起,并且未主动保护卷 正在等待激活 BitLocker 是使用明确的保护程序密钥启用的,需要采取进一步的操作才能受到完全保护如果驱动器是使用 BitLocker 预先预配的,则卷上会显示“ 正在等待激活 ”状态,并显示黄色感叹号图标。 此状态意味着加密卷时只使用了明确的保护程序。 在这种情况下,卷未处于受保护状态,需要先将安全密钥添加到卷,然后才能完全保护驱动器。 管理员可以使用 控制面板、PowerShell 或 manage-bde.exe 添加适当的密钥保护程序。 完成后,控制面板更新以反映新状态。 启用 BitLocker 具有 TPM 保护程序的 OS 驱动器以下示例演示如何在仅使用 TPM 保护程序且不使用恢复密钥的操作系统驱动器上启用 BitLocker: PowerShell 命令提示符 控制面板 Enable-BitLocker C: -TpmProtector manage-bde.exe -on C:从 BitLocker 驱动器加密控制面板小程序: 展开 OS 驱动器,然后选择“打开 BitLocker”选项 出现提示时,选择选项“允许 BitLocker 自动解锁我的驱动器” 使用以下方法之一备份 恢复密钥 : 保存到Microsoft Entra ID帐户或 Microsoft 帐户 ((如果适用)) 保存到 U 盘 保存到文件 - 需要将文件保存到设备本身之外的位置(例如网络文件夹) 打印恢复密钥选择“ 下一步” 选择其中一个选项以仅加密已用磁盘空间或加密整个驱动器,然后选择“下一步” 仅加密已用磁盘空间 - 仅加密包含数据的磁盘空间 加密整个驱动器 - 加密整个卷,包括可用空间。 也称为完整磁盘加密建议在以下方案中使用每种方法: 仅加密已用磁盘空间: 驱动器从未有过数据 格式化或擦除的驱动器,这些驱动器过去从未有过加密的机密数据加密整个驱动器 (完整磁盘加密) : 当前具有数据的驱动器 当前具有操作系统的驱动器 格式化或擦除的驱动器,这些驱动器过去具有从未加密的机密数据重要提示 已删除的文件显示为文件系统的可用空间,该空间 不是仅通过已用磁盘空间加密的。 在擦除或覆盖这些文件之前,已删除的文件会保存可使用常用数据取证工具恢复的信息。 选择加密模式,然后选择“下一步” 新的加密模式 兼容模式注意 通常应选择 “新加密模式 ”,但如果驱动器可能移动到具有较旧 Windows 操作系统的另一台设备,请选择“ 兼容模式” 选择“立即继续重启”> 重新启动后,OS 将执行 BitLocker 系统检查并开始加密 用户可以使用 BitLocker 控制面板小程序检查加密状态。 注意 创建恢复密钥后,可以使用 BitLocker 控制面板创建恢复密钥的其他副本。 具有 TPM 保护器和启动密钥的 OS 驱动器以下示例演示如何使用 TPM 和 启动密钥 保护程序在操作系统驱动器上启用 BitLocker。 假设 OS 驱动器号为 C: ,U 盘是驱动器号 E:,下面是命令: PowerShell 命令提示符 控制面板如果选择跳过 BitLocker 硬件测试,加密会立即启动,而无需重新启动。 Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest manage-bde.exe -protectors -add C: -TPMAndStartupKey E: manage-bde.exe -on C:如果出现提示,请重新启动计算机以完成加密过程。 注意 加密完成后,必须先插入 USB 启动密钥,然后才能启动操作系统。 控制面板小程序不允许同时启用 BitLocker 和添加启动密钥保护程序。 若要添加启动密钥保护程序,请执行以下步骤: 从 BitLocker 驱动器加密控制面板小程序,在 OS 驱动器下,选择选项更改驱动器在启动时的解锁方式 出现提示时,选择“插入 U 盘”选项 选择要存储启动密钥的 U 盘,然后选择“保存”重新启动后,将显示 BitLocker 预启动屏幕,并且必须插入 USB 启动密钥,然后才能启动操作系统: 数据卷 数据卷使用与操作系统卷类似的加密过程,但它们不需要保护程序来完成操作。 PowerShell 命令提示符 控制面板在加密卷之前添加所需的保护程序。 以下示例使用 变量$pw作为密码向E:卷添加密码保护程序。 变量 $pw 保留为 SecureString 值,用于存储用户定义的密码: $pw = Read-Host -AsSecureString Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw注意 BitLocker cmdlet 需要用引号括起来的密钥保护程序 GUID 才能执行。 确保命令中包含包含大括号的整个 GUID。 示例:使用 PowerShell 通过 TPM 保护程序启用 BitLocker Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector示例:使用 PowerShell 通过 TPM+PIN 保护程序启用 BitLocker,在本例中,PIN 设置为 123456: $SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector可以使用基本命令加密数据卷: manage-bde.exe -on或者其他保护程序可以先添加到卷。 建议将至少一个主保护程序加上一个恢复保护程序添加到数据卷。 