我有一个 w2k12 系统,我在 D: 驱动器上启用了 bitlocker。我无法使用 TPM,因为没有适合我主板的该模块的 w2k12 驱动程序,所以我使用 USB 闪存来存储密钥。奇怪的是,在 D 驱动器(6TB)上启用 bitlocker 时,向导没有建议我使用 USB 闪存来存储密钥,但它确实为驱动器 C 显示此选项。为什么?无论如何,我改用以下命令:
manage-bde -protectors -add d: -startupkey e: (e: being the flash drive)
manage-bde -on d:
然后我等了几天,现在它说
PS C:\> manage-bde -status d:
BitLocker Drive Encryption: Configuration Tool version 6.3.9600
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume D: [WD6TB]
[Data Volume]
Size: 5588.90 GB
BitLocker Version: 2.0
Conversion Status: Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method: AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Automatic Unlock: Disabled
Key Protectors:
External Key
如果我查看管理 BitLocker 控制面板,我没有看到“备份您的恢复密钥”
我如何获取恢复密钥?这是一个服务器操作系统,所以我以管理员身份登录时执行了所有操作。我没有与之绑定的 Microsoft 帐户。
答案1
我认为问题可能是 BitLocker 驱动器没有恢复密钥作为其 BitLocker 之一保护者。
Bitlocker 可以使用各种类型的保护者例如 TPM、密码和恢复密钥。
要查看可用的类型,请运行:
manage-bde -protectors d: -get
您将在“数字密码”下看到 48 位密码,即 BitLocker 恢复密钥:
“恢复密钥”或“启动密钥”具有相应的“外部密钥”,该密钥保存在文件中.BEK。这两个保护者不是强制性的,因此您的驱动器可能没有指定。
要保存.BEK密钥文件,您需要在运行上述命令时列出“外部密钥”保护器。
如果丢失,您可以使用以下命令将恢复密钥添加到驱动器,该命令也会将其备份到文件.BEK中,例如f:\folder:
manage-bde -protectors -add d: -RecoveryKey f:\folder
然后,当您运行下面的命令时,它会将.BEK文件保存到目录中
f:\folder:
manage-bde -protectors -get d: -sek f:\folder
最后的问题是数字密码保护器(也称为)RecoveryPassword丢失,因为在锁定卷时可能未指定它。
在 C 驱动器上启用 BitLocker、将恢复密钥存储在 Y 驱动器上并生成随机恢复密码的命令示例如下:
manage-bde -on C: -RecoveryKey Y: -RecoveryPassword
如果在启用 BitLocker 时未指定参数RecoveryPassword,则可以稍后使用以下命令添加此保护器:
manage-bde –protectors –add C: -RecoveryPassword