启动配置数据设置和 BitLocker
本文介绍 BitLocker 使用的启动配置数据 (BCD) 设置。
在启动过程中,BitLocker 验证自上次启用、恢复或恢复 BitLocker 以来,安全敏感型 BCD 设置是否未更改。
如果认为从验证配置文件中排除特定 BCD 设置存在风险,则可以在 BCD 验证范围中包含该 BCD 设置,以适合验证首选项。
如果默认 BCD 设置持续触发良性更改的恢复,则可以从验证范围中排除该 BCD 设置。
重要提示
具有 UEFI 固件的设备可以使用安全启动来提供增强的启动安全性。 如果 BitLocker 能够按照允许安全启动进行完整性验证策略设置的定义,将安全启动用于平台和 BCD 完整性验证 策略,则忽略 使用增强的启动配置数据验证配置文件 策略。
使用安全启动的一个好处是,它可以在启动期间更正 BCD 设置,而无需触发恢复事件。 安全启动强制实施与 BitLocker 相同的 BCD 设置。 无法从操作系统内部配置安全启动 BCD 强制实施。
自定义 BCD 验证设置
若要修改 BitLocker 验证的 BCD 设置,管理员将通过启用和配置 “使用增强的启动配置数据验证配置文件 ”策略设置,在平台验证配置文件中添加或排除 BCD 设置。
出于 BitLocker 验证的目的,BCD 设置与一组特定的 Microsoft 启动应用程序相关联。 这些 BCD 设置还可以应用于不属于 BCD 设置已适用的集的其他 Microsoft 启动应用程序。 可以通过将以下任何前缀附加到正在组策略设置对话框中输入的 BCD 设置来完成此设置:
- winload
- winresume
- memtest
- 上述所有内容
所有 BCD 设置都是通过将前缀值与十六进制 (十六进制) 值或 友好名称相结合来指定的。
当 BitLocker 进入恢复模式时,将报告 BCD 设置十六进制值,并存储在事件日志中, (事件 ID 523) 。 十六进制值唯一标识导致恢复事件的 BCD 设置。
可以使用 命令 bcdedit.exe /enum all快速获取计算机上 BCD 设置的友好名称。
并非所有 BCD 设置都有友好名称。 对于没有友好名称的设置,十六进制值是配置排除策略的唯一方法。
在 “使用增强的启动配置数据验证配置文件 ”策略设置中指定 BCD 值时,请使用以下语法:
- 使用启动应用程序前缀为设置添加前缀
- 追加冒号
: - 追加十六进制值或友好名称
- 如果输入多个 BCD 设置,则需要在新行上输入每个 BCD 设置
例如,“”winload:hypervisordebugport或“”winload:0x250000f4生成相同的值。
适用于所有启动应用程序的设置只能应用于单个应用程序。 但是,情况并非如此。 例如,可以指定“”all:locale或“winresume:locale”,但由于 BCD 设置“”win-pe不适用于所有启动应用程序,因此“”winload:winpe有效,但“”all:winpe无效。 控制启动调试 (“bootdebug或0x16000010) 的设置将始终进行验证,如果包含在提供的字段中,则不会生效。
注意
在策略设置中配置 BCD 条目时要小心。 本地组策略 编辑器不会验证 BCD 条目的正确性。 如果指定的策略设置无效,则无法启用 BitLocker。
默认 BCD 验证配置文件
下表包含 BitLocker 使用的默认 BCD 验证配置文件:
| 十六进制值 | 前缀 | 友好名称 |
|---|---|---|
| 0x11000001 | 全部 | 设备 |
| 0x12000002 | 全部 | path |
| 0x12000030 | 全部 | loadoptions |
| 0x16000010 | 全部 | bootdebug |
| 0x16000040 | 全部 | advancedoptions |
| 0x16000041 | 全部 | optionsedit |
| 0x16000048 | 全部 | nointegritychecks |
| 0x16000049 | 全部 | testsigning |
| 0x16000060 | 全部 | isolatedcontext |
| 0x1600007b | 全部 | forcefipscrypto |
| 0x22000002 | winload | systemroot |
| 0x22000011 | winload | 内核 |
| 0x22000012 | winload | 哈尔 |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | 调试 |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | filepath |
| 0x26000006 | winresume | debugoptionenabled |
忽略的 BCD 设置的友好名称的完整列表
以下列表是具有友好名称的 BCD 设置的完整列表,默认情况下会忽略这些设置。 这些设置不是默认 BitLocker 验证配置文件的一部分,但如果在允许受 BitLocker 保护的操作系统驱动器解锁之前,需要验证这些设置中的任何一个,则可以添加这些设置。
注意
存在具有十六进制值但没有友好名称的其他 BCD 设置。 这些设置不包括在此列表中。
| 十六进制值 | 前缀 | 友好名称 |
|---|---|---|
| 0x12000004 | 全部 | description |
| 0x12000005 | 全部 | 区域设置 |
| 0x12000016 | 全部 | targetname |
| 0x12000019 | 全部 | busparams |
| 0x1200001d | 全部 | key |
