Impostazioni dei dati di configurazione di avvio e BitLocker
Questo articolo descrive le impostazioni bcd (Boot Configuration Data) usate da BitLocker.
Durante il processo di avvio, BitLocker verifica che le impostazioni bcD sensibili alla sicurezza non siano state modificate dall'ultima abilitazione, ripresa o ripristino di BitLocker.
Se si ritiene che esista un rischio nell'esclusione di una determinata impostazione BCD dal profilo di convalida, è possibile includere tale impostazione bcd nella copertura di convalida BCD in base alle preferenze per la convalida.
Se l'impostazione BCD predefinita attiva in modo permanente un ripristino per le modifiche non dannose, è possibile escludere tale impostazione BCD dalla copertura di convalida.
Importante
I dispositivi con firmware UEFI possono usare l'avvio protetto per garantire una sicurezza di avvio avanzata. Quando BitLocker è in grado di usare l'avvio protetto per la convalida dell'integrità della piattaforma e bcd, come definito dall'impostazione dei criteri Consenti avvio protetto per la convalida dell'integrità , il criterio Usa profilo di convalida dati configurazione avvio avanzato viene ignorato.
Uno dei vantaggi dell'uso dell'avvio protetto è la possibilità di correggere le impostazioni BCD durante l'avvio senza attivare eventi di ripristino. L'avvio protetto applica le stesse impostazioni BCD di BitLocker. L'applicazione bcd di avvio sicuro non è configurabile dall'interno del sistema operativo.
Personalizzare le impostazioni di convalida BCD
Per modificare le impostazioni BCD convalidate da BitLocker, l'amministratore aggiunge o esclude le impostazioni BCD dal profilo di convalida della piattaforma abilitando e configurando l'impostazione Usa profilo di convalida dati configurazione di avvio avanzato .
Ai fini della convalida di BitLocker, le impostazioni BCD sono associate a un set specifico di applicazioni di avvio Microsoft. Queste impostazioni bcd possono essere applicate anche alle altre applicazioni di avvio Microsoft che non fanno parte del set a cui sono già applicabili le impostazioni bcd. Questa impostazione può essere eseguita collegando uno dei prefissi seguenti alle impostazioni BCD immesse nella finestra di dialogo impostazioni criteri di gruppo:
- Winload
- winresume
- Memtest
- tutto quanto sopra
Tutte le impostazioni BCD vengono specificate combinando il valore del prefisso con un valore esadecimale (esadecimale) o un nome descrittivo.
Il valore esadecimale dell'impostazione BCD viene segnalato quando BitLocker entra in modalità di ripristino e viene archiviato nel registro eventi (ID evento 523). Il valore esadecimale identifica in modo univoco l'impostazione BCD che ha causato l'evento di ripristino.
È possibile ottenere rapidamente il nome descrittivo per le impostazioni BCD in un computer usando il comando bcdedit.exe /enum all.
Non tutte le impostazioni BCD hanno nomi descrittivi. Per queste impostazioni senza un nome descrittivo, il valore esadecimale è l'unico modo per configurare un criterio di esclusione.
Quando si specificano valori BCD nell'impostazione dei criteri Usa profilo di convalida dati configurazione di avvio avanzato , usare la sintassi seguente:
- Anteporre all'impostazione il prefisso dell'applicazione di avvio
- Accodare due punti
: - Accodare il valore esadecimale o il nome descrittivo
- Se si immette più di un'impostazione BCD, ogni impostazione BCD dovrà essere immessa in una nuova riga
Ad esempio, "winload:hypervisordebugport" o "winload:0x250000f4" restituisce lo stesso valore.
Un'impostazione che si applica a tutte le applicazioni di avvio può essere applicata solo a una singola applicazione. Tuttavia, il contrario non è vero. Ad esempio, è possibile specificare "all:locale" o "winresume:locale", ma poiché l'impostazione BCD "win-pe" non si applica a tutte le applicazioni di avvio, "winload:winpe" è valido, ma "all:winpe" non è valido. L'impostazione che controlla il debug di avvio ("bootdebug" o 0x16000010) verrà sempre convalidata e non avrà alcun effetto se è inclusa nei campi specificati.
Nota
Prestare attenzione quando si configurano voci BCD nell'impostazione dei criteri. Il Criteri di gruppo Editor locale non convalida la correttezza della voce BCD. BitLocker non viene abilitato se l'impostazione dei criteri specificata non è valida.
Profilo di convalida BCD predefinito
La tabella seguente contiene il profilo di convalida BCD predefinito usato da BitLocker:
| Valore esadecimale | Prefisso | Nome descrittivo |
|---|---|---|
| 0x11000001 | tutto | dispositivo |
| 0x12000002 | tutto | path |
| 0x12000030 | tutto | Loadoptions |
| 0x16000010 | tutto | bootdebug |
| 0x16000040 | tutto | opzioni avanzate |
| 0x16000041 | tutto | opzionimoditi |
| 0x16000048 | tutto | nointegritychecks |
| 0x16000049 | tutto | testsigning |
| 0x16000060 | tutto | isolatedcontext |
| 0x1600007b | tutto | forcefipscrypto |
| 0x22000002 | Winload | Systemroot |
| 0x22000011 | Winload | Kernel |
| 0x22000012 | Winload | Hal |
| 0x22000053 | Winload | evstore |
| 0x25000020 | Winload | Nx |
| 0x25000052 | Winload | restrictapiccluster |
| 0x26000022 | Winload | Winpe |
| 0x26000025 | Winload | lastknowngood |
| 0x26000081 | Winload | safebootalternateshell |
| 0x260000a0 | Winload | debug |
| 0x260000f2 | Winload | hypervisordebug |
| 0x26000116 | Winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
Elenco completo dei nomi descrittivi per le impostazioni bcd ignorate
L'elenco seguente è un elenco completo di impostazioni BCD con nomi descrittivi, che vengono ignorati per impostazione predefinita. Queste impostazioni non fanno parte del profilo di convalida BitLocker predefinito, ma possono essere aggiunte se viene visualizzata la necessità di convalidare una di queste impostazioni prima di consentire lo sblocco di un'unità del sistema operativo protetta da BitLocker.
Nota
Sono presenti impostazioni BCD aggiuntive che hanno valori esadecimali ma non hanno nomi descrittivi. Queste impostazioni non sono incluse in questo elenco.
| Valore esadecimale | Prefisso | Nome descrittivo |
|---|---|---|
| 0x12000004 | tutto | description |
| 0x12000005 | tutto | Impostazioni internazionali |
| 0x12000016 | tutto | Targetname |
| 0x12000019 | tutto | busparams |
| 0x1200001d | tutto | key |
| 0x1200004a | tutto | fontpath |
| 0x14000006 | tutto | Ereditare |
| 0x14000008 | tutto | recoverysequence |
| 0x15000007 | tutto | truncatememory |
| 0x1500000c | tutto | firstmegabytepolicy |
| 0x1500000d | tutto | relocatephysical |
| 0x1500000e | tutto | avoidlowmemory |
| 0x15000011 | tutto | debugtype |
| 0x15000012 | tutto | debugaddress |
| 0x15000013 | tutto | debugport |
| 0x15000014 | tutto | Baudrate |
| 0x15000015 | tutto | Canale |
| 0x15000018 | tutto | debugstart |
| 0x1500001a | tutto | hostip |
| 0x1500001b | tutto | porta |
| 0x15000022 | tutto | emsport |
| 0x15000023 | tutto | emsbaudrate |
| 0x15000042 | tutto | keyringaddress |
| 0x15000047 | tutto | configaccesspolicy |
| 0x1500004b | tutto | integrityservices |
| 0x1500004c | tutto | volumebandid |
| 0x15000051 | tutto | initialconsoleinput |
| 0x15000052 | tutto | graphicsresolution |
| 0x15000065 | tutto | displaymessage |
| 0x15000066 | tutto | displaymessageoverride |
| 0x15000081 | tutto | logcontrol |
| 0x16000009 | tutto | recoveryenabled |
| 0x1600000b | tutto | badmemoryaccess |
| 0x1600000f | tutto | traditionalkseg |
| 0x16000017 | tutto | noumex |
| 0x1600001c | tutto | Dhcp |
| 0x1600001e | tutto | Vm |
| 0x16000020 | tutto | bootems |
| 0x16000046 | tutto | graphicsmodedisabled |
| 0x16000050 | tutto | extendedinput |
| 0x16000053 | tutto | restartonfailure |
| 0x16000054 | tutto | highestmode |
| 0x1600006c | tutto | bootuxdisabled |
| 0x16000072 | tutto | nokeyboard |
| 0x16000074 | tutto | bootshutdowndisabled |
| 0x1700000a | tutto | badmemorylist |
| 0x17000077 | tutto | allowedinmemorysettings |
| 0x22000040 | tutto | fverecoveryurl |
| 0x22000041 | tutto | fverecoverymessage |
| 0x31000003 | tutto | ramdisksdidevice |
| 0x32000004 | tutto | ramdisksdipath |
| 0x35000001 | tutto | ramdiskimageoffset |
| 0x35000002 | tutto | ramdisktftpclientport |
| 0x35000005 | tutto | ramdiskimagelength |
| 0x35000007 | tutto | ramdisktftpblocksize |
| 0x35000008 | tutto | ramdisktftpwindowsize |
| 0x36000006 | tutto | exportascd |
| 0x36000009 | tutto | ramdiskmcenabled |
| 0x3600000a | tutto | ramdiskmctftpfallback |
| 0x3600000b | tutto | ramdisktftpvarwindow |
| 0x21000001 | Winload | osdevice |
| 0x22000013 | Winload | dbgtransport |
| 0x220000f9 | Winload | hypervisorbusparams |
| 0x22000110 | Winload | hypervisorusekey |
| 0x23000003 | Winload | resumeobject |
| 0x25000021 | Winload | Pae |
| 0x25000031 | Winload | removememory |
| 0x25000032 | Winload | increaseuserva |
| 0x25000033 | Winload | perfmem |
| 0x25000050 | Winload | clustermodeaddressing |
| 0x25000055 | Winload | x2apicpolicy |
| 0x25000061 | Winload | numproc |
| 0x25000063 | Winload | configflags |
| 0x25000066 | Winload | groupsize |
| 0x25000071 | Winload | Msi |
| 0x25000072 | Winload | pciexpress |
| 0x25000080 | Winload | Safeboot |
| 0x250000a6 | Winload | tscsyncpolicy |
| 0x250000c1 | Winload | driverloadfailurepolicy |
| 0x250000c2 | Winload | bootmenupolicy |
| 0x250000e0 | Winload | bootstatuspolicy |
| 0x250000f0 | Winload | hypervisorlaunchtype |
| 0x250000f3 | Winload | hypervisordebugtype |
| 0x250000f4 | Winload | hypervisordebugport |
| 0x250000f5 | Winload | hypervisorbaudrate |
| 0x250000f6 | Winload | hypervisorchannel |
| 0x250000f7 | Winload | bootux |
| 0x250000fa | Winload | hypervisornumproc |
| 0x250000fb | Winload | hypervisorrootprocpernode |
| 0x250000fd | Winload | hypervisorhostip |
| 0x250000fe | Winload | hypervisorhostport |
| 0x25000100 | Winload | tpmbootentropy |
| 0x25000113 | Winload | hypervisorrootproc |
| 0x25000115 | Winload | hypervisoriommupolicy |
| 0x25000120 | Winload | xsavepolicy |
| 0x25000121 | Winload | xsaveaddfeature0 |
| 0x25000122 | Winload | xsaveaddfeature1 |
| 0x25000123 | Winload | xsaveaddfeature2 |
| 0x25000124 | Winload | xsaveaddfeature3 |
| 0x25000125 | Winload | xsaveaddfeature4 |
| 0x25000126 | Winload | xsaveaddfeature5 |
| 0x25000127 | Winload | xsaveaddfeature6 |
| 0x25000128 | Winload | xsaveaddfeature7 |
| 0x25000129 | Winload | xsaveremovefeature |
| 0x2500012a | Winload | xsaveprocessorsmask |
| 0x2500012b | Winload | xsavedisable |
| 0x25000130 | Winload | claimedtpmcounter |
| 0x26000004 | Winload | stampdisks |
| 0x26000010 | Winload | detecthal |
| 0x26000024 | Winload | nocrashautoreboot |
| 0x26000030 | Winload | nolowmem |
| 0x26000040 | Winload | Vga |
| 0x26000041 | Winload | avvio in modalità non interattiva |
| 0x26000042 | Winload | novesa |
| 0x26000043 | Winload | novga |
| 0x26000051 | Winload | usephysicaldestination |
| 0x26000054 | Winload | uselegacyapicmode |
| 0x26000060 | Winload | onecpu |
| 0x26000062 | Winload | maxproc |
| 0x26000064 | Winload | maxgroup |
| 0x26000065 | Winload | groupaware |
| 0x26000070 | Winload | usefirmwarepcisettings |
| 0x26000090 | Winload | bootlog |
| 0x26000091 | Winload | Sos |
| 0x260000a1 | Winload | halbreakpoint |
| 0x260000a2 | Winload | useplatformclock |
| 0x260000a3 | Winload | forcelegacyplatform |
| 0x260000a4 | Winload | useplatformtick |
| 0x260000a5 | Winload | disabledynamictick |
| 0x260000b0 | Winload | Ems |
| 0x260000c3 | Winload | onetimeadvancedoptions |
| 0x260000c4 | Winload | onetimeoptionsmodifica |
| 0x260000e1 | Winload | disableelamdrivers |
| 0x260000f8 | Winload | hypervisordisableslat |
| 0x260000fc | Winload | hypervisoruselargevtlb |
| 0x26000114 | Winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | Memtest | passcount |
| 0x25000002 | Memtest | testmix |
| 0x25000005 | Memtest | stridefailcount |
| 0x25000006 | Memtest | invcfailcount |
| 0x25000007 | Memtest | matsfailcount |
| 0x25000008 | Memtest | randfailcount |
| 0x25000009 | Memtest | chckrfailcount |
| 0x26000003 | Memtest | cacheenable |
| 0x26000004 | Memtest | failuresenabled |