启用 bitlocker 并保存密钥以共享

启用 bitlocker 并保存密钥以共享

我搜索了整个网络,但找不到完整的答案:如何在带有 TPM 的笔记本电脑上启用 Bitlocker,并使用 manage-bde 命令行工具存储包含 Bitlocker 恢复密钥和 TPM 密码的文件。该文件应与在 Bitlocker 管理器 UI 中创建的文件相同。我不想保存到 AD。有人问过同样的问题这里但没有得到正确解答。

目标是编写一个与端点管理器一起使用的脚本。

我尝试了以下方法:

manage-bde -on C:

工作正常,但不会创建或保存密钥。

manage-bde -on C: -rk C:\myfolder\

manage-bde -on C: -RecoveryKey C:\myfolder\ -rp

最后两种方法的输出表明密钥已保存到 c:\myfolder 等,但事实并非如此。它还说我必须:

  1. 将密码保存在安全的地方
  2. 将存有外部密钥文件的 USB 闪存盘插入计算机。
  3. 重新启动并运行硬件测试
  4. 输入“ manage-bde -status”检查硬件测试是否成功

重启后,我收到一条错误消息,指出无法启用 Bitlocker,因为

在 USB 设备上找不到 BitLocker 启动密钥或恢复密码......C:未加密。

为什么要求我插入 USB?我只是想加密硬盘并自动将恢复信息保存到文件中。这个要求过分吗?

请帮助!

答案1

这是我为恢复密码(不是密钥)所做的操作。虽然不花哨,但很管用 - 也许它可以为你指明正确的方向

管理-bde -on C:-recoverypassword > C:\Users\%用户名%\Desktop\printthisout-then-storesecurely.txt

答案2

这些密钥实际上已被保存,但它们具有 SHR 属性,因此您看不到它们。

尝试这个来查看文件

dir *.* /a:s

或者

attrib -s -h -r *.*

答案3

设置 TPM 所有者密码:

manage-bde -tpm -o PASSWORD

在您的网络共享文件夹中创建一个以计算机名称命名的文件夹bitlocker

md "\\path\bitlocker\%computername%"

创建带有计算机名称的文本文件:

manage-bde -on C: -rp -rk "\\path\bitlocker\%computername%" -s > "\\path\bitlocker\%computername%\%computername%.txt"

相关内容