Do you ever wonder to Get BitLocker Recovery Key from CMD after losing it? This is a process using which you can restore access to the encrypted drive in the event when you fail to unlock it. Unlocking such drive is almost impossible without a BitLocker Recovery key.
However, whenever you lost your Recovery key, it’s best to just check at a few places before performing any backup. You can find out the Saved Printouts, or any written documents. But by executing a simple command line, you can always retrieve the 48 digit key using which you can access your data.
How to Get BitLocker Recovery Key from CMD in Windows 11 and 10
Here is How to Get BitLocker Recovery Key from CMD in Windows 11 or 10.
Get the BitLocker Recovery Key from the Command Prompt
Step-1: First of all, open Run dialog box by using “Win + R” hotkeys in one go. Here, type cmd in the text field.
Step-2: Now, to launch elevated Command Prompt hit “Ctrl + Shift + Enter” keys altogether.
Step-3: Upon the prompt of UAC, perform a click on Yes button to proceed ahead.
Step-4: When Command Prompt with admin rights shows up, type or copy/paste the below-given command and press Enter to Get BitLocker Recovery Key from CMD in Windows 11 or 10.
manage-bde -protectors C: -get
Step-5: The black panel will immediately display the 48 digit password. It is your “BitLocker Recovery Key” which was actually used to encrypt your hard drive. So, write it on paper and keep it safe or you can save it on an External flash drive also.
Force a Recovery of BitLocker Key for Local Computer
Prior you make an attempt to generate a BitLocker recovery procedure, experts suggest testing how the recovery method functions for you. The –forcerecovery command of manage-bde will do the task.
Go to Cortana search and type “cmd.exe“. When the Best match displays the same, do a right-click and select “Run as administrator“.
Agree to the UAC prompt by clicking the Yes button.
At the Command Prompt window, copy-paste or type in the following syntax and hit Enter.
manage-bde -forcerecovery <BitLockerVolume>
To Force Recovery for a Remote Computer
Here also, access the Command Prompt with administrative authorities and execute this command.
manage-bde. -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>
Note: Recovery triggered by “-forcerecovery” determines several reboots until you add “TPM protector” or suspends protection.
Perform a Backup
You can straightaway perform a backup for getting your “BitLocker Recovery Key” by using the below steps.
Open Start Menu and type BitLocker. Click Manage BitLocker option that appears as the Best match on Cortana.
Choose “Backup your Recovery key” and go through the guidelines shown on the screen.
For reference, you may like to see the process to Copy Startup Key of BitLocker Encrypted Disk Drive in Windows 10.
Still, you are not succeeding, then Get BitLocker Recovery Key online from – https://aka.ms/myrecoverykey
That’s All!
BitLocker is a built-in tool in Windows used to encrypt your data and keep it secure. We have already discussed how to enable, disable, and manage BitLocker using the Graphical User Interface (GUI) in Windows. In this post, we shall be discussing how you can achieve the same using just the Command Line Interface (CLI).
Table of Contents
There are many options that the command line offers while managing BitLocker which the BitLocker Drive Encryption manager (in the Control Panel) does not offer. Therefore, managing BitLocker using Command Prompt can prove useful, especially for system administrators.
This post discusses how you can enable and disable BitLocker encryption on the operating system (boot) drives as well as fixed drives, set passwords, and create a USB Recovery Key for unlocking. All this is done using the manage-bde.exe command-line tool designed to manage BitLocker on the local machine.
Note that all commands in this post are executed in Command Prompt with elevated privileges, unless told otherwise.
How to Check BitLocker Encryption Status using Command Line
We will start by checking the current status of BitLocker, where we will get its version, encryption state, percentage of the partition encrypted (if any), and whether the volume is currently locked or unlocked.
To know the current encryption status for all volumes on the device, paste the following command in Command Prompt:
manage-bde -status
You will now see the status of each volume on your computer, as in the image below.
You can now continue to the steps below to enable and manage your BitLocker encryption.
How to Enable BitLocker using Command Line
There are 2 types of volume partition on a computer: a volume that contains the operating system (usually labeled C:) and the non-boot drives/volumes. When configuring BitLocker on a boot drive, you do not need to enable the auto-unlocking feature as it unlocks automatically using either the Recovery Key or the pre-boot password.
Whereas in the case of a non-boot drive, the auto-unlocking feature can be enabled (but is not mandatory) so you do not have to unlock it separately after you have logged into your system. This is discussed in detail further down the article.
Furthermore, you can choose whether to unlock BitLocker encryption using just the Recovery Key (can also be saved on a USB flash drive to be used as a key), or configure a PIN/password, or use both.
Enable BitLocker with Only Recovery Key
If you want to use only the Recovery Key, you need a secondary partition (which is not locked) where you can store the Recovery Key having the .bek file extension. You can also use a USB flash drive to store that key, which will then act as the unlocking key for your PC.
The complete syntax for enabling BitLocker is as follows:
manage-bde -on c:
In the command above, we have enabled BitLocker on volume label C.
However, this can be combined with certain parameters that will generate a random 48-digit Recovery Key and store it to a location of our choice. In the example below, the command will enable BitLocker on the C drive, create a random Recovery Key, and save it to the D drive:
manage-bde -on c: -recoverykey d: -recoverypassword
Since the Recovery Key is a hidden file, you will not be able to see it using the default File Explorer settings. So do not worry if you are unable to find the Recovery Key in the USB drive or any volume for that matter.
The system now needs to run a hardware test to start the encryption process. Restart the computer using the following command:
shutdown /r /t 1
This will reboot your computer after one second. When it boots up again, keep the USB/volume connected to your system to unlock the OS drive. When you log in, you can see that your OS drive is being encrypted.
Enable BitLocker with PIN Authentication and Recovery Key
You can also set a PIN or a password on your drive to unlock it with or without a Recovery Key. We must warn you that in case you lose or forget your PIN/password and do not create a Recovery Key, accessing/recovering the encrypted data would be very difficult.
Before we proceed with configuring BitLocker with a PIN or a password, we must enable pre-boot password and Personal Identification Number (PIN) support for BitLocker.
The process of enabling PIN authentication requires the configuration of a Group Policy which we have discussed here. You may click this link to learn how to configure it using the Windows GUI.
Alternatively, you may download and execute the Windows Registry file (valid for Windows 10 and Windows 11) to automate the process for you given below. Here is how to run the .reg file successfully:
Wrongful manipulation of the Windows Registry can cause harm to your operating system. Therefore, we recommend that you create a system restore point before proceeding forward.
- Download the compressed file by clicking on the given link:
Enable Pin for Bitlocker (Registry) (unknown, 1,575 hits)
- Right-click on the downloaded file and extract it.
- Now navigate to the extracted folder and double-click the EnablePinForBitLocker file to run it.
- On the UAC prompt, click Yes.
- On the confirmation dialog box, click Yes again.
- On the next popup, click Ok.
- Now restart your computer for the changes to take effect.
After the computer reboots, you may proceed to configure BitLocker with only a PIN or password authentication. Enter the following command while replacing “C:” with the letter of the drive that you want to encrypt.
manage-bde -protectors -add C: -pw
You will now need to enter the password that you want to set and then reconfirm it. Press Enter each time after entering the password. If added successfully, you will see the message “Key protectors added.”
Now use the following command to enable BitLocker on the drive while saving the Recovery Key in another volume, just as we did in the previous section of this article:
manage-bde -on c: -recoverykey d: -recoverypassword
Note: You can also use only the first half of the command above (manage-bde -on c:) to enable BitLocker but not create a Recovery Key.
Now restart your computer using the command below.
shutdown /r /t 1
As the computer reboots, you will be asked to enter the PIN/password (if the OS drive has been encrypted). Enter your credentials to unlock the drive and boot in.
When you log in, you can see that the remainder of your volume is being encrypted. Allow the process to be completed.
How to Enable BitLocker Auto-Unlock Feature using Command Line
If you have enabled BitLocker on non-OS volume(s), then those will need to be unlocked manually after you have logged into your system, unless the auto-unlock feature is enabled. If not, you will see the volume locked, as in the image below, and will need to either provide the Recovery Key or enter the PIN/Password when trying to access it.
The auto-unlock feature will only unlock the non-OS drives automatically if the OS drive is initially unlocked using the BitLocker PIN/password or the Recovery Key.
Follow the steps below to enable BitLocker while configuring the auto-unlock feature on a volume:
Note that this feature does not need to be enabled on boot drives as they are automatically unlocked when the credentials are provided as the system is booting.
- Start by downloading the .reg file, extract it, and then run it.
Enable Pin for Bitlocker (Registry) (unknown, 1,575 hits)
- Now open Command Prompt with administrative privileges and use the following command to configure a PIN or a password. Replace “D:” with the drive letter of the volume that you want to encrypt:
manage-bde -protectors -add D: pw
- Then enter your password and reconfirm it. Hit Enter each time. You will see the message “Key Protectors Added” if the password has been configured successfully.
- Now enter the following command to enable the auto-unlock feature while replacing “D:” with the same drive letter:
manage-bde -autounock -enable D:
- Now enable BitLocker on the same drive by using the command below. You can add to the command to also create a Recovery Key, the same as we did in the previous section of this post.
manage-bde -on D:
The volume will now begin encryption. Using this technique, the non-OS volume(s) will automatically be accessible without any special authentication as soon as you log in using the Recovery Key or PIN/password for the boot drive upon startup.
How to Disable BitLocker Auto-Unlock Feature using Command Line
If you want to disable a drive’s auto-unlock feature, it needs to be first unlocked. Only then will you be able to remove the feature. If your drive is already unlocked, continue down to the next section.
Unlock BitLocker Drive using Command Line
- In the Command Prompt, enter the following command while replacing “D:” with the drive letter of the volume that you want to unlock:
manage-bde -unlock D: -pw
- Now enter the PIN/password for the drive and hit Enter.
Alternatively, you can also use the command below to provide the Recovery Key instead of the password to unlock the drive:
manage-bde -unlock D: -recoverykey "PathToRecoveryKey"
Your drive will now be unlocked. You may now move onto the next section to disable the auto-unlocking feature.
Disable BitLocker Auto-Unlock using Command Line
Once you have ensured that the drive is unlocked, use the given command while replacing “D:” with the drive letter that you want to disable the feature on:
manage-bde -autounlock -disable D:
Automatic unlocking of the drive will now be disabled.
