Configuración de arranque Configuración de datos y BitLocker
En este artículo se describen las opciones de configuración de datos de configuración de arranque (BCD) que usa BitLocker.
Durante el proceso de arranque, BitLocker comprueba que la configuración de BCD sensible a la seguridad no ha cambiado desde la última vez que BitLocker se ha habilitado, reanudado o recuperado por última vez.
Si se cree que existe un riesgo al excluir una configuración de BCD determinada del perfil de validación, puede incluir esa configuración de BCD en la cobertura de validación de BCD para adaptarse a las preferencias de validación.
Si la configuración predeterminada de BCD desencadena de forma persistente una recuperación para cambios benignos, puede excluir esa configuración de BCD de la cobertura de validación.
Importante
Los dispositivos con firmware UEFI pueden usar el arranque seguro para proporcionar seguridad de arranque mejorada. Cuando BitLocker puede usar el arranque seguro para la validación de la integridad de la plataforma y BCD, tal como se define en la configuración de la directiva Permitir arranque seguro para validación de integridad , se omite la directiva Usar perfil de validación de datos de configuración de arranque mejorado .
Una de las ventajas de usar el arranque seguro es que puede corregir la configuración de BCD durante el arranque sin desencadenar eventos de recuperación. El arranque seguro aplica la misma configuración de BCD que BitLocker. La aplicación de BCD de arranque seguro no se puede configurar desde el sistema operativo.
Personalización de la configuración de validación de BCD
Para modificar la configuración de BCD validada por BitLocker, el administrador agregará o excluirá la configuración de BCD del perfil de validación de la plataforma habilitando y configurando la configuración de la directiva Usar perfil de validación de datos de configuración de arranque mejorado .
Para la validación de BitLocker, la configuración de BCD está asociada a un conjunto específico de aplicaciones de arranque de Microsoft. Esta configuración de BCD también se puede aplicar a las otras aplicaciones de arranque de Microsoft que no forman parte del conjunto al que ya se aplica la configuración de BCD. Esta configuración se puede realizar adjuntando cualquiera de los siguientes prefijos a la configuración de BCD que se escribe en el cuadro de diálogo de configuración de directiva de grupo:
- Winload
- winresume
- memtest
- todo lo anterior
Toda la configuración de BCD se especifica combinando el valor de prefijo con un valor hexadecimal (hexadecimal) o un nombre descriptivo.
El valor hexadecimal de configuración bcd se notifica cuando BitLocker entra en modo de recuperación y se almacena en el registro de eventos (id. de evento 523). El valor hexadecimal identifica de forma única la configuración bcd que produjo el evento de recuperación.
Puede obtener rápidamente el nombre descriptivo de la configuración de BCD en un equipo mediante el comando bcdedit.exe /enum all.
No todas las configuraciones de BCD tienen nombres descriptivos. Para esas opciones sin un nombre descriptivo, el valor hexadecimal es la única manera de configurar una directiva de exclusión.
Al especificar valores BCD en la configuración de la directiva Usar perfil de validación de datos de configuración de arranque mejorados , use la sintaxis siguiente:
- Prefijo de la configuración con el prefijo de la aplicación de arranque
- Anexar dos puntos
: - Anexar el valor hexadecimal o el nombre descriptivo
- Si especifica más de una configuración bcd, cada valor de BCD tendrá que escribirse en una nueva línea.
Por ejemplo, "winload:hypervisordebugport" o "winload:0x250000f4" produce el mismo valor.
Una configuración que se aplica a todas las aplicaciones de arranque solo se puede aplicar a una aplicación individual. Sin embargo, lo contrario no es cierto. Por ejemplo, se puede especificar "all:locale" o "winresume:locale", pero como el valor de BCD "win-pe" no se aplica a todas las aplicaciones de arranque, "winload:winpe" es válido, pero "all:winpe" no es válido. La configuración que controla la depuración de arranque ("bootdebug" o 0x16000010) siempre se validará y no tendrá ningún efecto si se incluye en los campos proporcionados.
Nota
Tenga cuidado al configurar entradas BCD en la configuración de directiva. El directiva de grupo Editor local no valida la exactitud de la entrada BCD. BitLocker no se puede habilitar si la configuración de directiva especificada no es válida.
Perfil de validación BCD predeterminado
La tabla siguiente contiene el perfil de validación BCD predeterminado usado por BitLocker:
| Valor hexadecimal | Prefijo | Nombre descriptivo |
|---|---|---|
| 0x11000001 | todo | dispositivo |
| 0x12000002 | todo | path |
| 0x12000030 | todo | loadoptions |
| 0x16000010 | todo | bootdebug |
| 0x16000040 | todo | advancedoptions |
| 0x16000041 | todo | optionsedit |
| 0x16000048 | todo | nointegritychecks |
| 0x16000049 | todo | testsigning |
| 0x16000060 | todo | isolatedcontext |
| 0x1600007b | todo | forcefipscrypto |
| 0x22000002 | Winload | Raízdelsistema |
| 0x22000011 | Winload | Núcleo |
| 0x22000012 | Winload | Hal |
| 0x22000053 | Winload | evstore |
| 0x25000020 | Winload | Nx |
| 0x25000052 | Winload | restrictapiccluster |
| 0x26000022 | Winload | Winpe |
| 0x26000025 | Winload | lastknowngood |
| 0x26000081 | Winload | safebootalternateshell |
| 0x260000a0 | Winload | depurar |
| 0x260000f2 | Winload | hipervisordebug |
| 0x26000116 | Winload | hipervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
Lista completa de nombres descriptivos para la configuración de BCD omitida
La lista siguiente es una lista completa de la configuración de BCD con nombres descriptivos, que se omiten de forma predeterminada. Esta configuración no forma parte del perfil de validación de BitLocker predeterminado, pero se puede agregar si ve la necesidad de validar cualquiera de estas opciones antes de permitir que se desbloquee una unidad del sistema operativo protegida por BitLocker.
Nota
Existen configuraciones BCD adicionales que tienen valores hexadecimales pero no tienen nombres descriptivos. Esta configuración no se incluye en esta lista.
| Valor hexadecimal | Prefijo | Nombre descriptivo |
|---|---|---|
| 0x12000004 | todo | description |
| 0x12000005 | todo | Configuración regional |
| 0x12000016 | todo | targetname |
| 0x12000019 | todo | busparams |
| 0x1200001d | todo | key |
| 0x1200004a | todo | fontpath |
| 0x14000006 | todo | Heredar |
| 0x14000008 | todo | recoverysequence |
| 0x15000007 | todo | truncatememory |
| 0x1500000c | todo | firstmegabytepolicy |
| 0x1500000d | todo | reubicación física |
| 0x1500000e | todo | avoidlowmemory |
| 0x15000011 | todo | debugtype |
| 0x15000012 | todo | debugaddress |
| 0x15000013 | todo | debugport |
| 0x15000014 | todo | Baudrate |
| 0x15000015 | todo | Canal |
| 0x15000018 | todo | debugstart |
| 0x1500001a | todo | hostip |
| 0x1500001b | todo | puerto |
| 0x15000022 | todo | emsport |
| 0x15000023 | todo | emsbaudrate |
| 0x15000042 | todo | keyringaddress |
| 0x15000047 | todo | configaccesspolicy |
| 0x1500004b | todo | integrityservices |
| 0x1500004c | todo | volumebandid |
| 0x15000051 | todo | initialconsoleinput |
| 0x15000052 | todo | graphicsresolution |
| 0x15000065 | todo | displaymessage |
| 0x15000066 | todo | displaymessageoverride |
| 0x15000081 | todo | logcontrol |
| 0x16000009 | todo | recoveryenabled |
| 0x1600000b | todo | badmemoryaccess |
| 0x1600000f | todo | traditionalkseg |
| 0x16000017 | todo | noumex |
| 0x1600001c | todo | Dhcp |
| 0x1600001e | todo | Vm |
| 0x16000020 | todo | bootems |
| 0x16000046 | todo | graphicsmodedisabled |
| 0x16000050 | todo | extendedinput |
| 0x16000053 | todo | restartonfailure |
| 0x16000054 | todo | highestmode |
| 0x1600006c | todo | bootuxdisabled |
| 0x16000072 | todo | nokeyboard |
| 0x16000074 | todo | bootshutdowndisabled |
| 0x1700000a | todo | badmemorylist |
| 0x17000077 | todo | allowedinmemorysettings |
| 0x22000040 | todo | fverecoveryurl |
| 0x22000041 | todo | fverecoverymessage |
| 0x31000003 | todo | ramdisksdidevice |
| 0x32000004 | todo | ramdisksdipath |
| 0x35000001 | todo | ramdiskimageoffset |
| 0x35000002 | todo | ramdisktftpclientport |
| 0x35000005 | todo | ramdiskimagelength |
