BitLocker：使用 BitLocker 驱动器加密工具管理 BitLocker

本主题面向 IT 专业人员介绍了如何使用工具管理 BitLocker。

BitLocker 驱动器加密工具包括命令行工具 manage-bde 和 repair-bde，以及适用于 Windows PowerShell 的 BitLocker cmdlet。

manage-bde 和 BitLocker cmdlet 均可用于执行任何可通过 BitLocker 控制面板实现的任务，并且还适用于自主部署和其他脚本方案。

repair-bde 是特殊的环境工具，用于受 BitLocker 保护的驱动器无法正常解锁或无法使用恢复控制台解锁的灾难恢复方案。

Manage-bde

Repair-bde

适用于 Windows PowerShell 的 BitLocker cmdlet

Manage-bde

Manage-bde 是可以为 BitLocker 操作编写脚本的命令行工具。 Manage-bde 提供未在 BitLocker 控制面板中显示的其他选项。 有关 manage-bde 选项的完整列表，请参阅 Manage-bde 命令行参考。

Manage-bde 包含较少的默认设置，但要求能够更多地自定义配置 BitLocker。 例如，仅在数据卷上使用 manage-bde -on 命令即可完全加密卷，而无需任何身份验证保护程序。 即使该命令成功完成，以这种方式加密的卷也仍需要用户干预才可以打开 BitLocker 保护，因为需要将身份验证方法添加到卷才能实现完全保护。以下部分提供 manage-bde 的常见使用方案示例。

将操作系统卷与 manage-bde 结合使用

下面列出的是操作系统卷的基本且有效的命令示例。 一般情况下，仅使用 manage-bde -on 命令将通过仅 TPM 保护程序对操作系统卷进行加密，而不使用恢复密钥。 但是，许多环境还需要更安全的保护程序（如密码或 PIN），并且希望能够使用恢复密钥恢复信息。 建议向操作系统卷添加至少一个主要保护程序和一个恢复保护程序。

使用 manage-bde 的一个优势是可以确定目标计算机系统上的卷状态。 使用以下命令确定卷状态：

manage-bde -status

此命令将返回目标上的卷，以及每个卷的当前加密状态和卷类型（操作系统或数据）。

以下示例演示了在没有 TPM 芯片的计算机上启用 BitLocker。 在开始加密过程前，你必须创建 BitLocker 所需的启动密钥，并将其保存到 USB 驱动器。 在为操作系统卷启用了 BitLocker 时，BitLocker 将需要访问 U 盘以获取加密密钥（在此示例中，驱动器号 E 表示 USB 驱动器）。你将收到重新启动的提示以完成加密过程。

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

注意

加密完成后，必须在操作系统启动前插入 USB 启动密钥。

非 TPM 硬件上的启动密钥保护程序的备选方法是，使用密码和 ADaccountorgroup 保护程序保护操作系统卷。在此方案中，你将首先添加保护程序。 这通过使用以下命令实现：

manage-bde -protectors -add C: -pw -sid 

此命令要求你输入密码保护程序，并在将其添加到卷前先确认它们。 在卷上启用这些保护程序后，你将可以打开 BitLocker。

在具有 TPM 的计算机上，可以在未定义任何保护程序的情况下使用 manage-bde 加密操作系统卷。 用于执行此操作的命令是：

manage-bde -on C:

这将使用 TPM 作为默认保护程序来加密驱动器。 如果要在不确定 TPM 保护程序是否可用的情况下列出适用于卷的保护程序，请运行以下命令：

 manage-bde -protectors -get 

将 manage-bde 与数据卷结合使用

数据卷使用与操作系统卷相同的加密语法进行加密，但是它们无需保护程序即可完成加密。 数据卷加密可以使用基本命令 manage-bde -on 来实现，也可以选择先向卷添加其他保护程序。 建议向数据卷添加至少一个主要保护程序和一个恢复保护程序。

数据卷的常用保护程序是密码保护程序。 在下面的示例中，我们将向卷中添加密码保护程序，并打开 BitLocker。

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

你可能会遇到损坏 BitLocker 存储关键信息的磁盘区域的问题。此类问题可能是由硬盘故障或 Windows 意外退出引起的。

BitLocker 修复工具 (Repair-bde) 可用于访问损坏严重的硬盘上的加密数据，前提是该驱动器使用 BitLocker 进行加密。只要有效恢复密码或恢复密钥用于解密数据，Repair-bde 就可重建驱动器的关键部分，并回收可恢复数据。如果驱动器上的 BitLocker 元数据数据已损坏，则除了恢复密码或恢复密钥外，你还必须能够提供备份密钥数据包。如果你将默认设置用于 AD DS 备份，此密钥数据包将在 Active Directory 域服务 (AD DS) 中备份。借助此密钥数据包以及恢复密码或恢复密钥，你可以在磁盘损坏时解密受 BitLocker 保护的部分驱动器。每个密钥数据包将仅适用于具有相应驱动器标识符的驱动器。你可以使用 BitLocker 恢复密钥查看器从 AD DS 获取此密钥数据包。

提示

如果你没有将恢复信息备份到 AD DS，或者如果你想要保存密钥数据包，可以使用命令 manage-bde -KeyPackage 生成卷的密钥数据包。

Repair-bde 命令行工具专门供操作系统无法启动或 BitLocker 恢复控制台无法启动时使用。如果满足以下条件，你应该能使用 Repair-bde：

已使用 BitLocker 驱动器加密对驱动器进行加密。

Windows 无法启动，或你无法启动 BitLocker 恢复控制台。

你不具有已加密驱动器上所包含的数据的副本。

注意

驱动器损坏可能与 BitLocker 无关。因此，在使用 BitLocker 修复工具之前，我们建议你尝试其他工具以帮助诊断和解决驱动器相关问题。Windows 恢复环境 (Windows RE) 提供修复计算机的其他选项。