How to Turn Off BitLocker using Command Line
To turn off the BitLocker encryption on your drive, you first need to ensure that it is unlocked using the steps given above. You may then proceed to enter the following command in Command Prompt to disable BitLocker while replacing “D:” with your respective drive letter.
manage-bde -off D:
Manage-bde Syntax, Switches, and Parameters
As we mentioned before, manage-bde.exe provides a lot of other features to BitLocker which are not accessible through the GUI. Below is a list of the parameters of manage-bde and what they do:
| Parameter | Description |
|---|---|
| manage-bde -status | Provides information about all drives on the computer, whether or not they are BitLocker-protected. |
| manage-bde -on | Encrypts the drive and turns on BitLocker. |
| manage-bde -off | Decrypts the drive and turns off BitLocker. All key protectors are removed when decryption is complete. |
| manage-bde -pause | Pauses encryption or decryption. |
| manage-bde -resume | Resumes encryption or decryption. |
| manage-bde -lock | Prevents access to BitLocker-protected data. |
| manage-bde -unlock | Allows access to BitLocker-protected data with a recovery password or a recovery key. |
| manage-bde -autounlock | Manages automatic unlocking of data drives. |
| manage-bde -protectors | Manages protection methods for the encryption key. |
| manage-bde -tpm | Configures the computer’s Trusted Platform Module (TPM). This command isn’t supported on computers running Windows 8 or win8_server_2. To manage the TPM on these computers, use either the TPM Management MMC snap-in or the TPM Management cmdlets for Windows PowerShell. |
| manage-bde -setidentifier | Sets the drive identifier field on the drive to the value specified in the Provide the unique identifiers for your organization Group Policy setting. |
| manage-bde -ForceRecovery | Forces a BitLocker-protected drive into recovery mode on restart. This command deletes all TPM-related key protectors from the drive. When the computer restarts, only a recovery password or recovery key can be used to unlock the drive. |
| manage-bde -changepassword | Modifies the password for a data drive. |
| manage-bde -changepin | Modifies the PIN for an operating system drive. |
| manage-bde -changekey | Modifies the startup key for an operating system drive. |
| manage-bde -KeyPackage | Generates a key package for a drive. |
| manage-bde -upgrade | Upgrades the BitLocker version. |
| manage-bde -WipeFreeSpace | Wipes the free space on a drive. |
If stuck with these parameters, concatenate “/?” in front of the command and parameters in the Command Prompt to get more help. To learn more about these parameters, read Microsoft’s support page.
Similarly, the manage-bde protectors also have quite a few switches. Here’s a list:
| Parameter | Description |
|---|---|
| -get | Displays all the key protection methods enabled on the drive and provides their type and identifier (ID). |
| -add | Adds key protection methods as specified by using additional -add parameters. |
| -delete | Deletes key protection methods used by BitLocker. All key protectors will be removed from a drive unless the optional -delete parameters are used to specify which protectors to delete. When the last protector on a drive is deleted, BitLocker protection of the drive is disabled to ensure that access to data is not lost inadvertently. |
| -disable | Disables protection, which will allow anyone to access encrypted data by making the encryption key available unsecured on the drive. No key protectors are removed. Protection will be resumed the next time Windows is booted unless the optional -disable parameters are used to specify the reboot count. |
| -enable | Enables protection by removing the unsecured encryption key from the drive. All configured key protectors on the drive will be enforced. |
| -adbackup | Backs up recovery information for the drive specified to Active Directory Domain Services (AD DS). Append the -id parameter and specify the ID of a specific recovery key to back up. -id parameter is required. |
| -aadbackup | Backs up all recovery information for the drive specified to Azure Active Directory (Azure AD). Append the -id parameter and specify the ID of a specific recovery key to back up. -id parameter is required. |
<drive> |
Represents a drive letter followed by a colon. |
| -computername | Specifies that manage-bde.exe will be used to modify BitLocker protection on a different computer. You can also use -cn as an abbreviated version of this command. |
<name> |
Represents the name of the computer on which to modify BitLocker protection. Accepted values include the computer’s NetBIOS name and the computer’s IP address. |
Final Thoughts
There are quite a few things you can do just from the Command Prompt alone for BitLocker. We started this post with the most basic commands and what they do, then worked our way up so that it is easier for you to understand BitLocker through the command line.
There are similar tools also available in Windows to manage-bde, such as repair-bde, which you can use to recover lost encrypted data due to damaged hard disks.
If you are using an operating system that does not have BitLocker, you can try out these alternatives to keep your data safe.
Шифрование системного диска Windows с помощью BitLocker обеспечивает эффективную защиту от несанкционированного доступа, особенно в сочетании с TPM. Но стоит добавить или заменить видеокарту, обновить прошивку или изменить некоторые настройки в UEFI BIOS, как загрузка с зашифрованного диска станет невозможной, а система попросит ввести код восстановления доступа. Как предотвратить блокировку и что делать, если загрузочный диск заблокирован?
Как выглядит блокировка BitLocker
Блокировка загрузки BitLocker выглядит следующим образом:
Если во время загрузки вы увидели подобный экран, вам потребуется разблокировать системный диск, введя ключ восстановления доступа (BitLocker recovery key). О том, где находится этот ключ и как предотвратить возникновение блокировки — в этой статье.
В чём причина блокировки
Блокировка чаще всего случается на компьютерах, оборудованных модулем TPM либо его аналогом или программной эмуляцией (Intel PTT, AMD fTPM), если происходит одно из следующих событий:
- Диск был извлечён из одного компьютера и установлен в другой.
- Произошло обновление прошивки видеокарты или другого оборудования либо UEFI BIOS компьютера.
- Были изменены параметры безопасности в UEFI BIOS компьютера.
- Произошли изменения в цепочке доверенной загрузки (например, вредоносным ПО).
Действия в случае блокировки
Если вы не можете загрузить Windows по причине блокировки BitLocker, это может означать, что вам потребуется ключ восстановления доступа BitLocker. В большинстве случаев этот ключ является единственным способом разблокировки диска. В этом случае внимательно изучите экран, в котором запрашивается ключ восстановления доступа. В современных версиях Windows 10 и всех версиях Windows 11 такие подсказки обычно содержат информацию о том, когда была создана резервная копия ключа BitLocker, где она была сохранена и как её можно извлечь.
