Einstellungen für Startkonfigurationsdaten und BitLocker
In diesem Artikel werden die Einstellungen für Startkonfigurationsdaten (Boot Configuration Data, BCD) beschrieben, die von BitLocker verwendet werden.
Während des Startvorgangs überprüft BitLocker, ob sich die sicherheitsrelevanten BCD-Einstellungen seit der letzten Aktivierung, Fortsetzung oder Wiederherstellung von BitLocker nicht geändert haben.
Wenn angenommen wird, dass ein Risiko besteht, eine bestimmte BCD-Einstellung aus dem Validierungsprofil auszuschließen, können Sie diese BCD-Einstellung in die BCD-Validierungsabdeckung einschließen, um den Einstellungen für die Überprüfung zu entsprechen.
Wenn die BCD-Standardeinstellung dauerhaft eine Wiederherstellung für gutartige Änderungen auslöst, können Sie diese BCD-Einstellung aus der Validierungsabdeckung ausschließen.
Wichtig
Geräte mit UEFI-Firmware können den sicheren Start verwenden, um eine verbesserte Startsicherheit zu gewährleisten. Wenn BitLocker den sicheren Start für die Plattform- und BCD-Integritätsüberprüfung verwenden kann, wie in der Richtlinieneinstellung Sicherer Start für die Integritätsüberprüfung zulassen definiert, wird die Richtlinie Erweiterte Startkonfiguration Verwenden des Profils für die Datenüberprüfung ignoriert.
Einer der Vorteile der Verwendung des sicheren Starts besteht darin, dass BCD-Einstellungen während des Starts korrigiert werden können, ohne Wiederherstellungsereignisse auszulösen. Der sichere Start erzwingt die gleichen BCD-Einstellungen wie BitLocker. Die BCD-Erzwingung für den sicheren Start kann nicht innerhalb des Betriebssystems konfiguriert werden.
Anpassen der BCD-Überprüfungseinstellungen
Um die BCD-Einstellungen zu ändern, die von BitLocker überprüft werden, fügt der Administrator BCD-Einstellungen aus dem Plattformvalidierungsprofil hinzu oder schließt diese aus, indem er die Richtlinieneinstellung Erweiterte Startkonfiguration für Datenüberprüfungsprofil verwenden aktiviert und konfiguriert.
Für die BitLocker-Überprüfung werden BCD-Einstellungen einem bestimmten Satz von Microsoft-Startanwendungen zugeordnet. Diese BCD-Einstellungen können auch auf die anderen Microsoft-Startanwendungen angewendet werden, die nicht Teil der Gruppe sind, für die die BCD-Einstellungen bereits gelten. Diese Einstellung kann durch Anfügen eines der folgenden Präfixe an die BCD-Einstellungen erfolgen, die im Dialogfeld gruppenrichtlinieneinstellungen eingegeben werden:
- winload
- winresume
- Memtest
- alle oben genannten Punkte
Alle BCD-Einstellungen werden durch Kombinieren des Präfixwerts mit einem Hexadezimalwert (Hexadezimalwert) oder einem Anzeigenamen angegeben.
Der Hexadenzwert der BCD-Einstellung wird gemeldet, wenn BitLocker in den Wiederherstellungsmodus wechselt und im Ereignisprotokoll (Ereignis-ID 523) gespeichert wird. Der hexadierte Wert identifiziert eindeutig die BCD-Einstellung, die das Wiederherstellungsereignis verursacht hat.
Sie können schnell den Anzeigenamen für die BCD-Einstellungen auf einem Computer abrufen, indem Sie den Befehl verwenden bcdedit.exe /enum all.
Nicht alle BCD-Einstellungen verfügen über Anzeigenamen. Für einstellungen ohne anzeigenamen ist der hexadezimte Wert die einzige Möglichkeit, eine Ausschlussrichtlinie zu konfigurieren.
Wenn Sie BCD-Werte in der Richtlinieneinstellung Erweiterte Startkonfiguration datenüberprüfungsprofil verwenden angeben, verwenden Sie die folgende Syntax:
- Präfix der Einstellung mit dem Präfix der Startanwendung
- Anfügen eines Doppelpunkts
: - Anfügen des Hexad-Werts oder des Anzeigenamens
- Wenn Sie mehr als eine BCD-Einstellung eingeben, muss jede BCD-Einstellung in einer neuen Zeile eingegeben werden.
Beispielsweise ergibt entweder "winload:hypervisordebugport" oder "winload:0x250000f4" denselben Wert.
Eine Einstellung, die für alle Startanwendungen gilt, kann nur auf eine einzelne Anwendung angewendet werden. Das Gegenteil ist jedoch nicht der Fall. Beispielsweise kann entweder "all:locale" oder "winresume:locale" angegeben werden, aber da die BCD-Einstellung "win-pe" nicht für alle Startanwendungen gilt, ist "winload:winpe" gültig, aber "all:winpe" ist ungültig. Die Einstellung zum Steuern des Startdebuggens ("bootdebug" oder 0x16000010) wird immer überprüft und hat keine Auswirkung, wenn sie in den bereitgestellten Feldern enthalten ist.
Hinweis
Achten Sie beim Konfigurieren von BCD-Einträgen in der Richtlinieneinstellung darauf. Die lokale Gruppenrichtlinie Editor überprüft nicht die Richtigkeit des BCD-Eintrags. BitLocker kann nicht aktiviert werden, wenn die angegebene Richtlinieneinstellung ungültig ist.
