Configuração de inicialização Configuração de dados e BitLocker
Este artigo descreve as configurações BCD (Dados de Configuração de Inicialização) usadas pelo BitLocker.
Durante o processo de inicialização, o BitLocker verifica se as configurações bcd sensíveis à segurança não foram alteradas desde que o BitLocker foi habilitado, retomado ou recuperado pela última vez.
Se acredita-se que há um risco em excluir uma configuração bcd específica do perfil de validação, você pode incluir essa configuração BCD na cobertura de validação BCD para atender às preferências de validação.
Se a configuração bcd padrão disparar persistentemente uma recuperação para alterações benignas, você poderá excluir essa configuração BCD da cobertura de validação.
Importante
Dispositivos com firmware UEFI podem usar inicialização segura para fornecer segurança de inicialização aprimorada. Quando o BitLocker é capaz de usar a inicialização segura para validação de integridade de plataforma e BCD, conforme definido pela configuração Permitir Inicialização Segura para validação de integridade , a política usar o perfil de validação de dados de configuração de inicialização aprimorada é ignorada.
Um dos benefícios do uso da inicialização segura é que ela pode corrigir as configurações de BCD durante a inicialização sem disparar eventos de recuperação. A inicialização segura impõe as mesmas configurações de BCD que o BitLocker. A aplicação de BCD de inicialização segura não é configurável de dentro do sistema operacional.
Personalizar as configurações de validação do BCD
Para modificar as configurações do BCD validadas pelo BitLocker, o administrador adicionará ou excluirá as configurações do BCD do perfil de validação da plataforma, habilitando e configurando a configuração usar a política de perfil de validação de dados de configuração de inicialização aprimorada .
Para fins de validação do BitLocker, as configurações do BCD estão associadas a um conjunto específico de aplicativos de inicialização da Microsoft. Essas configurações de BCD também podem ser aplicadas aos outros aplicativos de inicialização da Microsoft que não fazem parte do conjunto para o qual as configurações do BCD já são aplicáveis. Essa configuração pode ser feita anexando qualquer um dos seguintes prefixos às configurações do BCD que estão sendo inseridas na caixa de diálogo configurações da política de grupo:
- winload
- winresume
- Memtest
- todos os acima
Todas as configurações de BCD são especificadas combinando o valor do prefixo com um valor hexadecimal (hex) ou um nome amigável.
O valor hex de configuração do BCD é relatado quando o BitLocker entra no modo de recuperação e é armazenado no log de eventos (ID do evento 523). O valor hex identifica exclusivamente a configuração BCD que causou o evento de recuperação.
Você pode obter rapidamente o nome amigável para as configurações do BCD em um computador usando o comando bcdedit.exe /enum all.
Nem todas as configurações de BCD têm nomes amigáveis. Para essas configurações sem um nome amigável, o valor hex é a única maneira de configurar uma política de exclusão.
Ao especificar valores BCD na configuração usar a política de perfil de validação de dados de configuração de inicialização aprimorada , use a seguinte sintaxe:
- Prefixar a configuração com o prefixo do aplicativo de inicialização
- Anexar um cólon
: - Acrescentar o valor hex ou o nome amigável
- Se inserir mais de uma configuração BCD, cada configuração BCD precisará ser inserida em uma nova linha
Por exemplo, "winload:hypervisordebugport" ou "winload:0x250000f4" produz o mesmo valor.
Uma configuração que se aplica a todos os aplicativos de inicialização pode ser aplicada apenas a um aplicativo individual. No entanto, o inverso não é verdadeiro. Por exemplo, é possível especificar "all:locale" ou "winresume:locale", mas como a configuração BCD "win-pe" não se aplica a todos os aplicativos de inicialização, "winload:winpe" é válida, mas "all:winpe" não é válida. A configuração que controla a depuração de inicialização ("bootdebug" ou 0x16000010) sempre será validada e não terá efeito se ela for incluída nos campos fornecidos.
Observação
Tome cuidado ao configurar entradas BCD na configuração da política. A Política de Grupo Editor Local não valida a correção da entrada BCD. O BitLocker não será habilitado se a configuração de política especificada for inválida.
