Paramètres des données de configuration de démarrage et BitLocker
Cet article décrit les paramètres de données de configuration de démarrage (BCD) utilisés par BitLocker.
Pendant le processus de démarrage, BitLocker vérifie que les paramètres BCD sensibles à la sécurité n’ont pas changé depuis que BitLocker a été activé, repris ou récupéré pour la dernière fois.
S’il est estimé qu’il existe un risque d’exclure un paramètre BCD particulier du profil de validation, vous pouvez inclure ce paramètre BCD dans la couverture de validation BCD en fonction des préférences de validation.
Si le paramètre BCD par défaut déclenche de manière permanente une récupération pour des modifications sans gravité, vous pouvez exclure ce paramètre BCD de la couverture de validation.
Important
Les appareils avec microprogramme UEFI peuvent utiliser le démarrage sécurisé pour fournir une sécurité de démarrage renforcée. Lorsque BitLocker est en mesure d’utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme et bcD, comme défini par le paramètre de stratégie Autoriser le démarrage sécurisé pour la validation de l’intégrité , la stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée est ignorée.
L’un des avantages de l’utilisation du démarrage sécurisé est qu’il peut corriger les paramètres BCD pendant le démarrage sans déclencher d’événements de récupération. Le démarrage sécurisé applique les mêmes paramètres BCD que BitLocker. L’application bcd de démarrage sécurisé n’est pas configurable à partir du système d’exploitation.
Personnaliser les paramètres de validation BCD
Pour modifier les paramètres BCD validés par BitLocker, l’administrateur ajoute ou exclut les paramètres BCD du profil de validation de la plateforme en activant et en configurant le paramètre de stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée .
Pour les besoins de la validation BitLocker, les paramètres BCD sont associés à un ensemble spécifique d’applications de démarrage Microsoft. Ces paramètres BCD peuvent également être appliqués aux autres applications de démarrage Microsoft qui ne font pas partie de l’ensemble auquel les paramètres BCD sont déjà applicables. Pour ce faire, joignez l’un des préfixes suivants aux paramètres BCD entrés dans la boîte de dialogue paramètres de stratégie de groupe :
- winload
- winresume
- Memtest
- tout ce qui précède
Tous les paramètres BCD sont spécifiés en combinant la valeur de préfixe avec une valeur hexadécimale (hexadécimale) ou un nom convivial.
La valeur hexadécimale du paramètre BCD est signalée lorsque BitLocker passe en mode de récupération et est stocké dans le journal des événements (ID d’événement 523). La valeur hexadécimale identifie de façon unique le paramètre BCD qui a provoqué l’événement de récupération.
Vous pouvez obtenir rapidement le nom convivial des paramètres BCD sur un ordinateur à l’aide de la commande bcdedit.exe /enum all
.
Tous les paramètres BCD n’ont pas de noms conviviaux. Pour les paramètres sans nom convivial, la valeur hexadécimale est la seule façon de configurer une stratégie d’exclusion.
Lorsque vous spécifiez des valeurs BCD dans le paramètre de stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée , utilisez la syntaxe suivante :
- Préfixer le paramètre avec le préfixe de l’application de démarrage
- Ajouter un signe deux-points
:
- Ajoutez la valeur hexadécimale ou le nom convivial
- Si vous entrez plusieurs paramètres BCD, chaque paramètre BCD doit être entré sur une nouvelle ligne
Par exemple, «winload:hypervisordebugport
» ou «winload:0x250000f4
» génère la même valeur.
Un paramètre qui s’applique à toutes les applications de démarrage peut être appliqué uniquement à une application individuelle. Toutefois, l’inverse n’est pas vrai. Par exemple, vous pouvez spécifier «all:locale
» ou «winresume:locale
», mais comme le paramètre BCD «win-pe
» ne s’applique pas à toutes les applications de démarrage, «winload:winpe
» est valide, mais «all:winpe
» n’est pas valide. Le paramètre qui contrôle le débogage de démarrage (« bootdebug
» ou 0x16000010) sera toujours validé et n’aura aucun effet s’il est inclus dans les champs fournis.
Remarque
Faites attention lors de la configuration des entrées BCD dans le paramètre de stratégie. La stratégie de groupe Rédacteur locale ne valide pas l’exactitude de l’entrée BCD. BitLocker ne peut pas être activé si le paramètre de stratégie spécifié n’est pas valide.