使用 BitLocker 控制面板加密数据卷的方式与加密操作系统卷的方式类似。 用户在 BitLocker 控制面板中选择“打开 BitLocker”以启动 BitLocker 驱动器加密向导。 管理 BitLocker 保护程序BitLocker 保护程序管理包括添加、删除和备份保护程序。 使用以下说明,选择最适合你需求的选项,托管的 BitLocker 保护程序。 列出保护程序可以通过运行以下命令列出示例) 中可用于卷 (C: 的保护程序列表: PowerShell 命令提示符 控制面板 (Get-BitLockerVolume -mountpoint C).KeyProtector manage-bde.exe -protectors -get C:此信息在控制面板中不可用。 添加保护程序 添加恢复密码保护程序 PowerShell 命令提示符 控制面板 Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector manage-bde.exe -protectors -add -recoverypassword C:从 BitLocker 驱动器加密控制面板小程序中,选择要在其中添加保护程序的卷,然后选择“备份恢复密钥”选项。 添加密码保护程序数据卷的常见保护程序是密码保护程序。 在下一个示例中,密码保护程序将添加到卷。 PowerShell 命令提示符 控制面板 Add-BitLockerKeyProtector -MountPoint D -PasswordProtector manage-bde.exe -protectors -add -pw D:在 BitLocker 驱动器加密控制面板小程序中,展开要在其中添加密码保护程序的驱动器,然后选择“添加密码”选项。 出现提示时,输入并确认密码以解锁驱动器。 选择“ 完成” 以完成该过程。 添加 Active Directory 保护程序Active Directory 保护程序是基于 SID 的保护程序,可以添加到操作系统卷和数据卷,尽管它不会在预启动环境中解锁操作系统卷。 保护程序需要域帐户或组的 SID 才能与保护程序链接。 BitLocker 可以通过为群集名称对象添加基于 SID 的保护程序来保护群集感知磁盘 (CNO) ,该保护程序允许磁盘正确故障转移并解锁到群集的任何成员计算机。 重要提示 基于 SID 的保护程序要求在操作系统卷上使用其他保护程序,例如 TPM、PIN、恢复密钥等。 注意 此选项不适用于已加入Microsoft Entra设备。 在此示例中,将基于域 SID 的保护程序添加到以前加密的卷。 用户知道要添加的用户帐户或组的 SID,并使用以下命令: PowerShell 命令提示符 控制面板 Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup ""若要将保护程序添加到卷,需要域 SID 或域前面的组名称以及反斜杠。 在以下示例中, CONTOSO\Administrator 帐户作为保护程序添加到数据卷 G。 Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator若要对帐户或组使用 SID,第一步是确定与安全主体关联的 SID。 若要在 Windows PowerShell 中获取用户帐户的特定 SID,请使用以下命令: Get-ADUser -filter {samaccountname -eq "administrator"}注意 使用此命令需要 RSAT-AD-PowerShell 功能。 提示 有关本地登录的用户和组成员身份的信息,可以使用: whoami.exe /all。 manage-bde.exe -protectors -add -sid此选项在控制面板中不可用。 删除保护程序 PowerShell 命令提示符 控制面板若要删除卷上的现有保护程序,请使用 Remove-BitLockerKeyProtector cmdlet。 必须提供与要删除的保护程序关联的 GUID。 以下命令返回密钥保护程序列表和 GUIDS: $vol = Get-BitLockerVolume C $keyprotectors = $vol.KeyProtector $keyprotectors通过使用此信息,可以使用 命令删除特定卷的密钥保护程序: Remove-BitLockerKeyProtector -KeyProtectorID "{GUID}"注意 BitLocker cmdlet 需要用引号括起来的密钥保护程序 GUID 才能执行。 确保命令中包含包含大括号的整个 GUID。 以下命令返回密钥保护程序列表: manage-bde.exe -status C:以下命令删除特定类型的密钥保护程序: manage-bde.exe -protectors -delete C: -type TPMandPIN在 BitLocker 驱动器加密控制面板小程序中,展开要删除保护程序的驱动器,然后选择删除保护程序的选项(如果可用)。 注意 对于任何 BitLocker 加密驱动器,必须至少有一种解锁方法。 暂停和恢复某些配置更改可能需要暂停 BitLocker,然后在应用更改后恢复它。 按照以下说明,选择最适合你的需求的选项,暂停和恢复 BitLocker。 