В некоторых ситуациях диск можно разблокировать посредством PIN-кода или пароля. Вы можете проверить, так ли это, загрузившись в Elcomsoft System Recovery и попытавшись смонтировать системный раздел с BitLocker. Подробные инструкции доступны по ссылке Как получить доступ к BitLocker, загрузившись с USB накопителя; здесь же мы приведём сокращённую инструкцию, не включающую в себя шаги по изготовлению загрузочного накопителя.
Итак, после загрузки в Elcomsoft System Recovery инструмент автоматически просканирует доступные жёсткие диски на предмет зашифрованных томов. Если программа обнаружит хотя бы один том, защищённый BitLocker, будет выведено предложение разблокировать диск:
В следующем окне инструмент отобразит букву диска и тип протектора. Если будет обнаружен хотя бы один неподдерживаемый протектор, такие протекторы не будут показаны по умолчанию. Чтобы отобразить все протекторы, включая неподдерживаемые, снимите флажок «Show supported disk protectors only».
Как только флажок будет снят, вы увидите неподдерживаемые протекторы. В приведённом ниже примере загрузочный диск был защищён двумя протекторами: TPM+PIN (напрямую не поддерживается в Elcomsoft System Recovery) и депонированным ключом (Recovery Key), который в Elcomsoft System Recovery поддерживается.
Встречаются тома BitLocker, защищённые сразу несколькими протекторами, которые поддерживаются Elcomsoft System Recovery. В приведённом ниже примере том был защищён паролем, а ключ восстановления был создан в качестве дополнительного (резервного) протектора. Именно таким образом обычно и защищены все диски, кроме загрузочных. В этом случае укажите тот тип протектора, к которому у вас есть доступ. Например, если вы знаете пароль к тому BitLocker, выберите «Password».
Обратите внимание: если компьютер оборудован TPM или его программным эмулятором, то системный диск, как правило, можно разблокировать либо ключом из модуля TPM, либо ключом восстановления доступа (recovery key). В большинстве случаев других способов разблокировать диск нет (их можно добавить вручную, но так мало кто делает). Если ключ восстановления доступа указан как единственный протектор — для разблокирования диска вам придётся использовать именно его.
Пользователь утверждает, что не включал шифрование
В ряде случаев шифрование BitLocker Device Encryption включается автоматически, не уведомляя пользователя. В статье Общие сведения о функции шифровании устройств BitLocker в Windows — Windows security | Microsoft Docs объясняются основные принципы этого типа шифрования. Приведём выдержку из этой статьи.
Начиная с Windows 8.1, Windows автоматически включает шифрование устройств BitLocker на устройствах, поддерживающих современный режим ожидания. С Windows 11 и Windows 10 Microsoft предлагает поддержку шифрования устройств BitLocker на гораздо более широком диапазоне устройств, в том числе современных standby, и устройствах, которые работают Windows 10 Домашняя или Windows 11. […]
В отличие от стандартной реализации BitLocker шифрование устройств BitLocker включено автоматически, чтобы устройство всегда было защищено. В следующем списке изложено, как это происходит.
- После завершения чистой установки Windows 11 или Windows 10 и завершения работы с выходом из окна компьютер готовится к первому использованию. В рамках этой подготовки шифрование устройств BitLocker инициализировано на диске операционной системы и фиксированных дисках данных на компьютере с четким ключом (это эквивалент стандартного приостановленного состояния BitLocker). В этом состоянии диск отображается с значоком предупреждения в Windows Explorer. Желтый значок предупреждения удаляется после создания протектора TPM и восстановления, как поясняется в следующих точках пули.
- Если устройство не подсоединено к домену, требуется использовать учетную запись Майкрософт, которой были предоставлены права администратора на устройстве. Когда администратор использует учетную запись Майкрософт для входа, незащищенный ключ удаляется, а ключ восстановления отправляется в учетную запись Майкрософт в Интернете, создается механизм защиты TPM. Если устройству требуется ключ восстановления, пользователю порекомендуют использовать другое устройство и перейти по URL-адресу доступа к ключу восстановления, чтобы извлечь его с использованием учетных данных своей учетной записи Майкрософт.
- Если пользователь использует для входа учетную запись домена, незащищенный ключ не удаляется до тех пор, пока пользователь не подсоединит устройство к домену и не выполнит успешное резервное копирование ключа восстановления в доменные службы Active Directory (AD DS). […]
- Аналогично входу по учетной записи домена незащищенный ключ удаляется, когда пользователь входит на устройство с использованием учетной записи Azure AD. Как описано в пункте выше, пароль восстановления создается автоматически, когда пользователь проходит проверку подлинности в Azure AD. Затем выполняется резервное копирование ключа восстановления в Azure AD, создается механизм защиты TPM, незащищенный ключ удаляется.
В переводе с машинного на русский, Microsoft утверждает следующее:
- Если компьютер (ноутбук или современный настольный компьютер) поддерживается BitLocker Device Encryption, то диск будет зашифрован к моменту окончания начальной настройки Windows. На этот момент все данные на диске будут уже зашифрованы, однако ключ шифрования будет сохранён в заголовке тома в открытом виде.
- Ключ шифрования будет удалён из заголовка тома лишь после того, как будет создана его резервная копия в виде ключа восстановления доступа. Это важно: ключ шифрования удаляется из заголовка тома только и исключительно после того, как создаётся его резервная копия.
- Для обычных пользователей копия ключа создаётся в учётной записи Microsoft account. Используется учётная запись первого пользователя, который войдёт в компьютер с учётной записью Microsoft account (а не с использованием локальной учётной записи Windows) с административными привилегиями. Таким образом, если вы получили уже настроенный компьютер (или приобрели бывшее в употреблении устройство), то ключ восстановления доступа будет храниться не у вас, а у того пользователя, который впервые осуществил настройку системы.
- В организациях для хранения ключей часто используются службы Active Directory и Azure AD.
