Mit BitLocker können Windows-Nutzer die gesamte Festplatte mit wenigen Klicks verschlüsseln. Das System unterstützt dabei aber mehr Wege zum Entsperren, als über die grafische Oberfläche zugänglich sind. Alle angebotenen Optionen stehen in der Befehlszeile bereit – und dort habt ihr deutlich mehr Kontrolle.
Dazu als Erstes den Begriff cmd ins Suchfeld von Windows eintippen oder Windows-Taste + R drücken und „cmd“ eingeben. Dann mit der rechten Maustaste auf das Ergebnis klicken und die Konsole als Administrator ausführen. Alternativ könnt ihr auch die moderne Windows Terminal App nutzen und dort eine PowerShell-Session als Administrator starten.
Jetzt den Befehl manage-bde eintippen. Mit ihm werden alle Funktionen von BitLocker über die Konsole gesteuert. Der Parameter protectors ist dabei für die Verwaltung der Möglichkeiten zuständig, ein verschlüsseltes Laufwerk zu entsperren.
Übrigens: Alle Optionen für manage-bde.exe hat Microsoft in der aktuellen Dokumentation bereitgestellt – sehr hilfreich zum Nachschlagen:
https://learn.microsoft.com/de-de/windows-server/administration/windows-commands/manage-bde
Erweiterte Schutz-Optionen konfigurieren
Über die Kommandozeile könnt ihr verschiedene Authentifizierungsmethoden kombinieren, die in der GUI nicht verfügbar sind. Mit manage-bde -protectors -add C: -tpm aktiviert ihr den TPM-Chip als Schutz. Besonders praktisch: manage-bde -protectors -add C: -tpmandpin kombiniert TPM mit einer PIN für doppelte Sicherheit.
Für USB-Schlüssel verwendet ihr manage-bde -protectors -add C: -startupkey E: (wobei E: euer USB-Laufwerk ist). Die Kombination aus TPM und USB-Schlüssel erreicht ihr mit manage-bde -protectors -add C: -tpmandstartupkey E:.
Moderne Sicherheitsfeatures nutzen
Seit Windows 11 22H2 unterstützt BitLocker auch biometrische Authentifizierung über Windows Hello. Diese lässt sich allerdings nur über PowerShell-Cmdlets konfigurieren: Enable-BitLockerAutoUnlock -MountPoint „C:“ -WindowsHello.
Besonders wichtig für Business-Umgebungen: Der Parameter -RecoveryPassword erstellt automatisch einen Wiederherstellungsschlüssel. Mit manage-bde -protectors -add C: -RecoveryPassword generiert das System einen 48-stelligen Wiederherstellungsschlüssel.
Status und Verwaltung
Mit manage-bde -status erhaltet ihr eine Übersicht aller verschlüsselten Laufwerke und deren Schutzstatus. manage-bde -protectors -get C: zeigt alle konfigurierten Authentifizierungsmethoden für das C:-Laufwerk.
Zum Entfernen von Schutz-Optionen nutzt ihr manage-bde -protectors -delete C: -type TPM (für TPM) oder entsprechend andere Typen wie PIN, StartupKey oder RecoveryPassword.
Troubleshooting und häufige Probleme
Falls BitLocker nicht startet, prüft mit tpm.msc den TPM-Status. Der Chip muss aktiviert und bereit sein. Bei Problemen hilft oft manage-bde -tpm -TakeOwnership.
Wichtiger Hinweis: Seit Windows 11 ist Secure Boot Voraussetzung für BitLocker. Überprüft dies im UEFI/BIOS eures Systems. Moderne CPUs ab Intel 8. Generation und AMD Ryzen unterstützen Hardware-Verschlüsselung, die BitLocker automatisch nutzt.
Automatisierung und Scripting
Für IT-Administratoren bietet manage-bde Scripting-Möglichkeiten. Ein typisches Deployment-Script aktiviert BitLocker mit TPM+PIN:
manage-bde -on C: -UsedSpaceOnly
manage-bde -protectors -add C: -tpmandpin
manage-bde -protectors -add C: -RecoveryPassword
Der Parameter -UsedSpaceOnly verschlüsselt nur belegten Speicher und beschleunigt den Prozess erheblich.
Cloud-Integration und moderne Verwaltung
In Unternehmensumgebungen könnt ihr Wiederherstellungsschlüssel automatisch in Azure AD sichern. Das funktioniert über Gruppenrichtlinien oder mit dem Befehl BackupToAAD-BitLockerKeyProtector -MountPoint „C:“ -KeyProtectorId $KeyID.
Für Microsoft 365 Business-Kunden werden Wiederherstellungsschlüssel automatisch im Microsoft 365 Admin Center gespeichert, wenn die Geräte ordnungsgemäß mit Azure AD verknüpft sind.
Die Kommandozeile bietet also deutlich mehr Flexibilität als die grafische Oberfläche – besonders für Power-User und Administratoren, die BitLocker professionell einsetzen wollen.
Zuletzt aktualisiert am 31.03.2026
