開機組態數據設定和 BitLocker
本文說明 BitLocker 所使用的開機設定資料 (BCD) 設定。
在開機程式期間,BitLocker 會確認自上次啟用、繼續或復原 BitLocker 之後,安全性敏感性 BCD 設定尚未變更。
如果認為從驗證配置檔中排除特定 BCD 設定有風險,您可以在 BCD 驗證涵蓋範圍中包含該 BCD 設定,以符合驗證的喜好設定。
如果預設 BCD 設定持續觸發良性變更的復原,您可以從驗證涵蓋範圍中排除該 BCD 設定。
重要
具有 UEFI 韌體的裝置可以使用安全開機來提供增強的開機安全性。 當 BitLocker 能夠使用安全開機進行平臺和 BCD 完整性驗證時,如 允許安全開機進行完整性驗證 原則設定所定義,則會忽略 [使用增強的開機設定數據驗證配置檔 ] 原則。
使用安全開機的其中一個優點是,它可以在開機期間更正 BCD 設定,而不需要觸發復原事件。 安全開機會強制執行與 BitLocker 相同的 BCD 設定。 無法從操作系統內設定安全開機 BCD 強制執行。
自訂 BCD 驗證設定
若要修改由 BitLocker 驗證的 BCD 設定,系統管理員會啟用並設定 [ 使用增強的開機設定數據驗證配置檔 ] 原則設定,以在平臺驗證配置檔中新增或排除 BCD 設定。
基於 BitLocker 驗證的目的,BCD 設定會與一組特定的 Microsoft 開機應用程式相關聯。 這些 BCD 設定也可以套用至不屬於 BCD 設定已適用之集合的其他 Microsoft 開機應用程式。 這個設定可藉由將下列任何前置詞附加至正在組策略設定對話框中輸入的 BCD 設定來完成:
- winload
- winresume
- memtest
- 以上所有專案
所有 BCD 設定都是藉由結合前置詞值與十六進位 (十六進位) 值或 易記名稱來指定。
當 BitLocker 進入復原模式,並儲存在事件記錄檔 (事件標識碼 523) 時,會報告 BCD 設定十六進位值。 十六進位值可唯一識別導致復原事件的 BCD 設定。
您可以使用 命令 bcdedit.exe /enum all,快速取得計算機上 BCD 設定的易記名稱。
並非所有 BCD 設定都有易記名稱。 對於沒有易記名稱的設定,十六進位值是設定排除原則的唯一方式。
在 [ 使用增強的開機設定數據驗證配置檔 ] 原則設定中指定 BCD 值時,請使用下列語法:
- 在設定前面加上開機應用程式前置詞
- 附加冒號
: - 附加十六進位值或易記名稱
- 如果輸入多個 BCD 設定,每個 BCD 設定都必須在新行上輸入
例如,“” 或 “winload:hypervisordebugportwinload:0x250000f4” 會產生相同的值。
套用至所有開機應用程式的設定只能套用至個別應用程式。 不過,反之則不是 true。 例如,您可以指定 「all:locale或」winresume:locale,但因為 BCD 設定 「win-pe不適用於所有開機應用程式,」winload:winpe有效,但「all:winpe無效」。 控制開機偵錯 (“bootdebug或0x16000010) 的设定一律会经过验证,而且如果包含在提供的欄位中,則不會有任何作用。
注意
在原則設定中設定 BCD 專案時請小心。 本機 群組原則 編輯器 不會驗證 BCD 項目的正確性。 如果指定的原則設定無效,則無法啟用 BitLocker。
預設 BCD 驗證設定檔
下表包含 BitLocker 所使用的預設 BCD 驗證設定檔:
| 十六進位值 | 前綴 | 易記名稱 |
|---|---|---|
| 0x11000001 | 全部 | 裝置 |
| 0x12000002 | 全部 | path |
| 0x12000030 | 全部 | loadoptions |
| 0x16000010 | 全部 | bootdebug |
| 0x16000040 | 全部 | advancedoptions |
| 0x16000041 | 全部 | optionsedit |
| 0x16000048 | 全部 | nointegritychecks |
| 0x16000049 | 全部 | testsigning |
| 0x16000060 | 全部 | isolatedcontext |
| 0x1600007b | 全部 | forcefipscrypto |
| 0x22000002 | winload | systemroot |
| 0x22000011 | winload | 內核 |
| 0x22000012 | winload | 哈爾 |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | 偵錯 |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | filepath |
| 0x26000006 | winresume | debugoptionenabled |
已忽略 BCD 設定的易記名稱完整清單
下列清單是具有易記名稱的 BCD 設定完整清單,預設會忽略這些設定。 這些設定不是預設 BitLocker 驗證配置檔的一部分,但如果您在允許解除鎖定受 BitLocker 保護的操作系統磁碟驅動器之前,必須先驗證這些設定,就可以新增這些設定。
注意
有十六進位值但沒有易記名稱的其他 BCD 設定存在。 這些設定不包含在此清單中。
| 十六進位值 | 前綴 | 易記名稱 |
|---|---|---|
| 0x12000004 | 全部 | description |
| 0x12000005 | 全部 | 現場 |
| 0x12000016 | 全部 | targetname |
| 0x12000019 | 全部 | busparams |
| 0x1200001d | 全部 | key |