Таким образом, для снятия блокировки вам нужен ключ восстановления доступа BitLocker.
Как предотвратить блокировку
Для предотвращения блокировки системного диска BitLocker существует два способа; использовать нужно оба. Во-первых, сохраните резервную копию ключа восстановления доступа и убедитесь, что запомните, куда именно вы её сохранили. Во-вторых, перед тем, как внести изменения в аппаратную конфигурацию компьютера и/или обновить прошивку или версию UEFI BIOS, временно отключите шифрование командой suspend BitLocker.
Сохранить ключ восстановления доступа можно как через графический интерфейс Windows, так и из командной строки. В любом случае вам потребуется учётная запись с административными привилегиями.
Сохранение ключа BitLocker через Windows GUI
Запустите апплет “BitLocker Drive Encryption” из панели управления Windows Control Panel. Проще всего это сделать, введя слово “bitlocker” в строку поиска в Windows.
Если системный диск зашифрован, вы увидите список возможных действий: Suspend protection, Backup your recovery key, Turn off BitLocker. Для сохранения резервной копии ключа используйте команду “Backup your recovery key”.
Ключ можно сохранить как в облако (если вы используете для входа в систему Microsoft account), так и в файл или в виде распечатки.
Обратите внимание: в Windows 10 начиная с версии 1903 и всех версиях Windows 11 система запомнит, когда и куда вы сохраняли ключ восстановления доступа. Эта информация выводится на экране блокировки BitLocker; узнать её другим способом нельзя.
Сохранение ключа BitLocker из командной строки
Для сохранения копии ключа BitLocker из командной строки запустите cmd.exe с правами администратора (“Run as administrator”), после чего введите команду:
manage-bde -protectors -get C:
Будет выведена следующая информация:
C:\WINDOWS\system32>manage-bde -protectors -get C:
BitLocker Drive Encryption: Configuration Tool version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [NVME]
All Key Protectors
TPM:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
0, 2, 4, 11
Numerical Password:
ID: {YYYY-YYYY-YYYY-YYYY-YYYYYYYYYYYY}
Password:
123456-123456-123456-123456
Здесь поле “Numerical Password” и есть ключ восстановления доступа для ключа, идентифицируемого по key ID.
Сохранение ключа BitLocker из PowerShell
В Windows доступна замена командной строки в виде PowerShell. Для извлечения всех ключей BitLocker для всех зашифрованных дисков используйте следующий скрипт, сохранив его в файл с расширением .ps1 (например, «backup-bitlocker.ps1») и запустив из PowerShell с административными привилегиями.
# Export the BitLocker recovery keys for all drives and display them at the Command Prompt.
$BitlockerVolumers = Get-BitLockerVolume
$BitlockerVolumers |
ForEach-Object {
$MountPoint = $_.MountPoint
$RecoveryKey = [string]($_.KeyProtector).RecoveryPassword
if ($RecoveryKey.Length -gt 5) {
Write-Output ("The drive $MountPoint has a BitLocker recovery key $RecoveryKey")
}
}
Как предотвратить блокировку BitLocker при обновлении UEFI BIOS, замене или обновлении оборудования
Если вы планируете обновить версию UEFI BIOS, убрать или добавить видеокарту или обновить её прошивку, либо просто перенести зашифрованный диск из одного компьютера в другой, вы можете предотвратить блокировку и обойтись без ввода длинного ключа восстановления доступа. Всё, что для этого нужно — это приостановить шифрование BitLocker командой suspend BitLocker из панели управления Windows. Для этого откройте апплет BitLocker в Windows Control Panel и нажмите “Suspend protection”.
В результате этого действия ключ шифрования диска будет сохранён в заголовке тома в открытом виде. Далее вы можете переместить диск в другой компьютер, обновить UEFI BIOS или изменить последовательность загрузки; несмотря на эти действия, Windows загрузится в обычном режиме без блокировки. После этого система создаст новую цепочку доверенной загрузки и пропишет её в модуле TPM, после чего шифрование будет вновь активировано, а ключ тома будет удалён из его заголовка.
Действия при блокировке
Если система всё-таки была заблокирована, внимательно изучите экран восстановления доступа. В современных версиях Windows на этом экране выводится подсказка с информацией о том, когда и куда сохранялся ключ восстановления доступа:
На этом экране Windows просит вас разблокировать диск, предоставив действительный ключ восстановления BitLocker, соответствующий отображаемому идентификатору ключа восстановления. Если вы дошли до этого момента, то ключ восстановления может оказаться единственным способом разблокировать диск. Пароль от учётной записи Windows или любой другой пароль использовать для разблокировки системного диска не удастся, поскольку фактический ключ шифрования хранится или хранился в модуле TPM компьютера. Если модуль TPM не выдаёт этот ключ шифрования, у системы не будет возможности расшифровать данные.
Где находится ключ восстановления доступа BitLocker
В Windows 10 и Windows 11 невозможно включить шифрование BitLocker без сохранения копии ключа восстановления доступа. В случае автоматического шифрования устройства BitLocker Device Encryption ключ восстановления автоматически сохраняется в облачной учётной записи первого пользователя, который входит в систему как системный администратор со учётной записью Microsoft (в отличие от локальной учётной записи Windows). Обратите внимание: первый и текущий пользователи компьютера могут не совпадать, и ключ восстановления доступа BitLocker необходимо получить именно у того пользователя, в учётной записи которого он был сохранён.
Microsoft опубликовала статью для системных администраторов Руководство по восстановлению BitLocker (для Windows 10) — Windows security | Microsoft Docs, в которой подробно описаны способы получения ключа восстановления доступа. Ниже приводится выдержка из другой статьи компании, которая была написана для обычных пользователей.
