Поделиться через


Параметры данных конфигурации загрузки и BitLocker

В этой статье описаны параметры данных конфигурации загрузки (BCD), используемые BitLocker.

Во время загрузки BitLocker проверяет, не изменились ли параметры bcd, чувствительные к безопасности, с момента последнего включения, возобновления или восстановления BitLocker.

Если считается, что существует риск исключения определенного параметра BCD из профиля проверки, вы можете включить этот параметр BCD в охват проверки BCD в соответствии с предпочтениями для проверки.
Если параметр BCD по умолчанию постоянно активирует восстановление для неопасных изменений, этот параметр BCD можно исключить из покрытия проверки.

Важно.

Устройства с встроенным ПО UEFI могут использовать безопасную загрузку для обеспечения повышенной безопасности загрузки. Если BitLocker может использовать безопасную загрузку для проверки целостности платформы и BCD, как определено в параметре политики Разрешить безопасную загрузку для проверки целостности , политика Использовать профиль проверки данных расширенной конфигурации загрузки игнорируется.

Одним из преимуществ использования безопасной загрузки является то, что она может исправлять параметры BCD во время загрузки без запуска событий восстановления. Безопасная загрузка обеспечивает те же параметры BCD, что и BitLocker. Принудительное применение BCD безопасной загрузки не настраивается в операционной системе.

Настройка параметров проверки BCD

Чтобы изменить параметры BCD, проверенные BitLocker, администратор добавит или исключит параметры BCD из профиля проверки платформы, включив и настроив параметр политики Использовать профиль проверки данных расширенной конфигурации загрузки .

В целях проверки BitLocker параметры BCD связаны с определенным набором загрузочных приложений Майкрософт. Эти параметры BCD также можно применить к другим загрузочным приложениям Майкрософт, которые не входят в набор, к которому уже применимы параметры BCD. Этот параметр можно сделать, присоединив любой из следующих префиксов к параметрам BCD, которые вводятся в диалоговом окне параметров групповой политики:

  • winload
  • winresume
  • memtest
  • все перечисленные выше

Все параметры BCD задаются путем объединения значения префикса с шестнадцатеричным значением или понятным именем.

Шестнадцатеричное значение bcd отображается при переходе BitLocker в режим восстановления и сохраняется в журнале событий (идентификатор события 523). Шестнадцатеричное значение однозначно определяет параметр BCD, вызвавшее событие восстановления.

Вы можете быстро получить понятное имя для параметров BCD на компьютере с помощью команды bcdedit.exe /enum all.

Не все параметры BCD имеют понятные имена. Для этих параметров без понятного имени шестнадцатеричное значение является единственным способом настройки политики исключения.

При указании значений BCD в параметре политики Использовать профиль проверки данных расширенной конфигурации загрузки используйте следующий синтаксис:

  • Префикс параметра префиксом загрузочного приложения
  • Добавление двоеточия :
  • Добавьте шестнадцатеричное значение или понятное имя.
  • При вводе нескольких параметров BCD каждый параметр BCD необходимо будет ввести в новой строке.

Например, значение "winload:hypervisordebugport" или "winload:0x250000f4" возвращает одно и то же значение.

Параметр, применяемый ко всем загрузочным приложениям, может применяться только к отдельному приложению. Однако обратное не верно. Например, можно указать "all:locale" или "winresume:locale", но так как параметр BCD "win-pe" применяется не ко всем загрузочным приложениям, "winload:winpe" является допустимым, а "all:winpe" недопустимым. Параметр, управляющий отладкой загрузки ("bootdebug" или 0x16000010), всегда будет проверяться и не будет действовать, если он включен в предоставленные поля.

Примечание.

Позаботьтесь о настройке записей BCD в параметре политики. Локальный групповая политика Редактор не проверяет правильность записи BCD. Не удается включить BitLocker, если указанный параметр политики недопустим.

Профиль проверки BCD по умолчанию

В следующей таблице содержится профиль проверки BCD по умолчанию, используемый BitLocker:

Шестнадцатеричное значение Префикс Понятное имя
0x11000001 все устройство
0x12000002 все path
0x12000030 все Loadoptions
0x16000010 все bootdebug
0x16000040 все advancedoptions
0x16000041 все optionsedit
0x16000048 все nointegritychecks
0x16000049 все testsigning
0x16000060 все isolatedcontext
0x1600007b все forcefipscrypto
0x22000002 winload Systemroot
0x22000011 winload Ядра
0x22000012 winload Хэл
0x22000053 winload evstore
0x25000020 winload Nx
0x25000052 winload restrictapiccluster
0x26000022 winload Winpe
0x26000025 winload lastknowngood
0x26000081 winload safebootalternateshell
0x260000a0 winload отладка
0x260000f2 winload hypervisordebug
0x26000116 winload hypervisorusevapic
0x21000001 winresume filedevice
0x22000002 winresume Filepath
0x26000006 winresume debugoptionenabled

Полный список понятных имен для игнорируемых параметров BCD

Ниже приведен полный список параметров BCD с понятными именами, которые по умолчанию игнорируются. Эти параметры не входят в профиль проверки BitLocker по умолчанию, но их можно добавить, если перед разблокировкой диска операционной системы, защищенного BitLocker, необходимо проверить любой из этих параметров.

Примечание.

Существуют дополнительные параметры BCD, имеющие шестнадцатеричные значения, но не имеющие понятных имен. Эти параметры не включены в этот список.

