Jak povolit a konfigurovat nástroj BitLocker ve Windows pomocí příkazů CMD

Srpna 15, 2021 Matt Mills jak na to 0

BitLocker je bezpečnostní nástroj, který nám umožňuje šifrovat oddíly datových disků, diskové oddíly, kde je nainstalován operační systém, a dokonce celý pevný disk nebo SSD, s cílem chránit všechna data pomocí robustního šifrování založeného na AES. V závislosti na pokročilé konfiguraci, kterou provádíme, můžeme nakonfigurovat AES-128 nebo AES-256 tak, aby chránily všechny informace. Dnes v tomto článku vám ukážeme, jak aktivovat a konfigurovat BitLocker prostřednictvím příkazového řádku pomocí populárního příkazového řádku nebo CMD v Windows.

Co je BitLocker a co nám poskytuje?

BitLocker je Microsoft bezpečnostní program, který poskytuje ochranu pevných disků nebo SSD pomocí šifrování dat, je tato technologie standardně k dispozici ve verzích Windows Vista a novějších, proto nejnovější verze Windows 10 také tuto funkci zahrnuje jako důležitou. U operačních systémů Microsoft pro servery máme ve Windows Serveru 2008 ve výchozím nastavení nainstalovaný nástroj BitLocker.

Povolte a konfigurujte nástroj BitLocker ve Windows pomocí příkazů CMD

Díky této technologii společnosti Microsoft můžeme šifrovat data na interních nebo externích pevných discích, stejně jako na USB flash discích, a to vše pomocí zabezpečeného symetrického šifrovacího algoritmu, jako je AES, v různých verzích, které lze konfigurovat prostřednictvím interního operačního systému možnosti. V tomto článku jsme dříve vysvětlili vše o BitLockeru, protože jsme vás naučili jej aktivovat a podrobně konfigurovat prostřednictvím grafického uživatelského rozhraní.

Existuje několik způsobů, jak povolit nástroj BitLocker na diskové jednotce:

  • řídicí panel
  • Centrum aktivit
  • Prohlížeč souborů
  • Příkazový řádek s příkazovým řádkem
  • PowerShell

Dnes vám ukážeme, jak jej aktivovat a konfigurovat pomocí příkazového řádku pomocí příkazového řádku nebo CMD v operačních systémech Windows.

Zadejte příkazovou konzolu systému Windows

Tentokrát se podíváme, jak aktivovat BitLocker z příkazového řádku, k tomu použijeme příkaz Manage-bde; Abychom mohli tento příkaz provést, potřebujeme oprávnění správce, takže musíme zadat příkazový řádek s oprávněními správce, proto v systému Windows 10 klikneme na ikonu lupy na hlavním panelu a napíšeme CMD.

bitlocker_simbolo_sistema_1

V horní části vidíme nalezenou aplikaci, «Příkazový řádek», kliknutím pravým tlačítkem myši na ni se zobrazí kontextová nabídka, ve které vybereme možnost „Spustit jako správce“. Při výběru této možnosti nás požádá o potvrzení, že chceme spustit příkazovou konzolu operačního systému s oprávněními správce.

bitlocker_simbolo_sistema_2

Klikneme na tlačítko „Ano“ a otevře se okno příkazové konzoly Microsoft Windows.

bitlocker_simbolo_sistema_3

Jakmile jsme tady, můžeme začít provádět různé příkazy pro aktivaci, deaktivaci a konfiguraci BitLockeru podrobně.

Všechny příkazy pro správu nástroje BitLocker

V tomto tutoriálu se naučíte všechny příkazy, které musíte použít k provádění různých akcí s nástrojem BitLocker, jako je například aktivace v našem operačním systému, ověření stavu použití nástroje BitLocker, můžeme jej také nakonfigurovat pro šifrování diskové jednotky nebo oddíl, stejně jako flash paměť. Základní příkaz k provedení všech těchto úkolů je „manage-bde“ a použijeme ho v celém tutoriálu.

Dále máte všechny podrobnosti, abyste co nejlépe využili technologii BitLocker k ochraně všech dat obsažených na různých discích.

Povolte BitLocker z příkazového řádku nebo CMD

Manage-bde je nástroj příkazového řádku, který nám umožňuje povolit šifrování BitLocker na interním bootování, interních datech a externích diskových jednotkách, včetně USB flash disků. Manage-bde má ještě více parametrů, než jaké zobrazuje nástroj BitLocker spuštěný z ovládacího panelu.

manage-bde /?

