启动配置数据设置和 BitLocker

本文介绍 BitLocker 使用的启动配置数据 (BCD) 设置。

在启动过程中,BitLocker 验证自上次启用、恢复或恢复 BitLocker 以来,安全敏感型 BCD 设置是否未更改。

如果认为从验证配置文件中排除特定 BCD 设置存在风险,则可以在 BCD 验证范围中包含该 BCD 设置,以适合验证首选项。
如果默认 BCD 设置持续触发良性更改的恢复,则可以从验证范围中排除该 BCD 设置。

重要提示

具有 UEFI 固件的设备可以使用安全启动来提供增强的启动安全性。 如果 BitLocker 能够按照允许安全启动进行完整性验证策略设置的定义,将安全启动用于平台和 BCD 完整性验证 策略,则忽略 使用增强的启动配置数据验证配置文件 策略。

使用安全启动的一个好处是,它可以在启动期间更正 BCD 设置,而无需触发恢复事件。 安全启动强制实施与 BitLocker 相同的 BCD 设置。 无法从操作系统内部配置安全启动 BCD 强制实施。

自定义 BCD 验证设置

若要修改 BitLocker 验证的 BCD 设置,管理员将通过启用和配置 “使用增强的启动配置数据验证配置文件 ”策略设置,在平台验证配置文件中添加或排除 BCD 设置。

出于 BitLocker 验证的目的,BCD 设置与一组特定的 Microsoft 启动应用程序相关联。 这些 BCD 设置还可以应用于不属于 BCD 设置已适用的集的其他 Microsoft 启动应用程序。 可以通过将以下任何前缀附加到正在组策略设置对话框中输入的 BCD 设置来完成此设置:

  • winload
  • winresume
  • memtest
  • 上述所有内容

所有 BCD 设置都是通过将前缀值与十六进制 (十六进制) 值或 友好名称相结合来指定的。

当 BitLocker 进入恢复模式时,将报告 BCD 设置十六进制值,并存储在事件日志中, (事件 ID 523) 。 十六进制值唯一标识导致恢复事件的 BCD 设置。

可以使用 命令 bcdedit.exe /enum all快速获取计算机上 BCD 设置的友好名称。

并非所有 BCD 设置都有友好名称。 对于没有友好名称的设置,十六进制值是配置排除策略的唯一方法。

“使用增强的启动配置数据验证配置文件 ”策略设置中指定 BCD 值时,请使用以下语法:

  • 使用启动应用程序前缀为设置添加前缀
  • 追加冒号 :
  • 追加十六进制值或友好名称
  • 如果输入多个 BCD 设置,则需要在新行上输入每个 BCD 设置

例如,“”winload:hypervisordebugport或“”winload:0x250000f4生成相同的值。

适用于所有启动应用程序的设置只能应用于单个应用程序。 但是,情况并非如此。 例如,可以指定“”all:locale或“winresume:locale”,但由于 BCD 设置“”win-pe不适用于所有启动应用程序,因此“”winload:winpe有效,但“”all:winpe无效。 控制启动调试 (“bootdebug或0x16000010) 的设置将始终进行验证,如果包含在提供的字段中,则不会生效。

注意

在策略设置中配置 BCD 条目时要小心。 本地组策略 编辑器不会验证 BCD 条目的正确性。 如果指定的策略设置无效,则无法启用 BitLocker。

默认 BCD 验证配置文件

下表包含 BitLocker 使用的默认 BCD 验证配置文件:

十六进制值 前缀 友好名称
0x11000001 全部 设备
0x12000002 全部 path
0x12000030 全部 loadoptions
0x16000010 全部 bootdebug
0x16000040 全部 advancedoptions
0x16000041 全部 optionsedit
0x16000048 全部 nointegritychecks
0x16000049 全部 testsigning
0x16000060 全部 isolatedcontext
0x1600007b 全部 forcefipscrypto
0x22000002 winload systemroot
0x22000011 winload 内核
0x22000012 winload 哈尔
0x22000053 winload evstore
0x25000020 winload Nx
0x25000052 winload restrictapiccluster
0x26000022 winload winpe
0x26000025 winload lastknowngood
0x26000081 winload safebootalternateshell
0x260000a0 winload 调试
0x260000f2 winload hypervisordebug
0x26000116 winload hypervisorusevapic
0x21000001 winresume filedevice
0x22000002 winresume filepath
0x26000006 winresume debugoptionenabled

忽略的 BCD 设置的友好名称的完整列表

以下列表是具有友好名称的 BCD 设置的完整列表,默认情况下会忽略这些设置。 这些设置不是默认 BitLocker 验证配置文件的一部分,但如果在允许受 BitLocker 保护的操作系统驱动器解锁之前,需要验证这些设置中的任何一个,则可以添加这些设置。

