Параметры данных конфигурации загрузки и BitLocker
В этой статье описаны параметры данных конфигурации загрузки (BCD), используемые BitLocker.
Во время загрузки BitLocker проверяет, не изменились ли параметры bcd, чувствительные к безопасности, с момента последнего включения, возобновления или восстановления BitLocker.
Если считается, что существует риск исключения определенного параметра BCD из профиля проверки, вы можете включить этот параметр BCD в охват проверки BCD в соответствии с предпочтениями для проверки.
Если параметр BCD по умолчанию постоянно активирует восстановление для неопасных изменений, этот параметр BCD можно исключить из покрытия проверки.
Важно.
Устройства с встроенным ПО UEFI могут использовать безопасную загрузку для обеспечения повышенной безопасности загрузки. Если BitLocker может использовать безопасную загрузку для проверки целостности платформы и BCD, как определено в параметре политики Разрешить безопасную загрузку для проверки целостности , политика Использовать профиль проверки данных расширенной конфигурации загрузки игнорируется.
Одним из преимуществ использования безопасной загрузки является то, что она может исправлять параметры BCD во время загрузки без запуска событий восстановления. Безопасная загрузка обеспечивает те же параметры BCD, что и BitLocker. Принудительное применение BCD безопасной загрузки не настраивается в операционной системе.
Настройка параметров проверки BCD
Чтобы изменить параметры BCD, проверенные BitLocker, администратор добавит или исключит параметры BCD из профиля проверки платформы, включив и настроив параметр политики Использовать профиль проверки данных расширенной конфигурации загрузки .
В целях проверки BitLocker параметры BCD связаны с определенным набором загрузочных приложений Майкрософт. Эти параметры BCD также можно применить к другим загрузочным приложениям Майкрософт, которые не входят в набор, к которому уже применимы параметры BCD. Этот параметр можно сделать, присоединив любой из следующих префиксов к параметрам BCD, которые вводятся в диалоговом окне параметров групповой политики:
- winload
- winresume
- memtest
- все перечисленные выше
Все параметры BCD задаются путем объединения значения префикса с шестнадцатеричным значением или понятным именем.
Шестнадцатеричное значение bcd отображается при переходе BitLocker в режим восстановления и сохраняется в журнале событий (идентификатор события 523). Шестнадцатеричное значение однозначно определяет параметр BCD, вызвавшее событие восстановления.
Вы можете быстро получить понятное имя для параметров BCD на компьютере с помощью команды bcdedit.exe /enum all.
Не все параметры BCD имеют понятные имена. Для этих параметров без понятного имени шестнадцатеричное значение является единственным способом настройки политики исключения.
При указании значений BCD в параметре политики Использовать профиль проверки данных расширенной конфигурации загрузки используйте следующий синтаксис:
- Префикс параметра префиксом загрузочного приложения
- Добавление двоеточия
: - Добавьте шестнадцатеричное значение или понятное имя.
- При вводе нескольких параметров BCD каждый параметр BCD необходимо будет ввести в новой строке.
Например, значение "winload:hypervisordebugport" или "winload:0x250000f4" возвращает одно и то же значение.
Параметр, применяемый ко всем загрузочным приложениям, может применяться только к отдельному приложению. Однако обратное не верно. Например, можно указать "all:locale" или "winresume:locale", но так как параметр BCD "win-pe" применяется не ко всем загрузочным приложениям, "winload:winpe" является допустимым, а "all:winpe" недопустимым. Параметр, управляющий отладкой загрузки ("bootdebug" или 0x16000010), всегда будет проверяться и не будет действовать, если он включен в предоставленные поля.
Примечание.
Позаботьтесь о настройке записей BCD в параметре политики. Локальный групповая политика Редактор не проверяет правильность записи BCD. Не удается включить BitLocker, если указанный параметр политики недопустим.