Profil de validation BCD par défaut
Le tableau suivant contient le profil de validation BCD par défaut utilisé par BitLocker :
Valeur hexadécimale | Préfixe | Nom convivial |
---|---|---|
0x11000001 | tous | appareil |
0x12000002 | tous | path |
0x12000030 | tous | Loadoptions |
0x16000010 | tous | bootdebug |
0x16000040 | tous | options avancées |
0x16000041 | tous | optionsmodifier |
0x16000048 | tous | nointegritychecks |
0x16000049 | tous | testsigning |
0x16000060 | tous | isolatedcontext |
0x1600007b | tous | forcefipscrypto |
0x22000002 | winload | systemroot |
0x22000011 | winload | Noyau |
0x22000012 | winload | Hal |
0x22000053 | winload | evstore |
0x25000020 | winload | Nx |
0x25000052 | winload | restrictapiccluster |
0x26000022 | winload | Winpe |
0x26000025 | winload | lastknowngood |
0x26000081 | winload | safebootalternateshell |
0x260000a0 | winload | déboguer |
0x260000f2 | winload | hypervisordebug |
0x26000116 | winload | hypervisorusevapic |
0x21000001 | winresume | filedevice |
0x22000002 | winresume | Filepath |
0x26000006 | winresume | debugoptionenabled |
Liste complète des noms conviviaux pour les paramètres BCD ignorés
La liste suivante est une liste complète des paramètres BCD avec des noms conviviaux, qui sont ignorés par défaut. Ces paramètres ne font pas partie du profil de validation BitLocker par défaut, mais peuvent être ajoutés si vous voyez qu’il est nécessaire de valider l’un de ces paramètres avant d’autoriser le déverrouillage d’un lecteur de système d’exploitation protégé par BitLocker.
Remarque
Il existe des paramètres BCD supplémentaires qui ont des valeurs hexadécimale, mais qui n’ont pas de noms conviviaux. Ces paramètres ne sont pas inclus dans cette liste.
Valeur hexadécimale | Préfixe | Nom convivial |
---|---|---|
0x12000004 | tous | description |
0x12000005 | tous | paramètres régionaux |
0x12000016 | tous | Targetname |
0x12000019 | tous | busparams |
0x1200001d | tous | key |
0x1200004a | tous | fontpath |
0x14000006 | tous | Hériter |
0x14000008 | tous | recoverysequence |
0x15000007 | tous | truncatememory |
0x1500000c | tous | firstmegabytepolicy |
0x1500000d | tous | relocalisationphysique |
0x1500000e | tous | avoidlowmemory |
0x15000011 | tous | debugtype |
0x15000012 | tous | debugaddress |
0x15000013 | tous | debugport |
0x15000014 | tous | Baudrate |
0x15000015 | tous | Canal |
0x15000018 | tous | debugstart |
0x1500001a | tous | hostip |
0x1500001b | tous | port |
0x15000022 | tous | emsport |
0x15000023 | tous | emsbaudrate |
0x15000042 | tous | porte-clés |
0x15000047 | tous | configaccesspolicy |
0x1500004b | tous | integrityservices |
0x1500004c | tous | volumebandid |
0x15000051 | tous | initialconsoleinput |
0x15000052 | tous | graphicsresolution |
0x15000065 | tous | displaymessage |
0x15000066 | tous | displaymessageoverride |
0x15000081 | tous | logcontrol |
0x16000009 | tous | recoveryenabled |
0x1600000b | tous | badmemoryaccess |
0x1600000f | tous | traditionalkseg |
0x16000017 | tous | noumex |
0x1600001c | tous | Dhcp |
0x1600001e | tous | Vm |
0x16000020 | tous | bootems |
0x16000046 | tous | graphicsmodedisabled |
0x16000050 | tous | extendedinput |
0x16000053 | tous | restartonfailure |
0x16000054 | tous | highestmode |
0x1600006c | tous | bootuxdisabled |
0x16000072 | tous | nokeyboard |
0x16000074 | tous | bootshutdowndisabled |
0x1700000a | tous | badmemorylist |
0x17000077 | tous | allowedinmemorysettings |
0x22000040 | tous | fverecoveryurl |
0x22000041 | tous | fverecoverymessage |
0x31000003 | tous | ramdisksdidevice |
0x32000004 | tous | ramdisksdipath |
0x35000001 | tous | ramdiskimageoffset |
0x35000002 | tous | ramdisktftpclientport |
0x35000005 | tous | ramdiskimagelength |
0x35000007 | tous | ramdisktftpblocksize |
