BCD-Einstellungen und BitLocker
Dieses Thema für IT-Experten beschreibt die BCD-Einstellungen, die von BitLocker verwendet werden.
Beim Schutz von auf einem Betriebssystemvolume ruhenden Daten prüft BitLocker während des Startvorgangs, ob die sicherheitsempfindlichen Startkonfigurationseinstellungen (BCD) seit der letzten Aktivierung, Fortsetzung oder Wiederherstellung von BitLocker geändert wurden.
BitLocker und BCD-Einstellungen
In Windows 7 und Windows Server 2008 R2 überprüfte BitLocker fast alle BCD-Einstellungen mit Winload-, Winresume -und Memtest-Präfixen. Diese intensiven Validierungsvorgänge führten jedoch dazu, dass BitLocker auch bei nicht schädlichen Einstellungsänderungen in den Wiederherstellungsmodus wechselte, etwa bei der Anwendung eines Sprachpakets.
In Windows 8, Windows Server 2012 und höheren Betriebssystemen schränkt BitLocker den Satz von BCD-Einstellungen, die überprüft werden, ein, um die Gefahr zu reduzieren, dass nicht schädliche Änderungen zu BCD-Validierungsproblemen führen. Wenn Sie der Meinung sind, dass es riskant ist, eine bestimmte BCD-Einstellung aus dem Validierungsprofil auszuschließen, können Sie die Abdeckung der BCD-Validierung erhöhen, um Ihren Validierungspräferenzen zu entsprechen. Alternativ gilt: Wenn eine Standard-BCD-Einstellung ständig dazu führt, dass die Wiederherstellung für nicht schädliche Änderungen ausgelöst wird, können Sie die betreffende BCD-Einstellung aus dem Validierungsprofil ausschließen.
Wenn der sichere Start aktiviert ist
Computer mit UEFI-Firmware können den sicheren Start verwenden, um die Sicherheit beim Start zu erhöhen. Wenn BitLocker den sicheren Start für die Validierung der Plattform- und BCD-Integrität verwenden kann, wie durch die Gruppenrichtlinieneinstellung Sicheren Start für Integritätsüberprüfung zulassen definiert, wird die Gruppenrichtlinieneinstellung Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden ignoriert.
Einer der Vorteile der Verwendung des sicheren Starts besteht darin, dass damit BCD-Einstellungen während des Starts korrigiert werden können, ohne dass Wiederherstellungsereignisse ausgelöst werden. Der sichere Start erzwingt die gleichen BCD-Einstellungen wie BitLocker. Die BCD-Erzwingung beim sicheren Start kann nicht aus dem Betriebssystem heraus konfiguriert werden.
Anpassen der BCD-Validierungseinstellungen
Zur Änderung der BCD-Einstellungen, die BitLocker prüft, müssen IT-Spezialisten BCD-Einstellungen in das Plattformprüfungsprofil einfügen (oder daraus entfernen), indem sie die Gruppenrichtlinieneinstellung Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden aktivieren und konfigurieren.
Für die BitLocker-Prüfung sind BCD-Einstellungen mit einem bestimmten Satz von Microsoft-Startanwendungen verknüpft. BCD-Einstellungen sind entweder mit einer bestimmten Startanwendung verknüpft, oder sie gelten für alle Startanwendungen, wenn ein Präfix mit der in der Gruppenrichtlinieneinstellung eingegebenen BCD-Einstellung verknüpft ist. Zu den Präfixwerten gehören:
winload
winresume
memtest
all
Alle BCD-Einstellungen werden durch die Kombination des Präfixwerts mit einem hexadezimalen Wert (hex) oder einem „angezeigten Namen“ angegeben.
Der Hex-Wert der BCD-Einstellung wird angezeigt und im Ereignisprotokoll (Ereignis-ID 523) gespeichert, wenn BitLocker in den Wiederherstellungsmodus wechselt. Der Hex-Wert identifiziert eindeutig, welche BCD-Einstellung das Wiederherstellungsereignis verursacht hat.
