Я знаю, что Bitlocker можно использовать из установки Hyper-V Server 2012 r2. И я знаю, что это можно сделать на машине без микросхемы TPM. Проблема в том, что все примеры, которые я нашел, зависят от графического интерфейса. Я не хочу, чтобы вся сложная настройка позволяла удаленное управление через графический интерфейс, и я не использую Active Directory (и не буду).
Как можно полностью настроить Bitlocker из командной строки для автоматического использования USB-накопителя при загрузке?
По сути, есть 2 значения реестра, которые необходимо установить, прежде чем Bitlocker позволит использовать USB-накопитель для хранения ключей запуска / восстановления. Вам не нужно редактировать GPO через графический интерфейс.
Так я защитил свой c: диск с Bitlocker, сохраняя мои ключи на USB-накопителе, установленном как k: водить машину. Шаг № 3 - это часть, которая заменяет необходимость использования gpedit.msc.
Install-WindowsFeature Bitlocker
Из PowerShell: (ключ / папка «FVE» изначально не существует)
New-Item HKLM:\SOFTWARE\Policies\Microsoft\FVE
Set-Location HKLM:\SOFTWARE\Policies\Microsoft
Set-ItemProperty FVE -Name UseAdvancedStartup -Value 1
Set-ItemProperty FVE -Name EnableBDEWithNoTPM -Value 1
Из cmd.exe: manage-bde -protectors -add c: -startupkey k:\ -recoverykey k:\
manage-bde -on c: -usedspaceonly
manage-bde -status
К вашему сведению: я сделал все это через сеанс RDP, в том числе с помощью diskpart для установки буквы USB-накопителя. Единственным физическим доступом к машине было подключение USB-накопителя.
РЕДАКТИРОВАТЬ: Я потратил некоторое время и подтвердил, что буква и метка USB-накопителя не имеют значения во время загрузки. Вы можете поместить ключевой файл (ы) на новый диск и подключить его к другому USB-порту. Windows находит это нормально и загружается. (Если бы только Windows была так хороша с USB-принтерами.)