Granger Asked: 2015-07-08 14:45:36 +0800 CST2015-07-08 14:45:36 +0800 CST 2015-07-08 14:45:36 +0800 CST 从命令行在 Hyper-V 2012 r2 上没有 TPM 的 Bitlocker? 772 我知道可以从 Hyper-V Server 2012 r2 安装中使用 Bitlocker。而且我知道它可以在没有 TPM 芯片的机器上完成。问题是我发现的所有示例都依赖于 GUI。我不希望所有复杂的设置都允许通过 GUI 进行远程管理,而且我没有使用 Active Directory(我也不会)。 如何从命令行完全设置 Bitlocker 以在启动时自动使用 USB 驱动器? hyper-v-server-2012-r2 1 个回答 Voted Best Answer Granger 2015-07-08T14:45:36+08:002015-07-08T14:45:36+08:00 本质上,在 Bitlocker 允许使用 USB 驱动器保存启动/恢复密钥之前,需要设置 2 个注册表值。您无需通过 GUI 编辑 GPO。 这就是我使用 Bitlocker 保护我的c:驱动器的方法,将我的密钥存储在作为k:驱动器安装的 USB 驱动器上。第 3 步是替代使用gpedit.msc的部分。 从 PowerShell:Install-WindowsFeature Bitlocker 重启 来自 PowerShell:(“FVE”键/文件夹最初不存在) New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1 从 cmd.exe:manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\ 从 cmd.exe:manage-bde -on c: -usedspaceonly 重启 从 cmd.exe (确认一切正常):manage-bde -status 仅供参考:我通过 RDP 会话完成了所有这些工作,包括使用 diskpart 设置 USB 驱动器号。对机器的唯一物理访问是插入 USB 驱动器。 编辑:我花了一些时间确认 USB 驱动器的字母和标签在启动时无关紧要。您可以将密钥文件放在替换驱动器上并将其连接到不同的 USB 端口。Windows 发现它很好并启动。(如果只有 Windows 对 USB 打印机这么好。)
本质上,在 Bitlocker 允许使用 USB 驱动器保存启动/恢复密钥之前,需要设置 2 个注册表值。您无需通过 GUI 编辑 GPO。
这就是我使用 Bitlocker 保护我的c:驱动器的方法,将我的密钥存储在作为k:驱动器安装的 USB 驱动器上。第 3 步是替代使用gpedit.msc的部分。
Install-WindowsFeature Bitlocker来自 PowerShell:(“FVE”键/文件夹最初不存在)
New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Set-Location HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1从 cmd.exe:
manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\manage-bde -on c: -usedspaceonlymanage-bde -status仅供参考:我通过 RDP 会话完成了所有这些工作,包括使用 diskpart 设置 USB 驱动器号。对机器的唯一物理访问是插入 USB 驱动器。
编辑:我花了一些时间确认 USB 驱动器的字母和标签在启动时无关紧要。您可以将密钥文件放在替换驱动器上并将其连接到不同的 USB 端口。Windows 发现它很好并启动。(如果只有 Windows 对 USB 打印机这么好。)