Битлокер без TPM на Hyper-V 2012 r2 из командной строки?
Я знаю, что Bitlocker можно использовать из установки Hyper-V Server 2012 r2. И я знаю, что это можно сделать на машине без чипа TPM. Проблема в том, что все примеры, которые я нашел, зависят от графического интерфейса. Я не хочу, чтобы все сложные настройки позволяли удаленное управление через графический интерфейс, и я не использую Active Directory (и не буду).
Как полностью настроить Bitlocker из командной строки для автоматического использования USB-накопителя при загрузке?
1 ответ
По сути, есть два параметра реестра, которые необходимо установить, прежде чем Bitlocker позволит использовать USB-накопитель для хранения ключей запуска / восстановления. Вам не нужно редактировать объект групповой политики через графический интерфейс.
Таким образом я защитил свой диск c: с помощью Bitlocker, сохранив ключи на USB-диске, смонтированном как диск k:. Шаг № 3 - это часть, которая заменяет необходимость использования gpedit.msc.
- Из PowerShell:
Install-WindowsFeature Bitlocker - перезагружать
Из PowerShell: (ключ / папка "FVE" изначально не существует)
New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1Из cmd.exe:
manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\- Из cmd.exe:
manage-bde -on c: -usedspaceonly - перезагружать
- Из cmd.exe (чтобы убедиться, что все работает):
manage-bde -status
К вашему сведению: я сделал все это через сеанс RDP, в том числе с помощью diskpart для установки буквы USB-диска. Единственный физический доступ к машине - подключить USB-накопитель.
РЕДАКТИРОВАТЬ: я взял некоторое время и подтвердил, что буква и метка USB-накопителя не имеют значения во время загрузки. Вы можете поместить файлы ключей на диск для замены и подключить его к другому USB-порту. Windows находит это просто отлично и загружается. (Если бы только Windows была хороша с USB-принтерами.)