Ukazuje nám seznam všech parametrů, které můžeme použít.

manage-bde -status

Ukazuje nám situaci šifrování všech disků připojených k systému.

manage-bde -status  F:

Ukazuje nám situaci šifrování disku připojeného k jednotce F.

bitlocker_simbolo_sistema_4

K aktivaci šifrování disku pomocí nástroje BitLocker je nutné poskytnout „chrániče“ pro šifrování, přičemž tyto chrániče mohou být několika typů:

  • Heslo pro odemčení (s minimálními bezpečnostními požadavky: délka 8 znaků, velká písmena, malá písmena, číslice a speciální znaky).
  • Klíč pro obnovení.
  • Heslo pro obnovení.
  • Certifikát digitálního podpisu.

Přinejmenším budete muset poskytnout odemykací ochranu heslem a klíč pro obnovení, jak jsme viděli při používání nástroje BitLocker z ovládacího panelu, centra akcí nebo File Explorer.

Z příkazového řádku to můžeme provést dvěma způsoby:

možnost 1

Poskytnutí hesla pro odemčení a klíče pro obnovení v příkazu „Manage-bde –on -pw -rk “.

manage-bde -on f: -pw -rk g:

Výše uvedený příkaz nás požádá o heslo pro odemčení a vygeneruje klíč pro obnovení na disku „G:“ a poté zahájí šifrování disku „F:“. Disk, na kterém je uložen klíč pro obnovení, nemůže být disk šifrovaný nástrojem BitLocker.

bitlocker_simbolo_sistema_5

V uvedeném umístění nám uloží soubor .BEK s klíčem pro obnovení a na obrazovce nám zobrazí informace o přidaných ochranách: klíč pro obnovení a heslo. V názvu souboru se objeví identifikátor, o který nás BitLocker požádá, abychom použili klíč pro obnovení, který odpovídá konkrétnímu šifrovanému disku.

bitlocker_simbolo_sistema_6

možnost 2

Druhou možností je poskytnout heslo pro odemčení a klíč pro obnovení nejprve v příkazu „Manage-bde –Ochránci –přidat -pw -rk ”A poté povolte BitLocker na uvedené diskové jednotce příkazem« Manage-bde –on »

manage-bde f: -protectors -add -pw -rk g:

Výše uvedený příkaz nás požádá o zadání a potvrzení hesla pro odemčení jednotky „F:“ a poté vygeneruje klíč pro obnovení a uloží jej na zadanou cestu, disk „G:“. Poté aktivujeme BitLocker na disku «F:» spuštěním příkazu:

manage-bde –on f:

Systém nám říká, že začalo šifrování jednotky F:

bitlocker_simbolo_sistema_7

A dialogové okno nám ukazuje průběh procesu šifrování.

Můžeme spustit příkaz „fvenotify.exe ”Pro zobrazení výše uvedeného dialogového okna v případě, že se nezobrazí. Následující obrázek ukazuje výsledek spuštění „manage-bde –status f:“.

bitlocker_simbolo_sistema_10

Poté, co jsme se naučili, jak to povolit, nyní uděláme další základní akce pro správnou správu nástroje BitLocker.

Přidejte chránič hesla pro obnovení

Volitelně můžeme na šifrovaný disk přidat číselné heslo pro obnovení, které nám, stejně jako klíč pro obnovení, umožní odemknout šifrovanou jednotku v případě, že jsme heslo pro odemčení ztratili. K tomu použijeme parametr –rp v jedné ze dvou možností:

manage-bde -on f: -pw -rk g: -rp

Jiná možnost

manage-bde f: -protectors -add -pw -rk g: -rp manage-bde -on f:

Na následujícím obrázku vidíme, jak přidat heslo pro obnovení na již zašifrovaný disk.

bitlocker_simbolo_sistema_11

Zobrazení metod ochrany šifrovaného disku

Z příkazové konzoly spustíme následující větu:

manage-bde f: -protectors –get

bitlocker_simbolo_sistema_12

Zamkněte, odemkněte a automaticky odemkněte šifrovaný disk

U předchozích příkazů jsme viděli, jak aktivovat BitLocker na disku, ve výchozím nastavení je šifrovaný disk odemčený a můžeme jej přímo použít. V případě vysunutí disku při opětovném připojení k jakémukoli počítači to bude znamenat, že je disk zašifrovaný, a požádá nás o zapsání odemykacího klíče. Následující příkazy nám umožňují zpracovat zámek šifrovacího disku.