0x35000008 | tous | ramdisktftpwindowsize |
0x36000006 | tous | exportascd |
0x36000009 | tous | ramdiskmcenabled |
0x3600000a | tous | ramdiskmctftpfallback |
0x3600000b | tous | ramdisktftpvarwindow |
0x21000001 | winload | osdevice |
0x22000013 | winload | dbgtransport |
0x220000f9 | winload | hypervisorbusparams |
0x22000110 | winload | hypervisorusekey |
0x23000003 | winload | resumeobject |
0x25000021 | winload | Pae |
0x25000031 | winload | removememory |
0x25000032 | winload | increaseuserva |
0x25000033 | winload | perfmem |
0x25000050 | winload | clustermodeaddressing |
0x25000055 | winload | x2apicpolicy |
0x25000061 | winload | numproc |
0x25000063 | winload | configflags |
0x25000066 | winload | groupsize |
0x25000071 | winload | Msi |
0x25000072 | winload | pciexpress |
0x25000080 | winload | Safeboot |
0x250000a6 | winload | tscsyncpolicy |
0x250000c1 | winload | driverloadfailurepolicy |
0x250000c2 | winload | bootmenupolicy |
0x250000e0 | winload | bootstatuspolicy |
0x250000f0 | winload | hypervisorlaunchtype |
0x250000f3 | winload | hypervisordebugtype |
0x250000f4 | winload | hypervisordebugport |
0x250000f5 | winload | hypervisorbaudrate |
0x250000f6 | winload | hypervisorchannel |
0x250000f7 | winload | bootux |
0x250000fa | winload | hypervisornumproc |
0x250000fb | winload | hypervisorrootprocpernode |
0x250000fd | winload | hypervisorhostip |
0x250000fe | winload | hypervisorhostport |
0x25000100 | winload | tpmbootentropy |
0x25000113 | winload | hypervisorrootproc |
0x25000115 | winload | hypervisoriommupolicy |
0x25000120 | winload | xsavepolicy |
0x25000121 | winload | xsaveaddfeature0 |
0x25000122 | winload | xsaveaddfeature1 |
0x25000123 | winload | xsaveaddfeature2 |
0x25000124 | winload | xsaveaddfeature3 |
0x25000125 | winload | xsaveaddfeature4 |
0x25000126 | winload | xsaveaddfeature5 |
0x25000127 | winload | xsaveaddfeature6 |
0x25000128 | winload | xsaveaddfeature7 |
0x25000129 | winload | xsaveremovefeature |
0x2500012a | winload | xsaveprocessorsmask |
0x2500012b | winload | xsavedisable |
0x25000130 | winload | claimedtpmcounter |
0x26000004 | winload | stampdisks |
0x26000010 | winload | detecthal |
0x26000024 | winload | nocrashautoreboot |
0x26000030 | winload | nolowmem |
0x26000040 | winload | Vga |
0x26000041 | winload | quietboot |
0x26000042 | winload | novesa |
0x26000043 | winload | novga |
0x26000051 | winload | usephysicaldestination |
0x26000054 | winload | uselegacyapicmode |
0x26000060 | winload | onecpu |
0x26000062 | winload | maxproc |
0x26000064 | winload | maxgroup |
0x26000065 | winload | groupaware |
0x26000070 | winload | usefirmwarepcisettings |
0x26000090 | winload | bootlog |
0x26000091 | winload | Sos |
0x260000a1 | winload | halbreakpoint |
0x260000a2 | winload | useplatformclock |
0x260000a3 | winload | forcelegacyplateforme |
0x260000a4 | winload | useplatformtick |
0x260000a5 | winload | disabledynamictick |
0x260000b0 | winload | Ems |
0x260000c3 | winload | onetimeadvancedoptions |
0x260000c4 | winload | onetimeoptionsedit |
0x260000e1 | winload | disableelamdrivers |
0x260000f8 | winload | hypervisordisableslat |
0x260000fc | winload | hypervisoruselargevtlb |
0x26000114 | winload | hypervisordhcp |
0x21000005 | winresume | associatedosdevice |
0x25000007 | winresume | bootux |
0x25000008 | winresume | bootmenupolicy |
0x26000003 | winresume | customsettings |
0x26000004 | winresume | Pae |
0x25000001 | Memtest | passcount |
0x25000002 | Memtest | testmix |
0x25000005 | Memtest | stridefailcount |
0x25000006 | Memtest | invcfailcount |
0x25000007 | Memtest | matsfailcount |
0x25000008 | Memtest | randfailcount |
0x25000009 | Memtest | chckrfailcount |
0x26000003 | Memtest | cacheenable |
0x26000004 | Memtest | failuresenabled |