通过命令行在 Hyper-V 2012 r2 上使用没有 TPM 的 Bitlocker?

通过命令行在 Hyper-V 2012 r2 上使用没有 TPM 的 Bitlocker?

我知道 Bitlocker 可以在 Hyper-V Server 2012 r2 安装中使用。我也知道它可以在没有 TPM 芯片的机器上完成。问题是,我发现的所有示例都依赖于 GUI。我不希望所有复杂的设置都允许通过 GUI 进行远程管理,而且我没有使用 Active Directory(也不会使用)。

如何从命令行完全设置 Bitlocker 以在启动时自动使用 USB 驱动器?

答案1

本质上,在 Bitlocker 允许使用 USB 驱动器保存启动/恢复密钥之前,需要设置 2 个注册表值。您无需通过 GUI 编辑 GPO。

这就是我保护我的方式C:使用 Bitlocker 驱动器,将我的密钥存储在作为克里:驱动力。步骤 3 是替代使用管理控制台

  1. 从 PowerShell:Install-WindowsFeature Bitlocker
  2. 重启
  3. 从 PowerShell:(“FVE”键/文件夹最初不存在) New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1

  4. 从cmd.exe:manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\

  5. 从cmd.exe:manage-bde -on c: -usedspaceonly
  6. 重启
  7. 从 cmd.exe(确认一切正常):manage-bde -status

仅供参考:我通过 RDP 会话完成了所有这些操作,包括使用 diskpart 设置 USB 驱动器号。对机器的唯一物理访问是插入 USB 驱动器。

编辑:我花了一些时间确认 USB 驱动器的字母和标签在启动时无关紧要。您可以将密钥文件放在替换驱动器上,并将其连接到不同的 USB 端口。Windows 可以正常找到它并启动。(如果 Windows 能如此好地处理 USB 打印机就好了。)

相关内容