Configuraciones de BCD y BitLocker
En este tema para profesionales de TI se describe la configuración de BCD que usa BitLocker.
Al proteger los datos en reposo en un volumen del sistema operativo, durante el proceso de arranque BitLocker comprueba que los ajustes de los datos de seguridad de la configuración de arranque no han cambiado desde la última vez que se habilitó, se reanudó o se recuperó BitLocker.
Configuraciones de BCD y BitLocker
En Windows 7 y Windows Server 2008 R2, BitLocker validó casi toda la configuración de BCD con los prefijos winload, winresume y memtest. Sin embargo, este alto grado de validación provocó que BitLocker entrase en el modo de recuperación para cambios de configuración no dañinos, por ejemplo, al aplicar un paquete de idiomas BitLocker entraría en recuperación.
En Windows 8, Windows Server 2012 y sistemas operativos posteriores BitLocker limita el conjunto de configuraciones de BCD validados para reducir la posibilidad de cambios no dañinos que causan un problema de validación de BCD. Si crees que existe un riesgo de exclusión de una determinada configuración de BCD desde el perfil de validación, puedes aumentar la cobertura de validación de BCD según tus preferencias de validación. Como alternativa, si una configuración de BCD predeterminada desencadena de forma persistente la recuperación de cambios no dañinos, entonces puedes excluir esa configuración de BCD desde el perfil de validación.
Cuando el arranque seguro está habilitado
Los equipos con firmware de UEFI pueden usar el Arranque seguro para proporcionar seguridad de arranque mejorada. Cuando BitLocker es capaz de usar el Arranque seguro para la validación de la integridad de BCD y de la plataforma, como se define en la configuración de la directiva de grupo Permitir Arranque seguro para validación de la integridad, la directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorado se omite.
Una de las ventajas de usar el Arranque seguro es que puede corregir la configuración de BCD durante el arranque sin desencadenar eventos de recuperación. El Arranque seguro aplica la misma configuración de BCD que BitLocker. La aplicación de los BCD del Arranque seguro no es configurable desde dentro del sistema operativo.
Personalización de la configuración de validación de BCD
Para modificar la configuración de BCD que BitLocker valida, los profesionales de TI agregarán o excluirán la configuración de BCD del perfil de validación de la plataforma habilitando y ajustando la configuración de directiva de grupo Usar el perfil de validación de datos de configuración de arranque mejorado.
Para fines de validación de BitLocker, la configuración de BCD está asociada a un conjunto específico de aplicaciones de arranque de Microsoft. La configuración de BCD se asocia a una aplicación de arranque específica o se puede aplicar a todas las aplicaciones de arranque mediante la asociación de un prefijo a la configuración de BCD especificado en la configuración de directiva de grupo. Los valores de prefijo incluyen:
winload
winresume
memtest
all
Todas las configuraciones de BCD se especifican combinando el valor del prefijo con un valor hexadecimal (hex) o "nombre descriptivo".
El valor hexadecimal de configuración de BCD se notifica cuando BitLocker entra en modo de recuperación y se almacena en el registro de eventos (Id. de evento 523). El valor hexadecimal identifica de forma única qué configuración de BCD provocó el evento de recuperación.
Puedes obtener rápidamente el nombre descriptivo de configuración de BCD en el equipo mediante el comando "bcdedit.exe /enum all
".
No todas las configuraciones de BCD tienen nombres descriptivos; para esas configuraciones el valor hexadecimal es la única forma de configurar una directiva de exclusión.
Al especificar valores de BCD en la configuración de la Directiva de grupo Usar el perfil de validación de datos de configuración de arranque mejorado, usa la sintaxis siguiente:
Prefija la configuración con el prefijo de la aplicación de arranque
Anexa dos puntos ":"
Anexar el valor hexadecimal o el nombre descriptivo
Si escribes más de una configuración de BCD, tendrás que escribir cada configuración de BCD en una nueva línea
Por ejemplo, "winload:hypervisordebugport
"o"winload:0x250000f4
" producen el mismo valor.
La configuración que se aplica a todas las aplicaciones de arranque solo se puede aplicar a una aplicación individual, pero no ocurre lo contrario. Por ejemplo, una puede especificar: "all:locale
"o"winresume:locale
", pero como la configuración de bcd "win-pe
"no se aplica a todas las aplicaciones de arranque,"winload:winpe
" es válida, pero "all:winpe
" no lo es. La configuración que controla la depuración de arranque ("bootdebug
" o 0x16000010) siempre se validará y carecerá de efecto si se incluye en los campos proporcionados.
Nota
Ten cuidado al configurar las entradas de BCD en la configuración de directiva de grupo. El Editor de directivas de grupo local no valida la exactitud de la entrada de BCD. BitLocker no podrá habilitarse si la configuración de la directiva de grupo especificada no es válida.