Sie können die angezeigten Namen der BCD-Einstellungen auf Ihrem Computer schnell mit dem Befehl „bcdedit.exe /enum all“ finden.
Nicht alle BCD-Einstellungen haben angezeigte Namen; für diese ist der Hex-Wert die einzige Möglichkeit zur Konfiguration einer Ausschlussrichtlinie.
Verwenden Sie zum Angeben der BCD-Werte in der Gruppenrichtlinieneinstellung Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden die folgende Syntax:
Verwenden Sie das Startanwendungspräfix als Präfix für die Einstellung
Fügen Sie einen Doppelpunkt „:“ hinzu
Hängen Sie den Hex-Wert oder den angezeigten Namen an
Wenn Sie mehr als eine BCD-Einstellung eingeben, müssen Sie jede davon auf einer neuen Zeile eingeben
So führen etwa „winload:hypervisordebugport” oder „winload:0x250000f4” zum gleichen Wert.
Eine Einstellung, die für alle Startanwendungen gilt, kann auch für eine einzelne Anwendung verwendet werden, nicht aber umgekehrt. So können Sie etwa Folgendes angeben: „all:locale“ oder „winresume:locale“, da die BCD-Einstellung „win-pe“ aber nicht für alle Startanwendungen gilt, ist „winload:winpe“, „all:winpe“ jedoch nicht. Die Einstellung, die den Startdebugger steuert („bootdebug“ oder 0x16000010) wird immer überprüft und ist unwirksam, wenn Sie in den bereitgestellten Feldern enthalten ist.
Hinweis
Gehen Sie bei der Konfiguration der BCD-Einträge in der Gruppenrichtlinieneinstellung vorsichtig vor. Der Editor für lokale Gruppenrichtlinien überprüft die Richtigkeit des BCD-Eintrags nicht. BitLocker kann nicht aktiviert werden, wenn die angegebene Gruppenrichtlinie ungültig ist.
Standard-BCD-Validierungsprofil
Die folgende Tabelle enthält das Standard-BCD-Überprüfungsprofil, das BitLocker unter Windows 8, Windows Server 2012 und neueren Betriebssystemen verwendet:
| Hex-Wert | Präfix | Angezeigter Name |
|---|---|---|
0x11000001 |
all |
device |
0x12000002 |
all |
path |
0x12000030 |
all |
loadoptions |
0x16000010 |
all |
bootdebug |
0x16000040 |
all |
advancedoptions |
0x16000041 |
all |
optionsedit |
0x16000048 |
all |
nointegritychecks |
0x16000049 |
all |
testsigning |
0x16000060 |
all |
isolatedcontext |
0x1600007b |
all |
forcefipscrypto |
0x22000002 |
winload |
systemroot |
0x22000011 |
winload |
kernel |
0x22000012 |
winload |
hal |
0x22000053 |
winload |
evstore |
0x25000020 |
winload |
nx |
0x25000052 |
winload |
restrictapiccluster |
0x26000022 |
winload |
winpe |
0x26000025 |
winload |
lastknowngood |
0x26000081 |
winload |
safebootalternateshell |
0x260000a0 |
winload |
debug |
0x260000f2 |
winload |
hypervisordebug |
0x26000116 |
winload |
hypervisorusevapic |
0x21000001 |
winresume |
filedevice |
0x22000002 |
winresume |
filepath |
0x26000006 |
winresume |
debugoptionenabled |
Vollständige Liste der angezeigten Namen für ignorierte BCD-Einstellungen
Nachfolgend finden Sie eine vollständige Liste der BCD-Einstellungen mit angezeigten Namen, die standardmäßig ignoriert werden. Diese Einstellungen sind nicht Teil des BitLocker-Validierungsprofils. Sie können jedoch hinzugefügt werden, wenn Sie der Meinung sind, dass eine dieser Einstellung überprüft werden sollte, bevor ein von BitLocker geschütztes Betriebssystemlaufwerk entsperrt wird.