Шестнадцатеричное значение Префикс Понятное имя
0x12000004 все description
0x12000005 все Языкового стандарта
0x12000016 все Targetname
0x12000019 все busparams
0x1200001d все key
0x1200004a все fontpath
0x14000006 все Наследовать
0x14000008 все recoverysequence
0x15000007 все truncatememory
0x1500000c все firstmegabytepolicy
0x1500000d все перемещение физического
0x1500000e все avoidlowmemory
0x15000011 все debugtype
0x15000012 все debugaddress
0x15000013 все debugport
0x15000014 все baudrate
0x15000015 все Канал
0x15000018 все debugstart
0x1500001a все hostip
0x1500001b все порт
0x15000022 все emsport
0x15000023 все emsbaudrate
0x15000042 все keyringaddress
0x15000047 все configaccesspolicy
0x1500004b все службы целостности
0x1500004c все volumebandid
0x15000051 все initialconsoleinput
0x15000052 все graphicsresolution
0x15000065 все displaymessage
0x15000066 все displaymessageoverride
0x15000081 все logcontrol
0x16000009 все recoveryenabled
0x1600000b все badmemoryaccess
0x1600000f все traditionalkseg
0x16000017 все noumex
0x1600001c все Dhcp
0x1600001e все Vm
0x16000020 все bootems
0x16000046 все graphicsmodedisabled
0x16000050 все extendedinput
0x16000053 все restartonfailure
0x16000054 все самый высокий уровень
0x1600006c все bootuxdisabled
0x16000072 все nokeyboard
0x16000074 все bootshutdowndisabled
0x1700000a все badmemorylist
0x17000077 все allowedinmemorysettings
0x22000040 все fverecoveryurl
0x22000041 все fverecoverymessage
0x31000003 все ramdisksdidevice
0x32000004 все ramdisksdipath
0x35000001 все ramdiskimageoffset
0x35000002 все ramdisktftpclientport
0x35000005 все ramdiskimagelength
0x35000007 все ramdisktftpblocksize
0x35000008 все ramdisktftpwindowsize
0x36000006 все exportascd
0x36000009 все ramdiskmcenabled
0x3600000a все ramdiskmctftpfallback
0x3600000b все ramdisktftpvarwindow
0x21000001 winload osdevice
0x22000013 winload dbgtransport
0x220000f9 winload hypervisorbusparams
0x22000110 winload hypervisorusekey
0x23000003 winload resumeobject
0x25000021 winload Pae
0x25000031 winload removememory
0x25000032 winload increaseuserva
0x25000033 winload perfmem
0x25000050 winload clustermodeaddressing
0x25000055 winload x2apicpolicy
0x25000061 winload numproc
0x25000063 winload configflags
0x25000066 winload groupize
0x25000071 winload Msi
0x25000072 winload pciexpress
0x25000080 winload safeboot
0x250000a6 winload tscsyncpolicy
0x250000c1 winload driverloadfailurepolicy
0x250000c2 winload bootmenupolicy
0x250000e0 winload bootstatuspolicy
0x250000f0 winload hypervisorlaunchtype
0x250000f3 winload hypervisordebugtype
0x250000f4 winload hypervisordebugport
0x250000f5 winload hypervisorbaudrate
0x250000f6 winload hypervisorchannel
0x250000f7 winload bootux
0x250000fa winload hypervisornumproc
0x250000fb winload hypervisorrootprocpernode
0x250000fd winload hypervisorhostip
0x250000fe winload hypervisorhostport
0x25000100 winload tpmbootentropy
0x25000113 winload hypervisorrootproc
0x25000115 winload hypervisoriommupolicy
0x25000120 winload xsavepolicy
0x25000121 winload xsaveaddfeature0
0x25000122 winload xsaveaddfeature1
0x25000123 winload xsaveaddfeature2
0x25000124 winload xsaveaddfeature3
0x25000125 winload xsaveaddfeature4
0x25000126 winload xsaveaddfeature5
0x25000127 winload xsaveaddfeature6
0x25000128 winload xsaveaddfeature7
0x25000129 winload xsaveremovefeature
0x2500012a winload xsaveprocessorsmask
0x2500012b winload xsavedisable
0x25000130 winload claimedtpmcounter
0x26000004 winload stampdisks
0x26000010 winload detecthal
0x26000024 winload nocrashautoreboot
0x26000030 winload nolowmem
0x26000040 winload Vga
0x26000041 winload quietboot
0x26000042 winload novesa
0x26000043 winload novga
0x26000051 winload usephysicaldestination
0x26000054 winload uselegacyapicmode
0x26000060 winload onecpu
0x26000062 winload maxproc
0x26000064 winload maxgroup
0x26000065 winload groupaware
0x26000070 winload usefirmwarepcisettings
0x26000090 winload bootlog
0x26000091 winload Sos
0x260000a1 winload halbreakpoint
0x260000a2 winload useplatformclock
0x260000a3 winload forcelegacyplatform
0x260000a4 winload useplatformtick
0x260000a5 winload disabledynamictick
0x260000b0 winload Ems
0x260000c3 winload onetimeadvancedoptions
0x260000c4 winload onetimeoptionsedit
0x260000e1 winload disableelamdrivers
0x260000f8 winload hypervisordisableslat
0x260000fc winload hypervisoruselargevtlb
0x26000114 winload hypervisordhcp
0x21000005 winresume associatedosdevice
0x25000007 winresume bootux
0x25000008 winresume bootmenupolicy
0x26000003 winresume customsettings
0x26000004 winresume Pae
0x25000001 memtest passcount
0x25000002 memtest testmix
0x25000005 memtest stridefailcount
0x25000006 memtest invcfailcount
0x25000007 memtest matsfailcount
0x25000008 memtest randfailcount
0x25000009 memtest chckrfailcount
0x26000003 memtest cacheenable
0x26000004 memtest failuresenabled