부팅 구성 데이터 설정 및 BitLocker
이 문서에서는 BitLocker에서 사용하는 BCD(부팅 구성 데이터) 설정에 대해 설명합니다.
부팅 프로세스 중에 BitLocker는 BitLocker가 마지막으로 사용하도록 설정, 다시 시작 또는 복구된 이후 보안에 중요한 BCD 설정이 변경되지 않았는지 확인합니다.
유효성 검사 프로필에서 특정 BCD 설정을 제외할 위험이 있다고 생각되는 경우 BCD 유효성 검사 검사에 해당 BCD 설정을 기본 설정에 맞게 포함할 수 있습니다.
기본 BCD 설정이 무해한 변경에 대한 복구를 지속적으로 트리거하는 경우 유효성 검사 검사에서 해당 BCD 설정을 제외할 수 있습니다.
중요
UEFI 펌웨어가 있는 디바이스는 보안 부팅을 사용하여 향상된 부팅 보안을 제공할 수 있습니다. BitLocker가 무결성 유효성 검사에 보안 부팅 허용 정책 설정에 정의된 대로 플랫폼 및 BCD 무결성 유효성 검사에 보안 부팅을 사용할 수 있는 경우 향상된 부팅 구성 데이터 유효성 검사 프로필 사용 정책은 무시됩니다.
보안 부팅을 사용할 경우의 이점 중 하나는 복구 이벤트를 트리거하지 않고 부팅하는 동안 BCD 설정을 수정할 수 있다는 것입니다. 보안 부팅은 BitLocker와 동일한 BCD 설정을 적용합니다. 보안 부팅 BCD 적용은 운영 체제 내에서 구성할 수 없습니다.
BCD 유효성 검사 설정 사용자 지정
BitLocker에서 유효성을 검사하는 BCD 설정을 수정하려면 관리자가 향상된 부팅 구성 데이터 유효성 검사 프로필 사용 정책 설정을 사용하도록 설정하고 구성하여 플랫폼 유효성 검사 프로필에서 BCD 설정을 추가하거나 제외합니다.
BitLocker 유효성 검사를 위해 BCD 설정은 특정 Microsoft 부팅 애플리케이션 집합과 연결됩니다. 이러한 BCD 설정은 BCD 설정이 이미 적용 가능한 집합의 일부가 아닌 다른 Microsoft 부팅 애플리케이션에도 적용할 수 있습니다. 이 설정은 그룹 정책 설정 대화 상자에 입력되는 BCD 설정에 다음 접두사를 연결하여 수행할 수 있습니다.
- winload
- winresume
- Memtest
- 위의 모든 항목
모든 BCD 설정은 접두사 값을 16진수(16진수) 값 또는 친숙한 이름과 결합하여 지정합니다.
BCD 설정 16진수 값은 BitLocker가 복구 모드로 전환되고 이벤트 로그(이벤트 ID 523)에 저장되면 보고됩니다. 16진수 값은 복구 이벤트를 발생시킨 BCD 설정을 고유하게 식별합니다.
명령을 bcdedit.exe /enum all사용하여 컴퓨터에서 BCD 설정의 이름을 빠르게 가져올 수 있습니다.
모든 BCD 설정에 친숙한 이름이 있는 것은 아닙니다. 식별 이름이 없는 설정의 경우 제외 정책을 구성하는 유일한 방법은 16진수 값입니다.
향상된 부팅 구성 데이터 유효성 검사 프로필 정책 사용 설정에서 BCD 값을 지정할 때 다음 구문을 사용합니다.
- 부팅 애플리케이션 접두사를 사용하여 설정 접두사
- 콜론 추가
: - 16진수 값 또는 식별 이름 추가
- 둘 이상의 BCD 설정을 입력하는 경우 각 BCD 설정을 새 줄에 입력해야 합니다.
예를 들어 "" 또는 "winload:hypervisordebugportwinload:0x250000f4"는 동일한 값을 생성합니다.
모든 부팅 애플리케이션에 적용되는 설정은 개별 애플리케이션에만 적용될 수 있습니다. 그러나 그 반대는 사실이 아닙니다. 예를 들어 "" 또는 "all:localewinresume:locale"를 지정할 수 있지만 BCD 설정 "win-pe"이 모든 부팅 애플리케이션에 적용되지 않으므로 "winload:winpe"는 유효하지만 "all:winpe"는 유효하지 않습니다. 부팅 디버깅("bootdebug" 또는 0x16000010)을 제어하는 설정은 항상 유효성을 검사하며 제공된 필드에 포함된 경우 아무런 영향을 주지 않습니다.
참고
정책 설정에서 BCD 항목을 구성할 때 주의하세요. 로컬 그룹 정책 편집기 BCD 항목의 정확성에 대한 유효성을 검사하지 않습니다. 지정한 정책 설정이 잘못된 경우 BitLocker를 사용하도록 설정하지 못합니다.