Repair-bde 存在以下限制：

有关使用 repair-bde 的详细信息，请参阅 Repair-bde

适用于 Windows PowerShell 的 BitLocker cmdlet

Windows PowerShell cmdlet 向管理员提供使用 BitLocker 的新方法。 使用 Windows PowerShell 脚本功能，管理员可以轻松地将 BitLocker 选项集成到现有脚本。 下表显示可用的 BitLocker cmdlet。

名称

参数

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

与 manage-bd 类似，Windows PowerShell cmdlet 也允许实现控制面板中所提供的选项之外的配置。 使用 manage-bde 时，用户需要在运行 Windows PowerShell cmdlet 之前考虑他们正在加密的卷的具体需求。

首先，最好确定计算机上的卷的当前状态。 可以使用 Get-BitLockerVolume cmdlet 来执行此操作。

Get-BitLockerVolume cmdlet 输出提供卷类型、保护程序、保护状态方面的信息，以及其他详细信息。

提示

有时，由于输出显示的空间不足而使用 Get-BitLockerVolume 时，可能不会显示所有保护程序。 如果未看到卷的所有保护程序，可以使用 Windows PowerShell 管道命令 (|) 来格式化保护程序的完整列表。

Get-BitLockerVolume C: | fl

如果你想要在卷上预配 BitLocker 之前删除现有的保护程序，可以使用 Remove-BitLockerKeyProtector cmdlet。 完成此任务需要将 GUID 与要删除的保护程序关联。

一个简单的脚本可以显示返回到另一个变量的每个 Get-BitLockerVolume 的值，如下所示：

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

使用该值可以在 $keyprotectors 变量中显示信息以确定每个保护程序的 GUID。

使用此信息，可以通过以下命令删除特定卷的密钥保护程序：

Remove-BitLockerKeyProtector : -KeyProtectorID "{GUID}"

注意

BitLocker cmdlet 需要将密钥保护程序 GUID 用引号括起才能执行。 确保整个 GUID（包括大括号）都包括在命令中。

将 BitLocker Windows PowerShell cmdlet 与操作系统卷结合使用

BitLocker Windows PowerShell cmdlet 的使用方法类似于用于加密操作系统卷的 manage-bde 工具的使用方法。 Windows PowerShell 为用户提供了很大的灵活性。例如，用户可以将所需保护程序作为部分命令添加以加密卷。 以下示例显示了要 BitLocker Windows PowerShell 中实现的常见用户方案和步骤。

以下示例显示如何仅使用 TPM 保护程序在操作系统驱动器上启用 BitLocker：

Enable-BitLocker C:

以下示例添加了一个额外的保护程序 - StartupKey 保护程序，并选择跳过 BitLocker 硬件测试。 在此示例中，加密将立即启动而无需重新启动。

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath  -SkipHardwareTest

将 BitLocker Windows PowerShell cmdlet 与数据卷结合使用

使用 Windows PowerShell 实现数据卷加密与为操作系统卷加密的方法相同。 你应当在加密卷之前添加所需的保护程序。 以下示例使用变量 $pw 作为密码来将密码保护程序添加到 E: 卷。 $pw 变量保存为 SecureString 值，用于存储用户定义的密码。

$pw = Read-Host -AsSecureString

Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

在 Windows PowerShell 中使用 AD 帐户或组保护程序

在 Windows 8 和 Windows Server 2012 中引入的 ADAccountOrGroup 保护程序是基于 Active Directory SID 的保护程序。 此保护程序可添加到操作系统和数据卷，即使它没有在预启动环境中解锁操作系统卷。 该保护程序要求域帐户或组的 SID 与其相链接。 BitLocker 可以通过向群集名称对象 (CNO) 添加基于 SID 的保护程序以保护群集感知的磁盘，并且该群集名称对象可以使磁盘进行正确的故障转移，也可以由群集中的任何成员计算机进行解锁。

警告

在操作系统卷上使用 ADAccountOrGroup 保护程序时，该保护程序需要使用其他保护程序（例如，TPM、PIN 或恢复密钥）

若要向卷添加 ADAccountOrGroup 保护程序，则要求实际域 SID 或组名前面带有域和反斜杠。 在下面的示例中，CONTOSO\Administrator 帐户将作为保护程序添加到数据卷 G。

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

对于希望对帐户或组使用 SID 的用户，第一步是确定与帐户关联的 SID。若要在 Windows PowerShell 中获取用户帐户的特定 SID，请使用以下命令：

注意

使用此命令需要 RSAT-AD-PowerShel 功能。

get-aduser -filter {samaccountname -eq "administrator"}

提示

除上述 PowerShell 命令外，还可以使用 WHOAMI /ALL 找到有关本地登录用户和组成员的信息。 这不需要使用其他功能。

以下示例使用帐户的 SID 将 ADAccountOrGroup 保护程序添加到之前加密的操作系统卷：

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

注意

基于 Active Directory 的保护程序通常用于解锁启用故障转移群集的卷。

详细信息

BitLocker 概述

BitLocker 常见问题 (FAQ)

使组织准备好使用 BitLocker：规划和策略

BitLocker：如何启用网络解锁

BitLocker：如何在 Windows Server 2012 上进行部署