Bitlocker без TPM на Hyper-V 2012 r2 из командной строки?
Я знаю, что Bitlocker может использоваться с Сервера Hyper-V 2 012 установок r2. И я знаю, что это может быть сделано на машине, которая испытывает недостаток в микросхеме TPM. Проблема состоит в том, что все примеры, которые я нашел, зависят от GUI. Я не хочу, чтобы вся сложная установка позволила удаленное управление через GUI, и я не использую Active Directory (ни будет I).
Как Bitlocker может быть установкой полностью от командной строки для автоматического использования Карты памяти при начальной загрузке?
По сути, есть 2 значения реестра, которые необходимо установить, прежде чем Битлокатор позволит использовать USB-накопитель для хранения ключей запуска/восстановления. Вам не нужно редактировать GPO через GUI.
Так я защитил свой c: диск с помощью Bitlocker, сохраняя свои ключи на USB диске, смонтированном как k: диск. Шаг №3 - это часть, которая заменяет необходимость использования gpedit.msc.
- Из PowerShell:
Install-WindowsFeature Bitlocker - Reboot
From PowerShell: (клавиша/папка "FVE" изначально не существует)
. New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE Местоположение HKLM:\SOFTWARE\Policies\Microsoft Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1 Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1From cmd.exe:
management-bde -protectors -add c: -startupkey k:\ -recoverykey k:\- From cmd.exe:
manage-bde -on c: -usedspace-only - Reboot
- From cmd.exe (чтобы подтвердить, что все работает):
manage-bde -status
FYI: Я сделал все это через сеанс RDP, включая использование diskpart для установки буквы USB диска. Единственным физическим доступом к машине было подключение USB диска.
EDIT: Я потратил некоторое время и подтвердил, что буква и метка USB диска не имеют значения во время загрузки. Вы можете поместить ключевой(ие) файл(ы) на запасной диск(ы) и подключить его к другому порту USB. Windows находит его и загружается. (Если бы только Windows была так хороша с USB принтерами.)
.