通过命令行在 Hyper-V 2012 r2 上使用没有 TPM 的 Bitlocker？

Question

本质上，在 Bitlocker 允许使用 USB 驱动器保存启动/恢复密钥之前，需要设置 2 个注册表值。您无需通过 GUI 编辑 GPO。

这就是我保护我的方式C：使用 Bitlocker 驱动器，将我的密钥存储在作为克里：驱动力。步骤 3 是替代使用管理控制台。

从 PowerShell：Install-WindowsFeature Bitlocker
重启
从 PowerShell：（“FVE”键/文件夹最初不存在）New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1
从cmd.exe：manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\
从cmd.exe：manage-bde -on c: -usedspaceonly
重启
从 cmd.exe（确认一切正常）：manage-bde -status

仅供参考：我通过 RDP 会话完成了所有这些操作，包括使用 diskpart 设置 USB 驱动器号。对机器的唯一物理访问是插入 USB 驱动器。

编辑：我花了一些时间确认 USB 驱动器的字母和标签在启动时无关紧要。您可以将密钥文件放在替换驱动器上，并将其连接到不同的 USB 端口。Windows 可以正常找到它并启动。（如果 Windows 能如此好地处理 USB 打印机就好了。）

Answer 1

本质上，在 Bitlocker 允许使用 USB 驱动器保存启动/恢复密钥之前，需要设置 2 个注册表值。您无需通过 GUI 编辑 GPO。

这就是我保护我的方式C：使用 Bitlocker 驱动器，将我的密钥存储在作为克里：驱动力。步骤 3 是替代使用管理控制台。

从 PowerShell：Install-WindowsFeature Bitlocker
重启
从 PowerShell：（“FVE”键/文件夹最初不存在）New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1
从cmd.exe：manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\
从cmd.exe：manage-bde -on c: -usedspaceonly
重启
从 cmd.exe（确认一切正常）：manage-bde -status

仅供参考：我通过 RDP 会话完成了所有这些操作，包括使用 diskpart 设置 USB 驱动器号。对机器的唯一物理访问是插入 USB 驱动器。

编辑：我花了一些时间确认 USB 驱动器的字母和标签在启动时无关紧要。您可以将密钥文件放在替换驱动器上，并将其连接到不同的 USB 端口。Windows 可以正常找到它并启动。（如果 Windows 能如此好地处理 USB 打印机就好了。）

相关内容