我知道 Bitlocker 可以在 Hyper-V Server 2012 r2 安装中使用。我也知道它可以在没有 TPM 芯片的机器上完成。问题是,我发现的所有示例都依赖于 GUI。我不希望所有复杂的设置都允许通过 GUI 进行远程管理,而且我没有使用 Active Directory(也不会使用)。
如何从命令行完全设置 Bitlocker 以在启动时自动使用 USB 驱动器?
答案1
本质上,在 Bitlocker 允许使用 USB 驱动器保存启动/恢复密钥之前,需要设置 2 个注册表值。您无需通过 GUI 编辑 GPO。
这就是我保护我的方式C:使用 Bitlocker 驱动器,将我的密钥存储在作为克里:驱动力。步骤 3 是替代使用管理控制台。
- 从 PowerShell:
Install-WindowsFeature Bitlocker
- 重启
从 PowerShell:(“FVE”键/文件夹最初不存在)
New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1
从cmd.exe:
manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\
- 从cmd.exe:
manage-bde -on c: -usedspaceonly
- 重启
- 从 cmd.exe(确认一切正常):
manage-bde -status
仅供参考:我通过 RDP 会话完成了所有这些操作,包括使用 diskpart 设置 USB 驱动器号。对机器的唯一物理访问是插入 USB 驱动器。
编辑:我花了一些时间确认 USB 驱动器的字母和标签在启动时无关紧要。您可以将密钥文件放在替换驱动器上,并将其连接到不同的 USB 端口。Windows 可以正常找到它并启动。(如果 Windows 能如此好地处理 USB 打印机就好了。)