Pour une fois, comme dans les environnements *nix, Microsoft a fait un outil plus puissant en ligne de commande (cmd), qu’en mode GUI. Sous le nom bitlocker  se cache « manage-bde ». Il est vivement conseillé, il est recommandé de passer par « manage-bde » qui offre bien plus d’options et de puissance.

Voici quelques exemple d’utilisation par la pratique de manage-bde :

Pour savoir si le disque est chiffré :
manage-bde.exe -status

Pour chiffrer une machine Windows à distance dans un AD Ds depuis cmd vers un séquestre (lecteur réseau) :
manage-bde -on C: -RecoveryPassword -SkipHardwareTest -ComputerName HOSTNAME > \\sequeste\Cle_BitLocker_recovery_hostname.txt

Explication :
-SkipHardwareTest Permet d’échapper le test matériel. Utile si on sait que le matériel et la puce TPM sont or ready to use.

Pour contrôler l’avancée du chiffrement :

manage-bde.exe -status -ComputerName

Pour récupérer le mot de passe de déchiffrement de la machine
manage-bde.exe -protectors -get C: -Type recoverypassword -ComputerName HOSTNAME

Pour sauvegarder la clé dans l’AD, si cela n’a pas été fait
manage-bde -protectors -adbackup c: -id {DFB478E6-8B3F-4DCA-9576-C1905B49C71E}

Pour connaitre l’id afin de backuper :
manage-bde -protectors -get c: -ComputerName

L’aide de manage-bde

manage-bde[.exe] -parameter [arguments]

Description :
Configure le chiffrement de lecteur BitLocker sur des volumes de disques.

Liste des paramètres :
-status Fournit des informations sur les volumes compatibles avec
BitLocker.
-on Chiffre le volume et active la protection BitLocker.
-off Déchiffre le volume et désactive la protection BitLocker.
-pause Met en pause le chiffrement, le déchiffrement ou l'effacement
d'espace libre.
-resume Reprend le chiffrement, le déchiffrement ou l'effacement
d'espace libre.
-lock Interdit l'accès aux données chiffrées par BitLocker.
-unlock Autorise l'accès aux données chiffrées par BitLocker.
-autounlock Gère le déverrouillage automatique des volumes de données.
-protectors Gère les méthodes de protection pour la clé de chiffrement.
-SetIdentifier ou -si
Configure le champ d'identification pour un volume.
-ForceRecovery ou -fr
Force la récupération d'un système d'exploitation protégé par
BitLocker lors du démarrage.
-changepassword
Modifie le mot de passe pour un volume de données.
-changepin Modifie le code PIN pour un volume.
-changekey Modifie la clé de démarrage pour un volume.
-KeyPackage ou -kp
Génère un package de clés pour un volume.
-upgrade Met … niveau la version de BitLocker.
-WipeFreeSpace ou -w
Efface l'espace libre sur le volume.
-ComputerName ou -cn
S'exécute sur un autre ordinateur. Exemples : S’exécute sur un autre ordinateur. Exemples : « OrdinateurX »,
« 127.0.0.1 »
-' ou /' Affiche un court texte d'aide. Exemple : « -ParameterSet -? »
-Help ou -h Affiche une aide complète. Exemple : « -ParameterSet -h »

Exemples :
manage-bde -status
manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek