Partager via


Paramètres des données de configuration de démarrage et BitLocker

Cet article décrit les paramètres de données de configuration de démarrage (BCD) utilisés par BitLocker.

Pendant le processus de démarrage, BitLocker vérifie que les paramètres BCD sensibles à la sécurité n’ont pas changé depuis que BitLocker a été activé, repris ou récupéré pour la dernière fois.

S’il est estimé qu’il existe un risque d’exclure un paramètre BCD particulier du profil de validation, vous pouvez inclure ce paramètre BCD dans la couverture de validation BCD en fonction des préférences de validation.
Si le paramètre BCD par défaut déclenche de manière permanente une récupération pour des modifications sans gravité, vous pouvez exclure ce paramètre BCD de la couverture de validation.

Important

Les appareils avec microprogramme UEFI peuvent utiliser le démarrage sécurisé pour fournir une sécurité de démarrage renforcée. Lorsque BitLocker est en mesure d’utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme et bcD, comme défini par le paramètre de stratégie Autoriser le démarrage sécurisé pour la validation de l’intégrité , la stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée est ignorée.

L’un des avantages de l’utilisation du démarrage sécurisé est qu’il peut corriger les paramètres BCD pendant le démarrage sans déclencher d’événements de récupération. Le démarrage sécurisé applique les mêmes paramètres BCD que BitLocker. L’application bcd de démarrage sécurisé n’est pas configurable à partir du système d’exploitation.

Personnaliser les paramètres de validation BCD

Pour modifier les paramètres BCD validés par BitLocker, l’administrateur ajoute ou exclut les paramètres BCD du profil de validation de la plateforme en activant et en configurant le paramètre de stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée .

Pour les besoins de la validation BitLocker, les paramètres BCD sont associés à un ensemble spécifique d’applications de démarrage Microsoft. Ces paramètres BCD peuvent également être appliqués aux autres applications de démarrage Microsoft qui ne font pas partie de l’ensemble auquel les paramètres BCD sont déjà applicables. Pour ce faire, joignez l’un des préfixes suivants aux paramètres BCD entrés dans la boîte de dialogue paramètres de stratégie de groupe :

  • winload
  • winresume
  • Memtest
  • tout ce qui précède

Tous les paramètres BCD sont spécifiés en combinant la valeur de préfixe avec une valeur hexadécimale (hexadécimale) ou un nom convivial.

La valeur hexadécimale du paramètre BCD est signalée lorsque BitLocker passe en mode de récupération et est stocké dans le journal des événements (ID d’événement 523). La valeur hexadécimale identifie de façon unique le paramètre BCD qui a provoqué l’événement de récupération.

Vous pouvez obtenir rapidement le nom convivial des paramètres BCD sur un ordinateur à l’aide de la commande bcdedit.exe /enum all.

Tous les paramètres BCD n’ont pas de noms conviviaux. Pour les paramètres sans nom convivial, la valeur hexadécimale est la seule façon de configurer une stratégie d’exclusion.

Lorsque vous spécifiez des valeurs BCD dans le paramètre de stratégie Utiliser le profil de validation des données de configuration de démarrage améliorée , utilisez la syntaxe suivante :

  • Préfixer le paramètre avec le préfixe de l’application de démarrage
  • Ajouter un signe deux-points :
  • Ajoutez la valeur hexadécimale ou le nom convivial
  • Si vous entrez plusieurs paramètres BCD, chaque paramètre BCD doit être entré sur une nouvelle ligne

Par exemple, «winload:hypervisordebugport » ou «winload:0x250000f4 » génère la même valeur.

Un paramètre qui s’applique à toutes les applications de démarrage peut être appliqué uniquement à une application individuelle. Toutefois, l’inverse n’est pas vrai. Par exemple, vous pouvez spécifier «all:locale » ou «winresume:locale », mais comme le paramètre BCD «win-pe » ne s’applique pas à toutes les applications de démarrage, «winload:winpe » est valide, mais «all:winpe » n’est pas valide. Le paramètre qui contrôle le débogage de démarrage (« bootdebug » ou 0x16000010) sera toujours validé et n’aura aucun effet s’il est inclus dans les champs fournis.

Remarque

Faites attention lors de la configuration des entrées BCD dans le paramètre de stratégie. La stratégie de groupe Rédacteur locale ne valide pas l’exactitude de l’entrée BCD. BitLocker ne peut pas être activé si le paramètre de stratégie spécifié n’est pas valide.

Profil de validation BCD par défaut

Le tableau suivant contient le profil de validation BCD par défaut utilisé par BitLocker :

Valeur hexadécimale Préfixe Nom convivial
0x11000001 tous appareil
0x12000002 tous path
0x12000030 tous Loadoptions
0x16000010 tous bootdebug
0x16000040 tous options avancées
0x16000041 tous optionsmodifier
0x16000048 tous nointegritychecks
0x16000049 tous testsigning
0x16000060 tous isolatedcontext
0x1600007b tous forcefipscrypto
0x22000002 winload systemroot
0x22000011 winload Noyau
0x22000012 winload Hal
0x22000053 winload evstore
0x25000020 winload Nx
0x25000052 winload restrictapiccluster
0x26000022 winload Winpe
0x26000025 winload lastknowngood
0x26000081 winload safebootalternateshell
0x260000a0 winload déboguer
0x260000f2 winload hypervisordebug
0x26000116 winload hypervisorusevapic
0x21000001 winresume filedevice
0x22000002 winresume Filepath
0x26000006 winresume debugoptionenabled

Liste complète des noms conviviaux pour les paramètres BCD ignorés

La liste suivante est une liste complète des paramètres BCD avec des noms conviviaux, qui sont ignorés par défaut. Ces paramètres ne font pas partie du profil de validation BitLocker par défaut, mais peuvent être ajoutés si vous voyez qu’il est nécessaire de valider l’un de ces paramètres avant d’autoriser le déverrouillage d’un lecteur de système d’exploitation protégé par BitLocker.

Remarque

Il existe des paramètres BCD supplémentaires qui ont des valeurs hexadécimale, mais qui n’ont pas de noms conviviaux. Ces paramètres ne sont pas inclus dans cette liste.