Профиль проверки BCD по умолчанию
В следующей таблице содержится профиль проверки BCD по умолчанию, используемый BitLocker:
| Шестнадцатеричное значение | Префикс | Понятное имя |
|---|---|---|
| 0x11000001 | все | устройство |
| 0x12000002 | все | path |
| 0x12000030 | все | Loadoptions |
| 0x16000010 | все | bootdebug |
| 0x16000040 | все | advancedoptions |
| 0x16000041 | все | optionsedit |
| 0x16000048 | все | nointegritychecks |
| 0x16000049 | все | testsigning |
| 0x16000060 | все | isolatedcontext |
| 0x1600007b | все | forcefipscrypto |
| 0x22000002 | winload | Systemroot |
| 0x22000011 | winload | Ядра |
| 0x22000012 | winload | Хэл |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | Winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | отладка |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
Полный список понятных имен для игнорируемых параметров BCD
Ниже приведен полный список параметров BCD с понятными именами, которые по умолчанию игнорируются. Эти параметры не входят в профиль проверки BitLocker по умолчанию, но их можно добавить, если перед разблокировкой диска операционной системы, защищенного BitLocker, необходимо проверить любой из этих параметров.
Примечание.
Существуют дополнительные параметры BCD, имеющие шестнадцатеричные значения, но не имеющие понятных имен. Эти параметры не включены в этот список.
| Шестнадцатеричное значение | Префикс | Понятное имя |
|---|---|---|
| 0x12000004 | все | description |
| 0x12000005 | все | Языкового стандарта |
| 0x12000016 | все | Targetname |
| 0x12000019 | все | busparams |
| 0x1200001d | все | key |
| 0x1200004a | все | fontpath |
| 0x14000006 | все | Наследовать |
| 0x14000008 | все | recoverysequence |
| 0x15000007 | все | truncatememory |
| 0x1500000c | все | firstmegabytepolicy |
| 0x1500000d | все | перемещение физического |
| 0x1500000e | все | avoidlowmemory |
| 0x15000011 | все | debugtype |
| 0x15000012 | все | debugaddress |
| 0x15000013 | все | debugport |
| 0x15000014 | все | baudrate |
| 0x15000015 | все | Канал |
| 0x15000018 | все | debugstart |
| 0x1500001a | все | hostip |
| 0x1500001b | все | порт |
| 0x15000022 | все | emsport |
| 0x15000023 | все | emsbaudrate |
| 0x15000042 | все | keyringaddress |
| 0x15000047 | все | configaccesspolicy |
| 0x1500004b | все | службы целостности |
| 0x1500004c | все | volumebandid |
| 0x15000051 | все | initialconsoleinput |
| 0x15000052 | все | graphicsresolution |
| 0x15000065 | все | displaymessage |
| 0x15000066 | все | displaymessageoverride |
| 0x15000081 | все | logcontrol |
| 0x16000009 | все | recoveryenabled |
| 0x1600000b | все | badmemoryaccess |
| 0x1600000f | все | traditionalkseg |
| 0x16000017 | все | noumex |
| 0x1600001c | все | Dhcp |
| 0x1600001e | все | Vm |
| 0x16000020 | все | bootems |
| 0x16000046 | все | graphicsmodedisabled |
| 0x16000050 | все | extendedinput |
| 0x16000053 | все | restartonfailure |
| 0x16000054 | все | самый высокий уровень |
| 0x1600006c | все | bootuxdisabled |
| 0x16000072 | все | nokeyboard |
| 0x16000074 | все | bootshutdowndisabled |
| 0x1700000a | все | badmemorylist |
| 0x17000077 | все | allowedinmemorysettings |
| 0x22000040 | все | fverecoveryurl |
| 0x22000041 | все | fverecoverymessage |
| 0x31000003 | все | ramdisksdidevice |
| 0x32000004 | все | ramdisksdipath |
| 0x35000001 | все | ramdiskimageoffset |
| 0x35000002 | все | ramdisktftpclientport |
| 0x35000005 | все | ramdiskimagelength |
| 0x35000007 | все | ramdisktftpblocksize |
| 0x35000008 | все | ramdisktftpwindowsize |
| 0x36000006 | все | exportascd |
| 0x36000009 | все | ramdiskmcenabled |
| 0x3600000a | все | ramdiskmctftpfallback |
| 0x3600000b | все | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupize |
| 0x25000071 | winload | Msi |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | hypervisorbaudrate |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | memtest | passcount |
| 0x25000002 | memtest | testmix |
| 0x25000005 | memtest | stridefailcount |
| 0x25000006 | memtest | invcfailcount |
| 0x25000007 | memtest | matsfailcount |
| 0x25000008 | memtest | randfailcount |
| 0x25000009 | memtest | chckrfailcount |
| 0x26000003 | memtest | cacheenable |
| 0x26000004 | memtest | failuresenabled |