기본 BCD 유효성 검사 프로필
다음 표에는 BitLocker에서 사용하는 기본 BCD 유효성 검사 프로필이 포함되어 있습니다.
| 16진수 값 | 접두사 | 이름 |
|---|---|---|
| 0x11000001 | 모두 | 디바이스 |
| 0x12000002 | 모두 | path |
| 0x12000030 | 모두 | loadoptions |
| 0x16000010 | 모두 | bootdebug |
| 0x16000040 | 모두 | advancedoptions |
| 0x16000041 | 모두 | optionsedit |
| 0x16000048 | 모두 | nointegritychecks |
| 0x16000049 | 모두 | testsigning |
| 0x16000060 | 모두 | isolatedcontext |
| 0x1600007b | 모두 | forcefipscrypto |
| 0x22000002 | winload | Systemroot |
| 0x22000011 | winload | 커널 |
| 0x22000012 | winload | Hal |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | Winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | 디버그 |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
무시된 BCD 설정에 대한 친숙한 이름의 전체 목록
다음 목록은 이름이 친숙한 BCD 설정의 전체 목록으로, 기본적으로 무시됩니다. 이러한 설정은 기본 BitLocker 유효성 검사 프로필의 일부가 아니지만 BitLocker로 보호되는 운영 체제 드라이브의 잠금을 해제하기 전에 이러한 설정의 유효성을 검사해야 하는 경우 추가할 수 있습니다.
참고
16진수 값이 있지만 이름이 없는 추가 BCD 설정이 있습니다. 이러한 설정은 이 목록에 포함되지 않습니다.
| 16진수 값 | 접두사 | 이름 |
|---|---|---|
| 0x12000004 | 모두 | description |
| 0x12000005 | 모두 | locale |
| 0x12000016 | 모두 | targetname |
| 0x12000019 | 모두 | busparams |
| 0x1200001d | 모두 | key |
| 0x1200004a | 모두 | fontpath |
| 0x14000006 | 모두 | 상속 |
| 0x14000008 | 모두 | recoverysequence |
| 0x15000007 | 모두 | truncatememory |
| 0x1500000c | 모두 | firstmegabytepolicy |
| 0x1500000d | 모두 | 재배치물리학 |
| 0x1500000e | 모두 | avoidlowmemory |
| 0x15000011 | 모두 | debugtype |
| 0x15000012 | 모두 | debugaddress |
| 0x15000013 | 모두 | 디버그 |
| 0x15000014 | 모두 | baudrate |
| 0x15000015 | 모두 | 채널 |
| 0x15000018 | 모두 | debugstart |
| 0x1500001a | 모두 | hostip |
| 0x1500001b | 모두 | 포트 |
| 0x15000022 | 모두 | emsport |
| 0x15000023 | 모두 | emsbaudrate |
| 0x15000042 | 모두 | keyringaddress |
| 0x15000047 | 모두 | configaccesspolicy |
| 0x1500004b | 모두 | integrityservices |
| 0x1500004c | 모두 | volumebandid |
| 0x15000051 | 모두 | initialconsoleinput |
| 0x15000052 | 모두 | graphicsresolution |
| 0x15000065 | 모두 | displaymessage |
| 0x15000066 | 모두 | displaymessageoverride |
| 0x15000081 | 모두 | logcontrol |
| 0x16000009 | 모두 | recoveryenabled |
| 0x1600000b | 모두 | badmemoryaccess |
| 0x1600000f | 모두 | traditionalkseg |
| 0x16000017 | 모두 | noumex |
| 0x1600001c | 모두 | Dhcp |
| 0x1600001e | 모두 | Vm |
| 0x16000020 | 모두 | bootems |
| 0x16000046 | 모두 | graphicsmodedisabled |
| 0x16000050 | 모두 | extendedinput |
| 0x16000053 | 모두 | restartonfailure |
| 0x16000054 | 모두 | highestmode |
| 0x1600006c | 모두 | bootuxdisabled |
| 0x16000072 | 모두 | nokeyboard |
| 0x16000074 | 모두 | bootshutdowndisabled |
| 0x1700000a | 모두 | badmemorylist |
| 0x17000077 | 모두 | allowedinmemorysettings |
| 0x22000040 | 모두 | fverecoveryurl |
| 0x22000041 | 모두 | fverecoverymessage |
| 0x31000003 | 모두 | ramdisksdidevice |
| 0x32000004 | 모두 | ramdisksdipath |
| 0x35000001 | 모두 | ramdiskimageoffset |
| 0x35000002 | 모두 | ramdisktftpclientport |
| 0x35000005 | 모두 | 람디스키마겔렌스 |
| 0x35000007 | 모두 | ramdisktftpblocksize |
| 0x35000008 | 모두 | ramdisktftpwindowsize |
| 0x36000006 | 모두 | exportascd |
| 0x36000009 | 모두 | ramdiskmcenabled |
| 0x3600000a | 모두 | ramdiskmctftpfallback |
| 0x3600000b | 모두 | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | Msi |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | 하이퍼바이저 감사 |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | Memtest | passcount |
| 0x25000002 | Memtest | testmix |
| 0x25000005 | Memtest | stridefailcount |
| 0x25000006 | Memtest | invcfailcount |
| 0x25000007 | Memtest | matsfailcount |
| 0x25000008 | Memtest | randfailcount |
| 0x25000009 | Memtest | chckrfailcount |
| 0x26000003 | Memtest | cacheenable |
| 0x26000004 | Memtest | failuresenabled |