Я знаю, что Bitlocker может использоваться с Сервера Hyper-V 2 012 установок r2. И я знаю, что это может быть сделано на машине, которая испытывает недостаток в микросхеме TPM. Проблема состоит в том, что все примеры, которые я нашел, зависят от GUI. Я не хочу, чтобы вся сложная установка позволила удаленное управление через GUI, и я не использую Active Directory (ни будет I).
Как Bitlocker может быть установкой полностью от командной строки для автоматического использования Карты памяти при начальной загрузке?
По сути, есть 2 значения реестра, которые необходимо установить, прежде чем Битлокатор позволит использовать USB-накопитель для хранения ключей запуска/восстановления. Вам не нужно редактировать GPO через GUI.
Так я защитил свой c: диск с помощью Bitlocker, сохраняя свои ключи на USB диске, смонтированном как k: диск. Шаг №3 - это часть, которая заменяет необходимость использования gpedit.msc.
Install-WindowsFeature Bitlocker
From PowerShell: (клавиша/папка "FVE" изначально не существует) .
New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE
Местоположение HKLM:\SOFTWARE\Policies\Microsoft
Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1
Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1
From cmd.exe: management-bde -protectors -add c: -startupkey k:\ -recoverykey k:\
manage-bde -on c: -usedspace-only
manage-bde -status
FYI: Я сделал все это через сеанс RDP, включая использование diskpart для установки буквы USB диска. Единственным физическим доступом к машине было подключение USB диска.
EDIT: Я потратил некоторое время и подтвердил, что буква и метка USB диска не имеют значения во время загрузки. Вы можете поместить ключевой(ие) файл(ы) на запасной диск(ы) и подключить его к другому порту USB. Windows находит его и загружается. (Если бы только Windows была так хороша с USB принтерами.)
.