Valeur hexadécimale Préfixe Nom convivial
0x12000004 tous description
0x12000005 tous paramètres régionaux
0x12000016 tous Targetname
0x12000019 tous busparams
0x1200001d tous key
0x1200004a tous fontpath
0x14000006 tous Hériter
0x14000008 tous recoverysequence
0x15000007 tous truncatememory
0x1500000c tous firstmegabytepolicy
0x1500000d tous relocalisationphysique
0x1500000e tous avoidlowmemory
0x15000011 tous debugtype
0x15000012 tous debugaddress
0x15000013 tous debugport
0x15000014 tous Baudrate
0x15000015 tous Canal
0x15000018 tous debugstart
0x1500001a tous hostip
0x1500001b tous port
0x15000022 tous emsport
0x15000023 tous emsbaudrate
0x15000042 tous porte-clés
0x15000047 tous configaccesspolicy
0x1500004b tous integrityservices
0x1500004c tous volumebandid
0x15000051 tous initialconsoleinput
0x15000052 tous graphicsresolution
0x15000065 tous displaymessage
0x15000066 tous displaymessageoverride
0x15000081 tous logcontrol
0x16000009 tous recoveryenabled
0x1600000b tous badmemoryaccess
0x1600000f tous traditionalkseg
0x16000017 tous noumex
0x1600001c tous Dhcp
0x1600001e tous Vm
0x16000020 tous bootems
0x16000046 tous graphicsmodedisabled
0x16000050 tous extendedinput
0x16000053 tous restartonfailure
0x16000054 tous highestmode
0x1600006c tous bootuxdisabled
0x16000072 tous nokeyboard
0x16000074 tous bootshutdowndisabled
0x1700000a tous badmemorylist
0x17000077 tous allowedinmemorysettings
0x22000040 tous fverecoveryurl
0x22000041 tous fverecoverymessage
0x31000003 tous ramdisksdidevice
0x32000004 tous ramdisksdipath
0x35000001 tous ramdiskimageoffset
0x35000002 tous ramdisktftpclientport
0x35000005 tous ramdiskimagelength
0x35000007 tous ramdisktftpblocksize
0x35000008 tous ramdisktftpwindowsize
0x36000006 tous exportascd
0x36000009 tous ramdiskmcenabled
0x3600000a tous ramdiskmctftpfallback
0x3600000b tous ramdisktftpvarwindow
0x21000001 winload osdevice
0x22000013 winload dbgtransport
0x220000f9 winload hypervisorbusparams
0x22000110 winload hypervisorusekey
0x23000003 winload resumeobject
0x25000021 winload Pae
0x25000031 winload removememory
0x25000032 winload increaseuserva
0x25000033 winload perfmem
0x25000050 winload clustermodeaddressing
0x25000055 winload x2apicpolicy
0x25000061 winload numproc
0x25000063 winload configflags
0x25000066 winload groupsize
0x25000071 winload Msi
0x25000072 winload pciexpress
0x25000080 winload Safeboot
0x250000a6 winload tscsyncpolicy
0x250000c1 winload driverloadfailurepolicy
0x250000c2 winload bootmenupolicy
0x250000e0 winload bootstatuspolicy
0x250000f0 winload hypervisorlaunchtype
0x250000f3 winload hypervisordebugtype
0x250000f4 winload hypervisordebugport
0x250000f5 winload hypervisorbaudrate
0x250000f6 winload hypervisorchannel
0x250000f7 winload bootux
0x250000fa winload hypervisornumproc
0x250000fb winload hypervisorrootprocpernode
0x250000fd winload hypervisorhostip
0x250000fe winload hypervisorhostport
0x25000100 winload tpmbootentropy
0x25000113 winload hypervisorrootproc
0x25000115 winload hypervisoriommupolicy
0x25000120 winload xsavepolicy
0x25000121 winload xsaveaddfeature0
0x25000122 winload xsaveaddfeature1
0x25000123 winload xsaveaddfeature2
0x25000124 winload xsaveaddfeature3
0x25000125 winload xsaveaddfeature4
0x25000126 winload xsaveaddfeature5
0x25000127 winload xsaveaddfeature6
0x25000128 winload xsaveaddfeature7
0x25000129 winload xsaveremovefeature
0x2500012a winload xsaveprocessorsmask
0x2500012b winload xsavedisable
0x25000130 winload claimedtpmcounter
0x26000004 winload stampdisks
0x26000010 winload detecthal
0x26000024 winload nocrashautoreboot
0x26000030 winload nolowmem
0x26000040 winload Vga
0x26000041 winload quietboot
0x26000042 winload novesa
0x26000043 winload novga
0x26000051 winload usephysicaldestination
0x26000054 winload uselegacyapicmode
0x26000060 winload onecpu
0x26000062 winload maxproc
0x26000064 winload maxgroup
0x26000065 winload groupaware
0x26000070 winload usefirmwarepcisettings
0x26000090 winload bootlog
0x26000091 winload Sos
0x260000a1 winload halbreakpoint
0x260000a2 winload useplatformclock
0x260000a3 winload forcelegacyplateforme
0x260000a4 winload useplatformtick
0x260000a5 winload disabledynamictick
0x260000b0 winload Ems
0x260000c3 winload onetimeadvancedoptions
0x260000c4 winload onetimeoptionsedit
0x260000e1 winload disableelamdrivers
0x260000f8 winload hypervisordisableslat
0x260000fc winload hypervisoruselargevtlb
0x26000114 winload hypervisordhcp
0x21000005 winresume associatedosdevice
0x25000007 winresume bootux
0x25000008 winresume bootmenupolicy
0x26000003 winresume customsettings
0x26000004 winresume Pae
0x25000001 Memtest passcount
0x25000002 Memtest testmix
0x25000005 Memtest stridefailcount
0x25000006 Memtest invcfailcount
0x25000007 Memtest matsfailcount
0x25000008 Memtest randfailcount
0x25000009 Memtest chckrfailcount
0x26000003 Memtest cacheenable
0x26000004 Memtest failuresenabled