BitLocker — это функция шифрования устройств в Windows. Если устройство запрашивает у вас ключ восстановления BitLocker, следующие инструкции помогут вам найти 48-значный ключ, который понадобится для разблокировки устройства. Ниже указаны некоторые места, в которых можно поискать ключ, если у вас его нет:
В учетной записи Майкрософт выполните Вход в учетную запись Майкрософт на другом устройстве, чтобы найти ключ восстановления. Если на устройстве есть учетные записи других пользователей, вы можете попросить их войти в свою учетную запись Майкрософт, чтобы проверить, есть ли у них ключ.
Сохранён в виде распечатки: Ключ восстановления может находиться на распечатке, сохраненной при активации BitLocker. Проверьте свои важные документы, относящиеся к компьютеру.
На USB-накопителе: Подсоедините USB-накопитель к заблокированному компьютеру и следуйте инструкциям. Если ключ сохранен на устройстве флэш-памяти как текстовый файл, прочтите этот файл на другом компьютере.
В учетной записи Azure Active Directory: Если ваше устройство было зарегистрировано в Организации с помощью рабочей или учебной учетной записи электронной почты, ваш ключ восстановления может храниться в учетной записи Azure AD , связанной с вашим устройством. Возможно, вы сможете получить к ключу доступ самостоятельно либо вам может потребоваться обратиться к системному администратору.
Хранится у системного администратора. Если устройство подключено к домену (обычно это рабочее или учебное устройство), обратитесь к системному администратору для ключа восстановления.
(Источник: Поиск ключа восстановления BitLocker (microsoft.com))
Заключение
В качестве заключения приведём ссылки на наши статьи, в которых подробно анализируется шифрование посредством BitLocker:
Как получить доступ к BitLocker, загрузившись с USB накопителя
Механизмы защиты BitLocker: какие диски можно, а какие нельзя взломать
Windows 11: TPM, новый тип учётных записей и логин без пароля
REFERENCES:
Elcomsoft Distributed Password Recovery
Производительное решение для восстановление паролей к десяткам форматов файлов, документов, ключей и сертификатов. Аппаратное ускорение с использованием потребительских видеокарт и лёгкое масштабирование до 10,000 рабочих станций делают решение Элкомсофт оптимальным для исследовательских лабораторий и государственных агентств.
Официальная страница Elcomsoft Distributed Password Recovery »
Elcomsoft Forensic Disk Decryptor
Elcomsoft Forensic Disk Decryptor обеспечивает моментальный доступ к содержимому зашифрованных дисков, созданных BitLocker, FileVault 2, PGP Disk, TrueCrypt и VeraCrypt. Доступны режимы полной расшифровки и оперативного доступа к информации. Ключи для расшифровки содержимого зашифрованных дисков извлекаются из слепка оперативной памяти компьютера, методом атаки через порт FireWire либо анализом файла гибернации. Возможно использования паролей и депонированных ключей.
Официальная страница Elcomsoft Forensic Disk Decryptor »
Elcomsoft System Recovery
Elcomsoft System Recovery поможет восстановить доступ к учётным записям к локальным учётным записям Windows и универсальной учётной записи Microsoft Account и создать образ диска для последующего анализа. Поддерживается как моментальный сброс, так и восстановление оригинального пароля. С помощью Elcomsoft System Recovery можно предоставить административные привилегии любому пользователю. Продукт поставляется вместе с лицензионной загрузочной средой Windows PE.
Официальная страница Elcomsoft System Recovery »
Шифрование диска BitLocker – особая технология защиты данных в операционной системе Microsoft Windows. БитЛокер обеспечивает информационную безопасность через шифрование томов, что позволяет снизить риск похищения и раскрытия персональных данных. Шифрование дисков BitLocker может иметь негативные последствия, поэтому при необходимости его можно отключить.
В этом гайде подробно разберем шифрование BitLocker в Windows 10 и 11. Читайте дальше, чтобы узнать, как отключить БитЛокер и разблокировать диск.
Шифрование BitLocker недоступно в домашней версии Windows 10.
Что такое BitLocker для Windows 10/11
Кратко опишем, зачем нужен BitLocker в системах Windows:
- Защищает данные через полное шифрование.
- Используется для устранения несанкционированного доступа к информации на потерянных или украденных устройствах.
Не смотря на очевидные достоинства, шифрование BitLocker замедляет SSD и жесткие диски.
Как узнать, включен ли BitLocker
Ниже представлена инструкция для проверки шифрования через BitLocker Windows:
- Введите в строку поиска «cmd».
- Откройте приложение «Командная строка» от имени администратора с помощью правой кнопки мыши.
- Введите в консоль команду «Manage-bde –status» и дождитесь загрузки данных.
Если в пункте «Состояние преобразования» [Conversion Status] есть запись «Полностью расшифровано», а в графе «Метод шифрования» [Encryption Method] написано «Нет», то BitLocker отключен.
Нужно ли отключать шифрование диска BitLocker
Бесплатное шифрование диска BitLocker по умолчанию встроено в системы Windows 10/11, поэтому разберем, необходима ли активация этой защиты:
- Если случится так, что ПК будет украден или утерян, то злоумышленники не смогут завладеть данными, что хранятся на дисках.
- Когда пользователь включает компьютер и заходит в свою учетную запись, все данные расшифровываются, поэтому файлы будут защиты до принудительной блокировки ПК.
- Шифрование дисков может замедлить работу системы.
- Если ключ восстановления BitLocker [BitLocker Recovery Key] будет утерян, то зашифрованные данные не получится восстановить, а диск придется форматировать.