Hinweis
Es gibt weitere BCD-Einstellungen mit Hex-Werten, aber ohne angezeigte Namen. Diese Einstellungen sind in dieser Liste nicht enthalten.
| Hex-Wert | Präfix | Angezeigter Name |
|---|---|---|
0x12000004 |
all |
description |
0x12000005 |
all |
locale |
0x12000016 |
all |
targetname |
0x12000019 |
all |
busparams |
0x1200001d |
all |
key |
0x1200004a |
all |
fontpath |
0x14000006 |
all |
inherit |
0x14000008 |
all |
recoverysequence |
0x15000007 |
all |
truncatememory |
0x1500000c |
all |
firstmegabytepolicy |
0x1500000d |
all |
relocatephysical |
0x1500000e |
all |
avoidlowmemory |
0x15000011 |
all |
debugtype |
0x15000012 |
all |
debugaddress |
0x15000013 |
all |
debugport |
0x15000014 |
all |
baudrate |
0x15000015 |
all |
channel |
0x15000018 |
all |
debugstart |
0x1500001a |
all |
hostip |
0x1500001b |
all |
port |
0x15000022 |
all |
emsport |
0x15000023 |
all |
emsbaudrate |
0x15000042 |
all |
keyringaddress |
0x15000047 |
all |
configaccesspolicy |
0x1500004b |
all |
integrityservices |
0x1500004c |
all |
volumebandid |
0x15000051 |
all |
initialconsoleinput |
0x15000052 |
all |
graphicsresolution |
0x15000065 |
all |
displaymessage |
0x15000066 |
all |
displaymessageoverride |
0x16000009 |
all |
recoveryenabled |
0x1600000b |
all |
badmemoryaccess |
0x1600000f |
all |
traditionalkseg |
0x16000017 |
all |
noumex |
0x1600001c |
all |
dhcp |
0x1600001e |
all |
vm |
0x16000020 |
all |
bootems |
0x16000046 |
all |
graphicsmodedisabled |
0x16000050 |
all |
extendedinput |
0x16000053 |
all |
restartonfailure |
0x16000054 |
all |
highestmode |
0x1600006c |
all |
bootuxdisabled |
0x16000072 |
all |
nokeyboard |
0x16000074 |
all |
bootshutdowndisabled |
0x1700000a |
all |
badmemorylist |
0x17000077 |
all |
allowedinmemorysettings |
0x22000040 |
all |
fverecoveryurl |
0x22000041 |
all |
fverecoverymessage |
0x31000003 |
all |
ramdisksdidevice |
0x32000004 |
all |
ramdisksdipath |
0x35000001 |
all |
ramdiskimageoffset |
0x35000002 |
all |
ramdisktftpclientport |
0x35000005 |
all |
ramdiskimagelength |
0x35000007 |
all |
ramdisktftpblocksize |
0x35000008 |
all |
ramdisktftpwindowsize |
0x36000006 |
all |
exportascd |
0x36000009 |
all |
ramdiskmcenabled |
0x3600000a |
all |
ramdiskmctftpfallback |
0x3600000b |
all |
ramdisktftpvarwindow |
0x21000001 |
winload |
osdevice |
0x22000013 |
winload |
dbgtransport |
0x220000f9 |
winload |
hypervisorbusparams |
0x22000110 |
winload |
hypervisorusekey |
0x23000003 |
winload |
resumeobject |
0x25000021 |
winload |
pae |
0x25000031 |
winload |
removememory |
0x25000032 |
winload |
increaseuserva |
0x25000033 |
winload |
perfmem |
0x25000050 |
winload |
clustermodeaddressing |
0x25000055 |
winload |
x2apicpolicy |
0x25000061 |
winload |
numproc |
0x25000063 |
winload |
configflags |
0x25000066 |
winload |
groupsize |
0x25000071 |
winload |
msi |
0x25000072 |
winload |
pciexpress |
0x25000080 |
winload |
safeboot |
0x250000a6 |