| 0x1200004a | 全部 | fontpath |
| 0x14000006 | 全部 | 繼承 |
| 0x14000008 | 全部 | recoverysequence |
| 0x15000007 | 全部 | truncatememory |
| 0x1500000c | 全部 | firstmegabytepolicy |
| 0x1500000d | 全部 | relocatephysical |
| 0x1500000e | 全部 | avoidlowmemory |
| 0x15000011 | 全部 | debugtype |
| 0x15000012 | 全部 | debugaddress |
| 0x15000013 | 全部 | debugport |
| 0x15000014 | 全部 | 傳輸 |
| 0x15000015 | 全部 | 通道 |
| 0x15000018 | 全部 | debugstart |
| 0x1500001a | 全部 | hostip |
| 0x1500001b | 全部 | 連接埠 |
| 0x15000022 | 全部 | emsport |
| 0x15000023 | 全部 | emsbaudrate |
| 0x15000042 | 全部 | keyringaddress |
| 0x15000047 | 全部 | configaccesspolicy |
| 0x1500004b | 全部 | integrityservices |
| 0x1500004c | 全部 | volumebandid |
| 0x15000051 | 全部 | initialconsoleinput |
| 0x15000052 | 全部 | graphicsresolution |
| 0x15000065 | 全部 | displaymessage |
| 0x15000066 | 全部 | displaymessageoverride |
| 0x15000081 | 全部 | logcontrol |
| 0x16000009 | 全部 | recoveryenabled |
| 0x1600000b | 全部 | badmemoryaccess |
| 0x1600000f | 全部 | traditionalkseg |
| 0x16000017 | 全部 | noumex |
| 0x1600001c | 全部 | Dhcp |
| 0x1600001e | 全部 | Vm |
| 0x16000020 | 全部 | bootems |
| 0x16000046 | 全部 | graphicsmodedisabled |
| 0x16000050 | 全部 | extendedinput |
| 0x16000053 | 全部 | restartonfailure |
| 0x16000054 | 全部 | highestmode |
| 0x1600006c | 全部 | bootuxdisabled |
| 0x16000072 | 全部 | nokeyboard |
| 0x16000074 | 全部 | bootshutdowndisabled |
| 0x1700000a | 全部 | badmemorylist |
| 0x17000077 | 全部 | allowedinmemorysettings |
| 0x22000040 | 全部 | fverecoveryurl |
| 0x22000041 | 全部 | fverecoverymessage |
| 0x31000003 | 全部 | ramdisksdidevice |
| 0x32000004 | 全部 | ramdisksdipath |
| 0x35000001 | 全部 | ramdiskimageoffset |
| 0x35000002 | 全部 | ramdisktftpclientport |
| 0x35000005 | 全部 | ramdiskimagelength |
| 0x35000007 | 全部 | ramdisktftpblocksize |
| 0x35000008 | 全部 | ramdisktftpwindowsize |
| 0x36000006 | 全部 | exportascd |
| 0x36000009 | 全部 | ramdiskmcenabled |
| 0x3600000a | 全部 | ramdiskmctftpfallback |
| 0x3600000b | 全部 | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | 微星 |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | hypervisorbaudrate |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | memtest | passcount |
| 0x25000002 | memtest | testmix |
| 0x25000005 | memtest | stridefailcount |
| 0x25000006 | memtest | invcfailcount |
| 0x25000007 | memtest | matsfailcount |
| 0x25000008 | memtest | randfailcount |
| 0x25000009 | memtest | chckrfailcount |
| 0x26000003 | memtest | cacheenable |
| 0x26000004 | memtest | failuresenabled |