Таким образом БитЛокер рекомендуется использовать в том случае, когда есть риск потерять конфиденциальные данные или очень ценную информацию, а если компьютер используется только для видеоигр и воспроизведения медиафайлов, то активировать шифрование не обязательно.
Как отключить шифрование диска BitLocker
В следующих пунктах покажем, как выключить БитЛокер в Windows 10 и 11.
Отключить БитЛокер можно через консоль с помощью команды «Manage-bde -off диск» – где вместо слова «диск» необходимо вписать букву нужного тома.
На Windows 10
Следующие действия помогут отключить BitLocker в Windows 10:
- Войдите в систему с правами администратора.
- Откройте панель управления, нажмите на раздел «Система и безопасность», после чего выберете пункт «Шифрование устройства» или «Шифрование диска BitLocker».
- Около иконки с нужным томом нажмите «Отключить BitLocker».
На Windows 11
Кратко поясним, как отключить BitLocker в Windows 11:
- Запустите Windows с правами администратора.
- Откройте через параметры системы раздел «Конфиденциальность и безопасность» и выберете пункт «Шифрование устройства» или «Шифрование диска BitLocker».
- Около нужного диска нажмите кнопку «Отключить BitLocker».
Как разблокировать диск с BitLocker
Системные диски с защитой БитЛокер можно разблокировать – расскажем об этом в следующих пунктах.
Существует два основных способа для разблокировки диска с защитой БитЛокер – с помощью пароля и через ключ восстановления.
На Windows 10
Перечислим действия, которые позволят разблокировать диск с БитЛокер в Windows 10:
- Откройте панель управления компьютера, после чего перейдите в раздел «Система и безопасность» и нажмите на пункт «Шифрование диска BitLocker».
- В списке выберите зашифрованный том и нажмите «Разблокировать диск».
- Введите правильный пароль или подключите идентификационную карту, а если это невозможно, то используйте ключ восстановления через подраздел «Дополнительные параметры».
На Windows 11
Перечислим действия, которые позволят разблокировать диск с БитЛокер в Windows 11:
- Откройте параметры компьютера, перейдите в раздел «Конфиденциальность и безопасность», выберете пункт «Шифрование».
- Выберите нужный зашифрованный том и нажмите «Разблокировать диск».
- Введите требуемый пароль или ключ восстановления БитЛокер.
Как разблокировать диск без ключа
Бывают ситуации, когда ключ восстановления утерян и стоит вопрос, как разблокировать BitLocker. БитЛокер – это продукт Microsoft для обеспечения безопасности данных, поэтому сотрудники компании и служба поддержки не смогут предоставить новый индивидуальный ключ восстановления. Таким образом разблокировать диск без ключа невозможно.
Как включить шифрование диска BitLocker
Далее приведем инструкции, которые позволят активировать шифрование БитЛокер в Windows.
Обязательно сохраните ключ восстановления БитЛокер в удобном месте (распечатанный лист, текстовый файл или на электронной почте).
На Windows 10
Способ включить BitLocker в Windows 10:
- Войдите в систему под учетной записью администратора.
- Вбейте в строку поиска «BitLocker», чтобы открыть «Шифрование диска BitLocker», или откройте этот раздел через панель управления в пункте «Система и безопасность».
- Выберите из списка нужный диск операционной системы, после чего нажмите на кнопку «Включить BitLocker».
На Windows 11
Способ включить BitLocker в Windows 11:
- Запустите Windows с профиля администратора.
- Откройте через «Пуск» меню «Параметры».
- Выберите раздел «Конфиденциальность и безопасность».
- Откройте пункт «Шифрование устройства», а если он отсутствует, то – «Шифрование диска BitLocker».
- Для нужного диска выберете «Включить BitLocker».
Надеемся, что подготовленный материал помог узнать, что такое БитЛокер Windows, а также отключить его. Дополнительные вопросы можно оставить в комментариях.
In this post, we are going to discuss on How to Enable BitLocker with Command Line, Enable BitLocker using CMD in Windows 10/11. You will be guided with easy steps/methods to resolve the issue. Let’s starts the discussion.
‘Enable BitLocker with Command Line’ in Windows 10/11:
‘BitLocker’: BitLocker is full volume encryption feature included with Microsoft Windows versions starting with Windows Vista. By default, BitLocker uses AES encryption algorithm in cipher block chaining (CBC) or XTC mode with 128-bit or 256-bit key. Bit Locker versions in Windows 7 and Windows serer 2008 R2 adds the ability to encrypt removable drives.
Starting with Windows Server 2012 and Windows 8, Microsoft has complemented BitLocker with Microsoft Encrypted Hard Drive specification, which enables the cryptographic operations of BitLocker encryption to be offloaded to storage device’s hardware. Now, it is quite simple and easy to enable and manage BitLocker through Windows PowerShell or Command Prompt (CMD).
If you are looking for ways to enable/disable BitLocker in Windows 10/11 computer using Command Prompt (CMD), then you are in right-place for this. If you are not aware, it is also possible to enable and manage BitLocker in Windows PC/laptop using GUI (Graphical User Interface) like using Control Panel utility, but you can also perform this operation using command line/CMD in Windows computer.
Command Lines offer more options to manage BitLocker in Windows PC while BitLocker Drive Encryption Manager (in Control Panel) doesn’t offer. Here, you are provided with easy ways to enable/disable BitLocker on Operating System boot drives, and fixed drives as well, set passwords, and create a USB Recovery Key for unlocking. This operation will be done using manage-bde.exe command-line tool designed to manage BitLocker on local machine. Let’s go for the steps.
How to Check BitLocker Encryption Status using Command Line?
Before performing BitLocker encryption process, you should check at first the status of BitLocker on the drive/volume.