winload |
tscsyncpolicy |
0x250000c1 |
winload |
driverloadfailurepolicy |
0x250000c2 |
winload |
bootmenupolicy |
0x250000e0 |
winload |
bootstatuspolicy |
0x250000f0 |
winload |
hypervisorlaunchtype |
0x250000f3 |
winload |
hypervisordebugtype |
0x250000f4 |
winload |
hypervisordebugport |
0x250000f5 |
winload |
hypervisorbaudrate |
0x250000f6 |
winload |
hypervisorchannel |
0x250000f7 |
winload |
bootux |
0x250000fa |
winload |
hypervisornumproc |
0x250000fb |
winload |
hypervisorrootprocpernode |
0x250000fd |
winload |
hypervisorhostip |
0x250000fe |
winload |
hypervisorhostport |
0x25000100 |
winload |
tpmbootentropy |
0x25000113 |
winload |
hypervisorrootproc |
0x25000115 |
winload |
hypervisoriommupolicy |
0x25000120 |
winload |
xsavepolicy |
0x25000121 |
winload |
xsaveaddfeature0 |
0x25000122 |
winload |
xsaveaddfeature1 |
0x25000123 |
winload |
xsaveaddfeature2 |
0x25000124 |
winload |
xsaveaddfeature3 |
0x25000125 |
winload |
xsaveaddfeature4 |
0x25000126 |
winload |
xsaveaddfeature5 |
0x25000127 |
winload |
xsaveaddfeature6 |
0x25000128 |
winload |
xsaveaddfeature7 |
0x25000129 |
winload |
xsaveremovefeature |
0x2500012a |
winload |
xsaveprocessorsmask |
0x2500012b |
winload |
xsavedisable |
0x25000130 |
winload |
claimedtpmcounter |
0x26000004 |
winload |
stampdisks |
0x26000010 |
winload |
detecthal |
0x26000024 |
winload |
nocrashautoreboot |
0x26000030 |
winload |
nolowmem |
0x26000040 |
winload |
vga |
0x26000041 |
winload |
quietboot |
0x26000042 |
winload |
novesa |
0x26000043 |
winload |
novga |
0x26000051 |
winload |
usephysicaldestination |
0x26000054 |
winload |
uselegacyapicmode |
0x26000060 |
winload |
onecpu |
0x26000062 |
winload |
maxproc |
0x26000064 |
winload |
maxgroup |
0x26000065 |
winload |
groupaware |
0x26000070 |
winload |
usefirmwarepcisettings |
0x26000090 |
winload |
bootlog |
0x26000091 |
winload |
sos |
0x260000a1 |
winload |
halbreakpoint |
0x260000a2 |
winload |
useplatformclock |
0x260000a3 |
winload |
forcelegacyplatform |
0x260000a4 |
winload |
useplatformtick |
0x260000a5 |
winload |
disabledynamictick |
0x260000b0 |
winload |
ems |
0x260000c3 |
winload |
onetimeadvancedoptions |
0x260000c4 |
winload |
onetimeoptionsedit |
0x260000e1 |
winload |
disableelamdrivers |
0x260000f8 |
winload |
hypervisordisableslat |
0x260000fc |
winload |
hypervisoruselargevtlb |
0x26000114 |
winload |
hypervisordhcp |
0x21000005 |
winresume |
associatedosdevice |
0x25000007 |
winresume |
bootux |
0x25000008 |
winresume |
bootmenupolicy |
0x26000003 |
winresume |
customsettings |
0x26000004 |
winresume |
pae |
0x25000001 |
memtest |
passcount |
0x25000002 |
memtest |
testmix |
0x25000005 |
memtest |
stridefailcount |
0x25000006 |
memtest |
invcfailcount |
0x25000007 |
memtest |
matsfailcount |
0x25000008 |
memtest |
randfailcount |
0x25000009 |
memtest |
chckrfailcount |
0x26000003 |
memtest |
cacheenable |
0x26000004 |
memtest |
failuresenabled |