BitLocker 是一种安全工具，它允许我们对数据磁盘分区、安装操作系统的磁盘分区，甚至整个硬盘或 SSD 进行加密，目的是通过基于 AES 的强大加密保护所有数据。 根据我们所做的高级配置，我们可以配置 AES-128 或 AES-256 来保护所有信息。 今天在本文中，我们将向您展示如何使用 Windows 中流行的命令提示符或 CMD 通过命令行激活和配置 BitLocker。

BitLocker 是一种 Microsoft 安全程序，它使用数据加密为硬盘驱动器或 SSD 提供保护，此技术在 Windows Vista 以后的版本中默认提供，因此，最新版本的 Windows 10 也包含此功能同样重要。 对于 Microsoft 服务器操作系统，我们在 Windows Server 2008 及更高版本中默认安装了 BitLocker。

借助这项 Microsoft 技术，我们可以加密内部或外部硬盘驱动器以及 USB 闪存驱动器上的数据，并且所有这些都使用安全对称加密算法（例如 AES），其不同版本可以通过内部操作系统进行配置选项。 在本文中，我们之前已经解释了有关 BitLocker 的所有内容，因为我们已经教您通过图形用户界面详细激活和配置它。

有多种方法可以在磁盘驱动器上启用 BitLocker：

今天我们将向您展示如何在 Windows 操作系统中使用命令提示符或 CMD 通过命令行激活和配置它。

这次我们将看到如何从命令行激活 BitLocker，为此我们将使用 Manage-bde 命令； 为了执行此命令，我们需要管理员权限，因此我们必须以管理员权限进入命令行，为此，在 Windows 10 中，我们单击任务栏上的放大镜图标并键入 CMD。

在顶部，我们看到找到的应用程序“命令提示符”，通过在其上单击鼠标右键，会出现一个上下文菜单，我们将在其中选择“以管理员身份运行”选项。 选择此选项时，它会要求我们确认是否要以管理员权限运行操作系统命令控制台。

我们单击“是”按钮，Microsoft Windows 命令控制台窗口将打开。

进入这里后，我们可以开始执行不同的命令来详细激活、停用和配置 BitLocker。

在本教程中，您将学习使用 BitLocker 执行不同操作时必须使用的所有命令，例如： example, 在我们的操作系统中激活它，验证 BitLocker 的使用状态，我们还可以将其配置为加密磁盘驱动器或分区，以及闪存。 执行所有这些任务的基本命令是“manage-bde”，我们将在整个教程中使用它。

接下来，您将获得充分利用 BitLocker 技术来保护不同磁盘中包含的所有数据的所有详细信息。

Manage-bde 是一个命令行工具，允许我们在内部启动、内部数据和外部磁盘驱动器（包括 USB 闪存驱动器）上启用 BitLocker 加密。 Manage-bde 的参数甚至比从控制面板运行的 BitLocker 工具显示的参数还要多。

manage-bde /?

它向我们展示了我们可以使用的所有参数的列表。

manage-bde -status

它向我们展示了连接到系统的所有磁盘的加密情况。

manage-bde -status; F:

它向我们展示了连接到驱动器 F 的磁盘的加密情况。

要使用 BitLocker 激活磁盘加密，必须为加密提供“保护器”，这些保护器可以有多种类型：

至少，您需要提供解锁密码保护程序和恢复密钥，正如我们在从控制面板、操作中心或文件资源管理器使用 BitLocker 时看到的那样。

从命令行我们可以通过两种方式做到这一点：

在命令“Manage-bde –on -pw -rk ”中提供解锁密码和恢复密钥。

manage-bde -on f: -pw -rk g:

上述命令要求我们提供解锁密码并在磁盘“G:”上生成恢复密钥，然后开始对磁盘“F:”进行加密。 存储恢复密钥的磁盘不能是 BitLocker 加密的磁盘。

在指定的位置，它为我们保存了一个带有恢复密钥的 .BEK 文件，并在屏幕上向我们显示了有关添加的保护程序的信息：恢复密钥和密码。 文件名中出现一个标识符，BitLocker 将要求我们使用与特定加密磁盘对应的恢复密钥。

第二个选项是首先在命令“Manage-bde –protectors –add -pw -rk ”中提供解锁密码和恢复密钥，然后在所述磁盘单元上启用 BitLocker命令«Manage-bde –on »

manage-bde f: -protectors -add -pw -rk g:

上述命令要求我们输入并确认驱动器“F:”的解锁密码，然后生成恢复密钥并将其保存到指定路径，驱动器“G:”。 然后我们通过执行以下命令激活磁盘 «F:» 上的 BitLocker：

manage-bde –on f:

系统告诉我们F盘的加密已经开始：

一个对话框向我们展示了加密过程的进度。

如果没有出现上述对话框，我们可以运行命令“fvenotify.exe ”来显示。 下图显示了运行“manage-bde –status f:”的结果。

一旦我们学会了如何启用它，现在我们将采取其他必要的措施来正确管理 BitLocker。

或者，我们可以向加密磁盘添加数字恢复密码，与恢复密钥一样，它允许我们在丢失解锁密码的情况下解锁加密驱动器。 为此，我们将在其两个选项之一中使用 –rp 参数：

manage-bde -on f: -pw -rk g: -rp

其他可能

manage-bde f: -protectors -add -pw -rk g: -rp manage-bde -on f:

在下图中，我们看到如何将恢复密码添加到已加密的磁盘。

从命令控制台我们执行以下语句：

manage-bde f: -protectors –get

通过前面的命令我们已经看到了如何激活磁盘上的 BitLocker，默认情况下加密的磁盘是解锁的，我们可以直接使用它。 在弹出光盘的情况下，当将其重新连接到任何计算机时，它会表明该光盘已加密并要求我们写入解锁密钥。 以下命令允许我们处理加密磁盘锁。

此命令锁定未锁定的磁盘，如果它已锁定，则不执行任何操作。

manage-bde –lock f:

以下命令使用解锁密码解锁锁定的磁盘。 它要求我们写解锁密钥。

manage-bde –unlock f: -pw

以下命令使用位于指示路径中的恢复密钥解锁锁定的磁盘，有必要指明包含恢复密钥的文件的名称，因为我们可以为不同的加密磁盘使用不同的恢复密钥。

manage-bde -unlock f: -rk g:6DA2A89C-1738-4C59-A3FD-0C8477FEDAB2.BEK

以下命令使用我们通过 –rp 参数生成的恢复密码解锁锁定的磁盘。

manage-bde -unlock f: -rp 596277-460262-021274-649242-626384-329329-536756-504790

–autounlock 选项允许您启用或禁用加密磁盘连接到计算机时的自动锁定。 要启用自动解锁，必须事先通过前三种方法中的任何一种解锁磁盘。

要启用自动解锁，我们编写以下命令：

manage-bde -autounlock -enable f:

此命令在此磁盘上创建关联的外键，以允许在将磁盘连接到计算机时自动解锁。 要禁用磁盘驱动器的自动解锁，我们编写命令：

manage-bde -autounlock -disable f:

有必要按照操作系统的指示删除关联的外键，以便您可以使用以下命令完全禁用自动解锁：

manage-bde -protectors F: -delete -id {34C63825-A1DB-4175-8F7C-897E4A696CC5}

该命令由操作系统本身指示给我们。

通过这个保护器，我们可以通过数字签名证书的公钥对磁盘进行加密。 为此，我们必须拥有数字证书或电子签名。 从该证书中，我们将需要公钥所在的路径（扩展名为 .cer 的文件）。

在下一行中，我们看到一个 example 关于如何将数字证书保护程序添加到磁盘“F:”以及我们如何指示包含公钥的文件所在的路径。

manage-bde -protectors -add f: -certificate -cf "g:certcp.cer"

与前面的示例一样，在将保护程序添加到磁盘驱动器后，我们继续在所述驱动器上激活 BitLocker：

manage-bde –on f:

要禁用磁盘驱动器上的BitLocker，即解密磁盘驱动器，必须先解锁单元，然后我们从操作系统命令控制台执行以下命令

manage-bde –off f:

这时候我们会在这个磁盘驱动器上禁用BitLocker，命令很容易记住，所以我们可以随时运行它，而不必看文档。

正如我们在“在 Windows 10 中使用 BitLocker 保护我们磁盘上的数据”一文中看到的那样，引导驱动器加密具有某些特殊性； 在这种情况下，我们将关注我们的机器需要一个 USB 闪存的情况，其中存储密钥以在启动时解锁包含操作系统的磁盘。

首先，您需要使用 manage-bde 命令的“-protector –add”选项生成“-startupkey”启动密钥。

以下命令为驱动器“E:”添加一个-startupkey 类型的保护程序，并将其保存到驱动器“F:”根文件夹中的文件中。

manage-bde e: -protectors –add –sk f:

其次，必须将带有生成的引导密钥的文件复制到 USB 闪存中，该闪存将用于在启动期间解锁包含计算机操作系统的驱动器。

第三，我们将在启动盘驱动器上激活BitLocker，重启后开始加密，在整个过程中和加密完成之前不要移除包含启动密钥的USB闪存，这一点很重要。

manage-bde -on C:

如您所见，我们可以通过命令行激活和停用此安全技术，非常适合在不使用 Windows 图形用户界面的情况下通过 CMD 执行所有操作。 我们希望通过本教程您能够详细了解如何使用 BitLocker 来保护您的硬盘驱动器、SSD 以及外部 USB 存储驱动器上的数据。