| 0x35000007 | todo | ramdisktftpblocksize |
| 0x35000008 | todo | ramdisktftpwindowsize |
| 0x36000006 | todo | exportascd |
| 0x36000009 | todo | ramdiskmcenabled |
| 0x3600000a | todo | ramdiskmctftpfallback |
| 0x3600000b | todo | ramdisktftpvarwindow |
| 0x21000001 | Winload | osdevice |
| 0x22000013 | Winload | dbgtransport |
| 0x220000f9 | Winload | hipervisorbusparams |
| 0x22000110 | Winload | hypervisorusekey |
| 0x23000003 | Winload | resumeobject |
| 0x25000021 | Winload | Pae |
| 0x25000031 | Winload | removememory |
| 0x25000032 | Winload | increaseuserva |
| 0x25000033 | Winload | perfmem |
| 0x25000050 | Winload | clustermodeaddressing |
| 0x25000055 | Winload | x2apicpolicy |
| 0x25000061 | Winload | numproc |
| 0x25000063 | Winload | configflags |
| 0x25000066 | Winload | groupsize |
| 0x25000071 | Winload | Msi |
| 0x25000072 | Winload | pciexpress |
| 0x25000080 | Winload | Safeboot |
| 0x250000a6 | Winload | tscsyncpolicy |
| 0x250000c1 | Winload | driverloadfailurepolicy |
| 0x250000c2 | Winload | bootmenupolicy |
| 0x250000e0 | Winload | bootstatuspolicy |
| 0x250000f0 | Winload | hipervisorlaunchtype |
| 0x250000f3 | Winload | hypervisordebugtype |
| 0x250000f4 | Winload | hypervisordebugport |
| 0x250000f5 | Winload | hipervisorbaudrato |
| 0x250000f6 | Winload | hipervisorchannel |
| 0x250000f7 | Winload | bootux |
| 0x250000fa | Winload | hypervisornumproc |
| 0x250000fb | Winload | hypervisorrootprocpernode |
| 0x250000fd | Winload | hypervisorhostip |
| 0x250000fe | Winload | hipervisorhostport |
| 0x25000100 | Winload | tpmbootentropy |
| 0x25000113 | Winload | hypervisorrootproc |
| 0x25000115 | Winload | hipervisoriommupolicy |
| 0x25000120 | Winload | xsavepolicy |
| 0x25000121 | Winload | xsaveaddfeature0 |
| 0x25000122 | Winload | xsaveaddfeature1 |
| 0x25000123 | Winload | xsaveaddfeature2 |
| 0x25000124 | Winload | xsaveaddfeature3 |
| 0x25000125 | Winload | xsaveaddfeature4 |
| 0x25000126 | Winload | xsaveaddfeature5 |
| 0x25000127 | Winload | xsaveaddfeature6 |
| 0x25000128 | Winload | xsaveaddfeature7 |
| 0x25000129 | Winload | xsaveremovefeature |
| 0x2500012a | Winload | máscara de xsaveprocessors |
| 0x2500012b | Winload | xsavedisable |
| 0x25000130 | Winload | claimedtpmcounter |
| 0x26000004 | Winload | stampdisks |
| 0x26000010 | Winload | detecthal |
| 0x26000024 | Winload | nocrashautoreboot |
| 0x26000030 | Winload | nolowmem |
| 0x26000040 | Winload | Vga |
| 0x26000041 | Winload | quietboot |
| 0x26000042 | Winload | novesa |
| 0x26000043 | Winload | novga |
| 0x26000051 | Winload | usephysicaldestination |
| 0x26000054 | Winload | uselegacyapicmode |
| 0x26000060 | Winload | onecpu |
| 0x26000062 | Winload | maxproc |
| 0x26000064 | Winload | maxgroup |
| 0x26000065 | Winload | groupaware |
| 0x26000070 | Winload | usefirmwarepcisettings |
| 0x26000090 | Winload | bootlog |
| 0x26000091 | Winload | Sos |
| 0x260000a1 | Winload | punto de interrupción de hal |
| 0x260000a2 | Winload | useplatformclock |
| 0x260000a3 | Winload | forcelegacyplatform |
| 0x260000a4 | Winload | useplatformtick |
| 0x260000a5 | Winload | disabledynamictick |
| 0x260000b0 | Winload | Ems |
| 0x260000c3 | Winload | onetimeadvancedoptions |
| 0x260000c4 | Winload | onetimeoptionsedit |
| 0x260000e1 | Winload | disableelamdrivers |
| 0x260000f8 | Winload | hipervisordisableslat |
| 0x260000fc | Winload | hypervisoruselargevtlb |
| 0x26000114 | Winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | memtest | passcount |
| 0x25000002 | memtest | testmix |
| 0x25000005 | memtest | stridefailcount |
| 0x25000006 | memtest | invcfailcount |
| 0x25000007 | memtest | matsfailcount |
| 0x25000008 | memtest | randfailcount |
| 0x25000009 | memtest | chckrfailcount |
| 0x26000003 | memtest | cacheenable |
| 0x26000004 | memtest | failuresenabled |