我搜索了整个网络,但找不到完整的答案:如何在带有 TPM 的笔记本电脑上启用 Bitlocker,并使用 manage-bde 命令行工具存储包含 Bitlocker 恢复密钥和 TPM 密码的文件。该文件应与在 Bitlocker 管理器 UI 中创建的文件相同。我不想保存到 AD。有人问过同样的问题这里但没有得到正确解答。
目标是编写一个与端点管理器一起使用的脚本。
我尝试了以下方法:
manage-bde -on C:
工作正常,但不会创建或保存密钥。
manage-bde -on C: -rk C:\myfolder\
和
manage-bde -on C: -RecoveryKey C:\myfolder\ -rp
最后两种方法的输出表明密钥已保存到 c:\myfolder 等,但事实并非如此。它还说我必须:
- 将密码保存在安全的地方
- 将存有外部密钥文件的 USB 闪存盘插入计算机。
- 重新启动并运行硬件测试
- 输入“
manage-bde -status”检查硬件测试是否成功
重启后,我收到一条错误消息,指出无法启用 Bitlocker,因为
在 USB 设备上找不到 BitLocker 启动密钥或恢复密码......C:未加密。
为什么要求我插入 USB?我只是想加密硬盘并自动将恢复信息保存到文件中。这个要求过分吗?
请帮助!
答案1
这是我为恢复密码(不是密钥)所做的操作。虽然不花哨,但很管用 - 也许它可以为你指明正确的方向
管理-bde -on C:-recoverypassword > C:\Users\%用户名%\Desktop\printthisout-then-storesecurely.txt
答案2
这些密钥实际上已被保存,但它们具有 SHR 属性,因此您看不到它们。
尝试这个来查看文件
dir *.* /a:s
或者
attrib -s -h -r *.*
答案3
设置 TPM 所有者密码:
manage-bde -tpm -o PASSWORD
在您的网络共享文件夹中创建一个以计算机名称命名的文件夹bitlocker:
md "\\path\bitlocker\%computername%"
创建带有计算机名称的文本文件:
manage-bde -on C: -rp -rk "\\path\bitlocker\%computername%" -s > "\\path\bitlocker\%computername%\%computername%.txt"