Tento příkaz uzamkne odemčený disk, pokud je již uzamčen, nic nedělá.

manage-bde –lock f:

Následující příkaz odemkne uzamčený disk pomocí hesla pro odemčení. Žádá nás, abychom napsali odemykací klíč.

manage-bde –unlock f: -pw

Následující příkaz odemkne uzamčený disk pomocí klíče pro obnovení umístěného v uvedené cestě, je nutné uvést název souboru, který obsahuje klíč pro obnovení, protože pro různé šifrované disky můžeme mít různé klíče pro obnovení.

manage-bde -unlock f: -rk g:6DA2A89C-1738-4C59-A3FD-0C8477FEDAB2.BEK

Následující příkaz odemkne uzamčený disk pomocí hesla pro obnovení, které jsme vygenerovali pomocí parametru –rp.

manage-bde -unlock f: -rp 596277-460262-021274-649242-626384-329329-536756-504790

Volba –autounlock vám umožňuje povolit nebo zakázat automatické zamykání šifrovaného disku, když je připojen k počítači. Aby bylo možné povolit automatické odemykání, je nutné, aby byl disk dříve odemčen kteroukoli ze tří předchozích metod.

Abychom umožnili automatické odemykání, napíšeme následující příkaz:

manage-bde -autounlock -enable f:

Tento příkaz vytvoří na tomto disku přidružený cizí klíč, který umožní automatické odemknutí při připojení disku k počítači. Chcete -li zakázat automatické odemykání diskové jednotky, napíšeme příkaz:

manage-bde -autounlock -disable f:

Je nutné odebrat přidružený cizí klíč, jak uvádí operační systém, abyste mohli automatické odemknutí zcela zakázat pomocí následujícího příkazu:

manage-bde -protectors F: -delete -id {34C63825-A1DB-4175-8F7C-897E4A696CC5}

Příkaz nám indikuje samotný operační systém.

Přidání certifikátu digitálního podpisu jako ochrany

Pomocí tohoto chrániče můžeme zajistit šifrování takto chráněného disku pomocí veřejného klíče certifikátu digitálního podpisu. K tomu musíme mít digitální certifikát nebo elektronický podpis. Z tohoto certifikátu budeme potřebovat cestu, kde je umístěn veřejný klíč (soubor s příponou .cer).

V následujícím řádku vidíme příklad, jak přidat chránič digitálních certifikátů na disk „F:“ a jak označíme cestu, kde se nachází soubor obsahující veřejný klíč.

manage-bde -protectors -add f: -certificate -cf "g:certcp.cer"

Stejně jako v předchozích příkladech, po přidání chrániče na diskovou jednotku přistoupíme k aktivaci nástroje BitLocker na uvedené jednotce:

manage-bde –on f:

Vypněte BitLocker na diskové jednotce

K deaktivaci nástroje BitLocker na diskové jednotce, tj. K dešifrování diskové jednotky, je nutné, aby byla jednotka odemčena, poté provedeme následující příkaz z konzoly příkazů operačního systému

manage-bde –off f:

V tuto chvíli budeme mít na této diskové jednotce deaktivovaný nástroj BitLocker, příkaz je velmi snadno zapamatovatelný, takže jej můžeme vždy spustit, aniž bychom museli prohlížet dokumentaci.

Povolte nástroj BitLocker na spouštěcím disku

Jak jsme viděli v článku “ Ochrana dat na našich discích pomocí nástroje BitLocker ve Windows 10 “, Šifrování spouštěcí jednotky má určité zvláštnosti; v tomto případě se zaměříme na případ, že náš počítač potřebuje USB flash paměť, kam uložit klíč k odemčení disku, který obsahuje operační systém při spuštění.

Nejprve budete muset vygenerovat spouštěcí klíč „-startupkey“ pomocí volby „-protector –add“ příkazu manage-bde.

Následující příkaz přidá chránič typu –startupkey pro jednotku „E:“ a uloží jej do souboru v kořenové složce jednotky „F:“.

manage-bde e: -protectors –add –sk f:

bitlocker_simbolo_sistema_13

Za druhé, soubor s vygenerovaným spouštěcím klíčem musí být zkopírován na USB flash paměť, která bude použita k odemčení jednotky, která obsahuje operační systém počítače během spouštění.

Za třetí, aktivujeme BitLocker na spouštěcí diskové jednotce a po restartu začne šifrování, je důležité během celého procesu a dokud není šifrování dokončeno, nevyjímejte USB flash paměť, která obsahuje zaváděcí klíč.

manage-bde -on C:

Jak jste viděli, tuto bezpečnostní technologii můžeme aktivovat a deaktivovat prostřednictvím příkazového řádku, což je ideální pro provádění všech akcí prostřednictvím CMD bez použití grafického uživatelského rozhraní Windows. Doufáme, že s tímto tutoriálem jste se mohli podrobně naučit, jak se BitLocker používá k ochraně dat na vašich pevných discích, SSD a také na externích úložných jednotkách USB.