Step 1: Type ‘cmd’ in Windows Search Box and press ‘SHIFT + ENTER’ keys on keyboard to open ‘Command Prompt as Administrator’
Step 2: Type the following command and hit ‘Enter’ key to execute to know the current encryption status of all volumes/drives on the device.
manage-bde –status
Step 3: You will see the list of volumes with encryption status. Now, you can apply next method to enable and manage BitLocker using CMD.
How to Enable BitLocker using CMD, with Command Line?
There are two types of volume partition in computer including boot drive that contains Operating System files, and non-boot drives/volumes. When configuring BitLocker on boot drive, you don’t need to enable auto-unlocking feature as it locks automatically using either Recovery key or pre-boot password. On other hand, the auto-unlocking feature on non-boot drive can be enabled so you don’t have to unlock it separately after logged into computer.
Method 1: Enable BitLocker with Only Recovery Key
For this, you need a secondary partition where you can store the Recovery Key having .bek file extension.
Step 1: Open ‘Command Prompt as Administrator’ using above method
Step 2: Type the following command and hit ‘Enter’ key to execute.
manage-bde -on c:
Step 3: This command enabled BitLocker on C: Drive volume. This can be combined with certain parameters that will generate a random 48-digit Recovery Key and store it of your choice. This, command enable BitLocker on C:, create a random Recovery key and save it to D: Drive.
manage-bde -on c: -recoverykey d: -recoverypassword
Step 4: You will not be able to see it recovery key using default File Explorer settings because it is hidden. The system needs to run a hardware test to start encryption process. Restart computer using following command.
shutdown /r /t 1
Step 5: After restart, keep the USB/Volume connected to your computer to unlock your OS drive. When you are logged in, you can see your OS drive is being encrypted.
Method 2: How to Enable BitLocker with PIN Authentication and Recovery Key?
You can also try to set a PIN or password on drive to unlock it with Recovery Key. In case you lose or forgot your PIN/password and don’t create a recovery key, accessing/recovering the encrypted data would be very difficult. You need to enable pre-boot password and personal identification number (PIn) support for BitLocker, before proceeding with configuring BitLocker with PIN or password.
Step 1: Download the compressed file by ‘https://www.itechtics.com/?dl_id=149’ opening page on your browser to get Enable PIN for BitLocker (Registry)
Step 2: Once downloaded, right-click on download file and extract it, double-click on EnablePinForBitLocker file to run it, and confirm it to run
Step 3: Once done, restart your computer to see the changes. After restart, you may proceed with configure BitLocker with only a PIN or password Authentication by executing following command. Replace ‘C’ with letter of drive that you want to encrypt.
manage-bde -protectors -add C: -pw
Step 4: You will need to enter the password that you want to set and confirm it, and press ‘Enter’ key after entering password.
Step 5: Now, use the following command to enable BitLocker on drive while saving the Recovery Key in another volume.
manage-bde -on c: -recoverykey d: -recoverypassword
Step 6: Once done, execute the ‘shutdown /r /t 1‘ command to restart your computer. After restart, you will be asked to enter PIN/password, enter your credentials to unlock the drive and boot in. Once you are logged-in, you can see the reminder of volume is being encrypted.
Method 3: How to Enable BitLocker Auto-Unlock with feature Command Line?
If you have enabled BitLocker on non-boot volume/drive, then those will need to be unlocked manually after you have logged into your system, unless auto-check feature is enabled, if not, you can enable it. Auto-Check feature will only unlock Non-OS drives/volumes automatically if OS drive is initially unlocked using BitLocker PIN/password or a Recovery key.
Step 1: Download .reg file by opening ‘https://www.itechtics.com/?dl_id=149’ page in browser, extract it and run it.
Step 2: Open ‘Command Prompt as Administrator’ and use the following command to configure a PIN or a password. Replace ‘D’ with the drive letter of volume that you want to encrypt
manage-bde -protectors -add D: pw
Step 3: Enter your password and re-confirm it and hit ‘Enter’ key each time.
Step 4: Now, enter the following command to enable auto-unlock feature while replacing ‘D’ with same drive letter.
manage-bde -autounock -enable D:
Step 5: Now, enable BitLocker on same drive by executing following command.
manage-bde -on D:
Step 6: The volume will now begin encryption.
How to Disable BitLocker drive using Command Line?
Step 1: Open ‘Command Prompt as Admisntrator’ and execute the following command to unlock the drive you want to. Replace ‘D’ with the drive letter you want to unlock.
manage-bde -unlock D: -pw
Step 2: Enter your PIN/Password for the drive and hit ‘Enter’ key
How to disable BitLocker Auto-Unlock using Command Line?
Step 1: Open Command Prompt as Administrator, type the following command and hit ‘Enter’ key to execute. Replace the ‘D’ with the drive letter you want to disable the feature on.
manage-bde -autounlock -disable D:
Step 2: Automatic unlocking of drive will now be disabled.
How to Disable BitLocker with Command Line?
Step 1: Open ‘Command Prompt as Administrator’
Step 2: Type the following command and hit ‘Enter’ key to execute. Replace ‘D’ with your respective drive letter.
manage-bde -off D:
Step 3: Once executed, its’ done.
Fix Windows PC issues with ‘PC Repair Tool’:
‘PC Repair Tool’ is easy & quick way to find and fix BSOD errors, DLL errors, EXE errors, problems with programs/applications, malware or viruses infections in computer, system files or registry issues, and other system issues with just few clicks.
Conclusion
I am sure this post helped you on How to Enable BitLocker with Command Line, Enable BitLocker using CMD with easy ways. You can read & follow our instructions to do so. That‘s all. For any suggestions or queries, please write on comment box below.