Bcd-Standardüberprüfungsprofil
Die folgende Tabelle enthält das von BitLocker verwendete BCD-Standardvalidierungsprofil:
| Hexwert | Präfix | Anzeigename |
|---|---|---|
| 0x11000001 | Alle | Gerät |
| 0x12000002 | Alle | path |
| 0x12000030 | Alle | Loadoptions |
| 0x16000010 | Alle | bootdebug |
| 0x16000040 | Alle | advancedoptions |
| 0x16000041 | Alle | optionsedit |
| 0x16000048 | Alle | nointegritychecks |
| 0x16000049 | Alle | Testsigning |
| 0x16000060 | Alle | isolatedcontext |
| 0x1600007b | Alle | forcefipscrypto |
| 0x22000002 | winload | systemroot |
| 0x22000011 | winload | Kernel |
| 0x22000012 | winload | Hal |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | Winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | debuggen |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
Vollständige Liste der Anzeigenamen für ignorierte BCD-Einstellungen
Die folgende Liste enthält eine vollständige Liste der BCD-Einstellungen mit Anzeigenamen, die standardmäßig ignoriert werden. Diese Einstellungen sind nicht Teil des BitLocker-Standardüberprüfungsprofils, können aber hinzugefügt werden, wenn Sie sehen, dass eine dieser Einstellungen überprüft werden muss, bevor ein durch BitLocker geschütztes Betriebssystemlaufwerk entsperrt werden kann.
Hinweis
Es sind zusätzliche BCD-Einstellungen vorhanden, die Hexadenzwerte aufweisen, aber keine Anzeigenamen haben. Diese Einstellungen sind in dieser Liste nicht enthalten.
| Hexwert | Präfix | Anzeigename |
|---|---|---|
| 0x12000004 | Alle | description |
| 0x12000005 | Alle | Locale |
| 0x12000016 | Alle | Targetname |
| 0x12000019 | Alle | busparams |
| 0x1200001d | Alle | key |
| 0x1200004a | Alle | fontpath |
| 0x14000006 | Alle | Erben |
| 0x14000008 | Alle | recoverysequence |
| 0x15000007 | Alle | truncatememory |
| 0x1500000c | Alle | firstmegabytepolicy |
| 0x1500000d | Alle | relocatephysical |
| 0x1500000e | Alle | avoidlowmemory |
| 0x15000011 | Alle | debugtype |
| 0x15000012 | Alle | debugaddress |
| 0x15000013 | Alle | debugport |
| 0x15000014 | Alle | Baudrate |
| 0x15000015 | Alle | Kanal |
| 0x15000018 | Alle | debugstart |
| 0x1500001a | Alle | hostip |
| 0x1500001b | Alle | Anschluss |
| 0x15000022 | Alle | emsport |
| 0x15000023 | Alle | Emsbaudrate |
| 0x15000042 | Alle | keyringaddress |
| 0x15000047 | Alle | configaccesspolicy |
| 0x1500004b | Alle | integrityservices |
| 0x1500004c | Alle | volumebandid |
| 0x15000051 | Alle | initialconsoleinput |
| 0x15000052 | Alle | graphicsresolution |
| 0x15000065 | Alle | displaymessage |
| 0x15000066 | Alle | displaymessageoverride |
| 0x15000081 | Alle | logcontrol |
| 0x16000009 | Alle | recoveryenabled |
| 0x1600000b | Alle | badmemoryaccess |
| 0x1600000f | Alle | traditionalkseg |
| 0x16000017 | Alle | noumex |
| 0x1600001c | Alle | Dhcp |
| 0x1600001e | Alle | Vm |
| 0x16000020 | Alle | bootms |
| 0x16000046 | Alle | graphicsmodedisabled |
| 0x16000050 | Alle | extendedinput |
| 0x16000053 | Alle | restartonfailure |
| 0x16000054 | Alle | highestmode |
| 0x1600006c | Alle | bootuxdisabled |
| 0x16000072 | Alle | nokeyboard |
| 0x16000074 | Alle | bootshutdowndisabled |
| 0x1700000a | Alle | badmemorylist |
| 0x17000077 | Alle | allowedinmemorysettings |
| 0x22000040 | Alle | fverecoveryurl |
| 0x22000041 | Alle | fverecoverymessage |
| 0x31000003 | Alle | ramdisksdidevice |
| 0x32000004 | Alle | ramdisksdipath |
| 0x35000001 | Alle | ramdiskimageoffset |
| 0x35000002 | Alle | ramdisktftpclientport |
| 0x35000005 | Alle | ramdiskimagelength |
| 0x35000007 | Alle | ramdisktftpblocksize |
| 0x35000008 | Alle | ramdisktftpwindowsize |
| 0x36000006 | Alle | exportascd |
| 0x36000009 | Alle | ramdiskmcenabled |
| 0x3600000a | Alle | ramdiskmctftpfallback |
| 0x3600000b | Alle | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | Msi |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | Hypervisorbaudrate |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | Bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | Memtest | passcount |
| 0x25000002 | Memtest | testmix |
| 0x25000005 | Memtest | stridefailcount |
| 0x25000006 | Memtest | invcfailcount |
| 0x25000007 | Memtest | matsfailcount |
| 0x25000008 | Memtest | randfailcount |
| 0x25000009 | Memtest | chckrfailcount |
| 0x26000003 | Memtest | zwischenspeicherbar |
| 0x26000004 | Memtest | failuresEnabled |