挂起 BitLocker PowerShell 命令提示符 控制面板 Suspend-BitLocker -MountPoint D manage-bde.exe -protectors -disable d:使用 控制面板 时,只能挂起 OS 驱动器的 BitLocker 保护。 在 BitLocker 驱动器加密控制面板小程序中,选择 OS 驱动器,然后选择“挂起保护”选项。 恢复 BitLocker PowerShell 命令提示符 控制面板 Resume-BitLocker -MountPoint D manage-bde.exe -protectors -enable d:在 BitLocker 驱动器加密控制面板小程序中,选择 OS 驱动器,然后选择“恢复保护”选项。 重置和备份恢复密码建议在使用恢复密码后使其无效。 在此示例中,从 OS 驱动器中删除了恢复密码保护程序,添加了新的保护程序,并将其备份到 Microsoft Entra ID 或 Active Directory。 PowerShell 命令提示符 控制面板从 OS 卷中删除所有恢复密码: (Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | ` where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ` Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive为 OS 卷添加 BitLocker 恢复密码保护程序: Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector获取新恢复密码的 ID: (Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword注意 如果将策略设置 “选择如何恢复受 BitLocker 保护的操作系统驱动器 ”配置为“ 需要将 BitLocker 备份到 AD DS”,则不需要执行后续步骤。 从输出复制恢复密码的 ID。 使用上一步中的 GUID 替换{ID}以下命令中的 ,并使用以下命令备份恢复密码以Microsoft Entra ID: BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"或者使用以下命令将恢复密码备份到 Active Directory: Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"注意 ID 字符串中必须包含大括号 {} 。 从 OS 卷中删除所有恢复密码: manage-bde.exe -protectors -delete C: -type RecoveryPassword为 OS 卷添加 BitLocker 恢复密码保护程序: manage-bde.exe -protectors -add C: -RecoveryPassword获取新恢复密码的 ID: manage-bde.exe -protectors -get C: -Type RecoveryPassword注意 如果将策略设置 “选择如何恢复受 BitLocker 保护的操作系统驱动器 ”配置为“ 需要将 BitLocker 备份到 AD DS”,则不需要执行以下步骤。 使用上一步中的 GUID 替换{ID}以下命令中的 ,并使用以下命令备份恢复密码以Microsoft Entra ID: manage-bde.exe -protectors -aadbackup C: -id {ID}或者使用以下命令将恢复密码备份到 Active Directory: manage-bde.exe -protectors -adbackup C: -id {ID}注意 ID 字符串中必须包含大括号 {} 。 此过程无法使用控制面板来完成。 请改用其他选项之一。 禁用 BitLocker禁用 BitLocker 会解密并从卷中删除任何关联的保护程序。 当不再需要保护时,应发生解密,而不是作为故障排除步骤。 按照以下说明禁用 BitLocker,选择最适合你的需求的选项。 PowerShell 命令提示符 控制面板Windows PowerShell提供一次解密多个驱动器的功能。 在以下示例中,用户有三个要解密的加密卷。 使用 Disable-BitLocker 命令,他们可以同时删除所有保护程序和加密,而无需使用更多命令。 此命令的一个示例是: Disable-BitLocker若要避免单独指定每个装入点,请使用 -MountPoint 数组中的 参数将同一命令序列成一行,而无需额外的用户输入。 示例: Disable-BitLocker -MountPoint C,D使用 manage-bde.exe 解密的优点是不需要用户确认来启动该过程。 Manage-bde 使用 -off 命令启动解密过程。 用于解密的示例命令是: manage-bde.exe -off C:此命令在解密卷时禁用保护程序,并在解密完成后删除所有保护程序。 使用 控制面板的 BitLocker 解密是使用向导完成的。 打开 BitLocker 控制面板小程序后,选择“关闭 BitLocker”选项以开始该过程。 若要继续,请选择确认对话框。 确认 关闭 BitLocker 后,驱动器解密过程将开始。 解密完成后,驱动器会在控制面板中更新其状态,并可用于加密。 |
| CopyRight 2018-2019 实验室设备网 版权所有 |