注意

存在具有十六进制值但没有友好名称的其他 BCD 设置。 这些设置不包括在此列表中。

十六进制值 前缀 友好名称
0x12000004 全部 description
0x12000005 全部 区域设置
0x12000016 全部 targetname
0x12000019 全部 busparams
0x1200001d 全部 key
0x1200004a 全部 fontpath
0x14000006 全部 继承
0x14000008 全部 recoverysequence
0x15000007 全部 truncatememory
0x1500000c 全部 firstmegabytepolicy
0x1500000d 全部 relocatephysical
0x1500000e 全部 avoidlowmemory
0x15000011 全部 debugtype
0x15000012 全部 debugaddress
0x15000013 全部 debugport
0x15000014 全部 baudrate
0x15000015 全部 通道
0x15000018 全部 debugstart
0x1500001a 全部 hostip
0x1500001b 全部 端口
0x15000022 全部 emsport
0x15000023 全部 emsbaudrate
0x15000042 全部 keyringaddress
0x15000047 全部 configaccesspolicy
0x1500004b 全部 integrityservices
0x1500004c 全部 volumebandid
0x15000051 全部 initialconsoleinput
0x15000052 全部 graphicsresolution
0x15000065 全部 displaymessage
0x15000066 全部 displaymessageoverride
0x15000081 全部 logcontrol
0x16000009 全部 recoveryenabled
0x1600000b 全部 badmemoryaccess
0x1600000f 全部 traditionalkseg
0x16000017 全部 noumex
0x1600001c 全部 Dhcp
0x1600001e 全部 Vm
0x16000020 全部 bootems
0x16000046 全部 graphicsmodedisabled
0x16000050 全部 extendedinput
0x16000053 全部 restartonfailure
0x16000054 全部 highestmode
0x1600006c 全部 bootuxdisabled
0x16000072 全部 nokeyboard
0x16000074 全部 bootshutdowndisabled
0x1700000a 全部 badmemorylist
0x17000077 全部 allowedinmemorysettings
0x22000040 全部 fverecoveryurl
0x22000041 全部 fverecoverymessage
0x31000003 全部 ramdisksdidevice
0x32000004 全部 ramdisksdipath
0x35000001 全部 ramdiskimageoffset
0x35000002 全部 ramdisktftpclientport
0x35000005 全部 ramdiskimagelength
0x35000007 全部 ramdisktftpblocksize
0x35000008 全部 ramdisktftpwindowsize
0x36000006 全部 exportascd
0x36000009 全部 ramdiskmcenabled
0x3600000a 全部 ramdiskmctftpfallback
0x3600000b 全部 ramdisktftpvarwindow
0x21000001 winload osdevice
0x22000013 winload dbgtransport
0x220000f9 winload hypervisorbusparams
0x22000110 winload hypervisorusekey
0x23000003 winload resumeobject
0x25000021 winload Pae
0x25000031 winload removememory
0x25000032 winload increaseuserva
0x25000033 winload perfmem
0x25000050 winload clustermodeaddressing
0x25000055 winload x2apicpolicy
0x25000061 winload numproc
0x25000063 winload configflags
0x25000066 winload groupsize
0x25000071 winload 微星
0x25000072 winload pciexpress
0x25000080 winload safeboot
0x250000a6 winload tscsyncpolicy
0x250000c1 winload driverloadfailurepolicy
0x250000c2 winload bootmenupolicy
0x250000e0 winload bootstatuspolicy
0x250000f0 winload hypervisorlaunchtype
0x250000f3 winload hypervisordebugtype
0x250000f4 winload hypervisordebugport
0x250000f5 winload hypervisorbaudrate
0x250000f6 winload hypervisorchannel
0x250000f7 winload bootux
0x250000fa winload hypervisornumproc
0x250000fb winload hypervisorrootprocpernode
0x250000fd winload hypervisorhostip
0x250000fe winload hypervisorhostport
0x25000100 winload tpmbootentropy
0x25000113 winload hypervisorrootproc
0x25000115 winload hypervisoriommupolicy
0x25000120 winload xsavepolicy
0x25000121 winload xsaveaddfeature0
0x25000122 winload xsaveaddfeature1
0x25000123 winload xsaveaddfeature2
0x25000124 winload xsaveaddfeature3
0x25000125 winload xsaveaddfeature4
0x25000126 winload xsaveaddfeature5
0x25000127 winload xsaveaddfeature6
0x25000128 winload xsaveaddfeature7
0x25000129 winload xsaveremovefeature
0x2500012a winload xsaveprocessorsmask
0x2500012b winload xsavedisable
0x25000130 winload claimedtpmcounter
0x26000004 winload stampdisks
0x26000010 winload detecthal
0x26000024 winload nocrashautoreboot
0x26000030 winload nolowmem
0x26000040 winload Vga
0x26000041 winload quietboot
0x26000042 winload novesa
0x26000043 winload novga
0x26000051 winload usephysicaldestination
0x26000054 winload uselegacyapicmode
0x26000060 winload onecpu
0x26000062 winload maxproc
0x26000064 winload maxgroup
0x26000065 winload groupaware
0x26000070 winload usefirmwarepcisettings
0x26000090 winload bootlog
0x26000091 winload Sos
0x260000a1 winload halbreakpoint
0x260000a2 winload useplatformclock
0x260000a3 winload forcelegacyplatform
0x260000a4 winload useplatformtick
0x260000a5 winload disabledynamictick
0x260000b0 winload Ems
0x260000c3 winload onetimeadvancedoptions
0x260000c4 winload onetimeoptionsedit
0x260000e1 winload disableelamdrivers
0x260000f8 winload hypervisordisableslat
0x260000fc winload hypervisoruselargevtlb
0x26000114 winload hypervisordhcp
0x21000005 winresume associatedosdevice
0x25000007 winresume bootux
0x25000008 winresume bootmenupolicy
0x26000003 winresume customsettings
0x26000004 winresume Pae
0x25000001 memtest passcount
0x25000002 memtest testmix
0x25000005 memtest stridefailcount
0x25000006 memtest invcfailcount
0x25000007 memtest matsfailcount
0x25000008 memtest randfailcount
0x25000009 memtest chckrfailcount
0x26000003 memtest cacheenable
0x26000004 memtest failuresenabled