Perfil de validação BCD padrão
A tabela a seguir contém o perfil de validação BCD padrão usado pelo BitLocker:
| Valor Hex | Prefixo | Nome Amigável |
|---|---|---|
| 0x11000001 | tudo | dispositivo |
| 0x12000002 | tudo | path |
| 0x12000030 | tudo | Loadoptions |
| 0x16000010 | tudo | bootdebug |
| 0x16000040 | tudo | Advancedoptions |
| 0x16000041 | tudo | optionsedit |
| 0x16000048 | tudo | nointegritychecks |
| 0x16000049 | tudo | Testsigning |
| 0x16000060 | tudo | isolatedcontext |
| 0x1600007b | tudo | forcefipscrypto |
| 0x22000002 | winload | Systemroot |
| 0x22000011 | winload | Kernel |
| 0x22000012 | winload | Hal |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | Winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | depurar |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hipervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
Lista completa de nomes amigáveis para configurações de BCD ignoradas
A lista a seguir é uma lista completa de configurações de BCD com nomes amigáveis, que são ignoradas por padrão. Essas configurações não fazem parte do perfil padrão de validação do BitLocker, mas podem ser adicionadas se você vir a necessidade de validar qualquer uma dessas configurações antes de permitir que uma unidade do sistema operacional protegida pelo BitLocker seja desbloqueada.
Observação
Existem configurações adicionais de BCD que têm valores hex, mas não têm nomes amigáveis. Essas configurações não estão incluídas nesta lista.
| Valor Hex | Prefixo | Nome Amigável |
|---|---|---|
| 0x12000004 | tudo | description |
| 0x12000005 | tudo | Localidade |
| 0x12000016 | tudo | Targetname |
| 0x12000019 | tudo | busparams |
| 0x1200001d | tudo | key |
| 0x1200004a | tudo | fontpath |
| 0x14000006 | tudo | Herdar |
| 0x14000008 | tudo | recoverysequence |
| 0x15000007 | tudo | truncatememory |
| 0x1500000c | tudo | firstmegabytepolicy |
| 0x1500000d | tudo | realofisical |
| 0x1500000e | tudo | avoidlowmemory |
| 0x15000011 | tudo | Debugtype |
| 0x15000012 | tudo | debugaddress |
| 0x15000013 | tudo | depuração |
| 0x15000014 | tudo | Baudrate |
| 0x15000015 | tudo | Canal |
| 0x15000018 | tudo | depuração de início |
| 0x1500001a | tudo | hostip |
| 0x1500001b | tudo | porta |
| 0x15000022 | tudo | emsport |
| 0x15000023 | tudo | emsbaudrate |
| 0x15000042 | tudo | keyringaddress |
| 0x15000047 | tudo | configaccesspolicy |
| 0x1500004b | tudo | integridadesserviços |
| 0x1500004c | tudo | volumebandid |
| 0x15000051 | tudo | initialconsoleinput |
| 0x15000052 | tudo | graphicsresolution |
| 0x15000065 | tudo | displaymessage |
| 0x15000066 | tudo | displaymessageoverride |
| 0x15000081 | tudo | logcontrol |
| 0x16000009 | tudo | recoveryenabled |
| 0x1600000b | tudo | badmemoryaccess |
| 0x1600000f | tudo | traditionalkseg |
| 0x16000017 | tudo | noumex |
| 0x1600001c | tudo | Dhcp |
| 0x1600001e | tudo | Vm |
| 0x16000020 | tudo | bootems |
| 0x16000046 | tudo | gráficosmode desabilitados |
| 0x16000050 | tudo | extendedinput |
| 0x16000053 | tudo | restartonfailure |
| 0x16000054 | tudo | highestmode |
| 0x1600006c | tudo | bootux desabilitado |
| 0x16000072 | tudo | nokeyboard |
| 0x16000074 | tudo | bootshutdown desabilitado |
| 0x1700000a | tudo | badmemorylist |
| 0x17000077 | tudo | allowedinmemorysettings |
| 0x22000040 | tudo | fverecoveryurl |
| 0x22000041 | tudo | fverecoverymessage |
| 0x31000003 | tudo | ramdisksdidevice |
| 0x32000004 | tudo | ramdisksdipath |
| 0x35000001 | tudo | ramdiskimageoffset |
| 0x35000002 | tudo | ramdisktftpclientport |
| 0x35000005 | tudo | ramdiskimagelength |
| 0x35000007 | tudo | ramdisktftpblocksize |
| 0x35000008 | tudo | ramdisktftpwindowsize |
| 0x36000006 | tudo | exportascd |
| 0x36000009 | tudo | ramdiskmcenabled |
| 0x3600000a | tudo | ramdiskmctftpfallback |
| 0x3600000b | tudo | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hipervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | Msi |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hipervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | hipervisorbaudrate |
| 0x250000f6 | winload | hipervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hipervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | Memtest | passcount |
| 0x25000002 | Memtest | testmix |
| 0x25000005 | Memtest | stridefailcount |
| 0x25000006 | Memtest | invcfailcount |
| 0x25000007 | Memtest | matsfailcount |
| 0x25000008 | Memtest | randfailcount |
| 0x25000009 | Memtest | chckrfailcount |
| 0x26000003 | Memtest | cacheenable |
| 0x26000004 | Memtest | failuresenabled |