| 0x1200004a | 全部 | fontpath |
| 0x14000006 | 全部 | 继承 |
| 0x14000008 | 全部 | recoverysequence |
| 0x15000007 | 全部 | truncatememory |
| 0x1500000c | 全部 | firstmegabytepolicy |
| 0x1500000d | 全部 | relocatephysical |
| 0x1500000e | 全部 | avoidlowmemory |
| 0x15000011 | 全部 | debugtype |
| 0x15000012 | 全部 | debugaddress |
| 0x15000013 | 全部 | debugport |
| 0x15000014 | 全部 | baudrate |
| 0x15000015 | 全部 | 通道 |
| 0x15000018 | 全部 | debugstart |
| 0x1500001a | 全部 | hostip |
| 0x1500001b | 全部 | 端口 |
| 0x15000022 | 全部 | emsport |
| 0x15000023 | 全部 | emsbaudrate |
| 0x15000042 | 全部 | keyringaddress |
| 0x15000047 | 全部 | configaccesspolicy |
| 0x1500004b | 全部 | integrityservices |
| 0x1500004c | 全部 | volumebandid |
| 0x15000051 | 全部 | initialconsoleinput |
| 0x15000052 | 全部 | graphicsresolution |
| 0x15000065 | 全部 | displaymessage |
| 0x15000066 | 全部 | displaymessageoverride |
| 0x15000081 | 全部 | logcontrol |
| 0x16000009 | 全部 | recoveryenabled |
| 0x1600000b | 全部 | badmemoryaccess |
| 0x1600000f | 全部 | traditionalkseg |
| 0x16000017 | 全部 | noumex |
| 0x1600001c | 全部 | Dhcp |
| 0x1600001e | 全部 | Vm |
| 0x16000020 | 全部 | bootems |
| 0x16000046 | 全部 | graphicsmodedisabled |
| 0x16000050 | 全部 | extendedinput |
| 0x16000053 | 全部 | restartonfailure |
| 0x16000054 | 全部 | highestmode |
| 0x1600006c | 全部 | bootuxdisabled |
| 0x16000072 | 全部 | nokeyboard |
| 0x16000074 | 全部 | bootshutdowndisabled |
| 0x1700000a | 全部 | badmemorylist |
| 0x17000077 | 全部 | allowedinmemorysettings |
| 0x22000040 | 全部 | fverecoveryurl |
| 0x22000041 | 全部 | fverecoverymessage |
| 0x31000003 | 全部 | ramdisksdidevice |
| 0x32000004 | 全部 | ramdisksdipath |
| 0x35000001 | 全部 | ramdiskimageoffset |
| 0x35000002 | 全部 | ramdisktftpclientport |
| 0x35000005 | 全部 | ramdiskimagelength |
| 0x35000007 | 全部 | ramdisktftpblocksize |
| 0x35000008 | 全部 | ramdisktftpwindowsize |
| 0x36000006 | 全部 | exportascd |
| 0x36000009 | 全部 | ramdiskmcenabled |
| 0x3600000a | 全部 | ramdiskmctftpfallback |
| 0x3600000b | 全部 | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | 微星 |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | hypervisorbaudrate |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | memtest | passcount |
| 0x25000002 | memtest | testmix |
| 0x25000005 | memtest | stridefailcount |
| 0x25000006 | memtest | invcfailcount |
| 0x25000007 | memtest | matsfailcount |
| 0x25000008 | memtest | randfailcount |
| 0x25000009 | memtest | chckrfailcount |
| 0x26000003 | memtest | cacheenable |
| 0x26000004 | memtest | failuresenabled |