Perfil de validación de BCD predeterminado
La tabla siguiente contiene el perfil de validación de BCD predeterminado usado por BitLocker en Windows 8, Windows Server 2012 y sistemas operativos posteriores:
Valor hexadecimal | Prefijo | Nombre descriptivo |
---|---|---|
0x11000001 |
all |
dispositivo |
0x12000002 |
all |
ruta de acceso |
0x12000030 |
all |
loadoptions |
0x16000010 |
all |
bootdebug |
0x16000040 |
all |
advancedoptions |
0x16000041 |
all |
optionsedit |
0x16000048 |
all |
nointegritychecks |
0x16000049 |
all |
testsigning |
0x16000060 |
all |
isolatedcontext |
0x1600007b |
all |
forcefipscrypto |
0x22000002 |
winload |
systemroot |
0x22000011 |
winload |
kernel |
0x22000012 |
winload |
hal |
0x22000053 |
winload |
evstore |
0x25000020 |
winload |
nx |
0x25000052 |
winload |
restrictapiccluster |
0x26000022 |
winload |
winpe |
0x26000025 |
winload |
lastknowngood |
0x26000081 |
winload |
safebootalternateshell |
0x260000a0 |
winload |
depurar |
0x260000f2 |
winload |
hypervisordebug |
0x26000116 |
winload |
hypervisorusevapic |
0x21000001 |
winresume |
filedevice |
0x22000002 |
winresume |
filepath |
0x26000006 |
winresume |
debugoptionenabled |
Lista completa de nombres descriptivos para configuraciones de BCD omitidas
A continuación figura una lista completa de configuraciones de BCD con nombres descriptivos que se omiten de manera predeterminada. Estas configuraciones no forman parte del perfil de validación predeterminado de BitLocker, pero pueden agregarse si ves necesidad de validar cualquiera de estas opciones de configuración antes de permitir el desbloqueo de una unidad de sistema operativo protegida con BitLocker.
Nota
Existen configuraciones de BCD adicionales que tienen valores hexadecimales pero no nombres descriptivos. Estas configuraciones no se incluyen en esta lista.
Valor hexadecimal | Prefijo | Nombre descriptivo |
---|---|---|
0x12000004 |
all |
descripción |
0x12000005 |
all |
configuración regional |
0x12000016 |
all |
targetname |
0x12000019 |
all |
busparams |
0x1200001d |
all |
clave |
0x1200004a |
all |
fontpath |
0x14000006 |
all |
heredar |
0x14000008 |
all |
recoverysequence |
0x15000007 |
all |
truncatememory |
0x1500000c |
all |
firstmegabytepolicy |
0x1500000d |
all |
relocatephysical |
0x1500000e |
all |
avoidlowmemory |
0x15000011 |
all |
debugtype |
0x15000012 |
all |
debugaddress |
0x15000013 |
all |
puerto de depuración |
0x15000014 |
all |
velocidad en baudios |
0x15000015 |
all |
canal |
0x15000018 |
all |
debugstart |
0x1500001a |
all |
hostip |
0x1500001b |
all |
puerto |
0x15000022 |
all |
emsport |
0x15000023 |
all |
emsbaudrate |
0x15000042 |
all |
keyringaddress |
0x15000047 |
all |
configaccesspolicy |
0x1500004b |
all |
integrityservices |
0x1500004c |
all |
volumebandid |
0x15000051 |
all |
initialconsoleinput |
0x15000052 |
all |
graphicsresolution |
0x15000065 |
all |
displaymessage |
0x15000066 |
all |
displaymessageoverride |
0x16000009 |
all |
recoveryenabled |
0x1600000b |
all |
badmemoryaccess |
0x1600000f |
all |
traditionalkseg |
0x16000017 |
all |
noumex |
0x1600001c |
all |
dhcp |
0x1600001e |
all |
vm |
0x16000020 |
all |
bootems |
0x16000046 |
all |
graphicsmodedisabled |
0x16000050 |
all |
extendedinput |
0x16000053 |
all |
restartonfailure |
0x16000054 |
all |
highestmode |
0x1600006c |
all |
bootuxdisabled |
0x16000072 |
all |
nokeyboard |
0x16000074 |
all |
bootshutdowndisabled |
0x1700000a |
all |
badmemorylist |
0x17000077 |
all |
allowedinmemorysettings |
0x22000040 |
all |
fverecoveryurl |
0x22000041 |
all |
fverecoverymessage |
0x31000003 |
all |
ramdisksdidevice |
0x32000004 |
all |
ramdisksdipath |
0x35000001 |
all |
ramdiskimageoffset |
0x35000002 |
all |
ramdisktftpclientport |
0x35000005 |
all |
ramdiskimagelength |
0x35000007 |
all |
ramdisktftpblocksize |
0x35000008 |
all |
ramdisktftpwindowsize |
0x36000006 |
all |
exportascd |
0x36000009 |
all |
ramdiskmcenabled |
0x3600000a |
all |
ramdiskmctftpfallback |
0x3600000b |
all |
ramdisktftpvarwindow |
0x21000001 |
winload |
osdevice |
0x22000013 |
winload |
dbgtransport |
0x220000f9 |
winload |
hypervisorbusparams |
0x22000110 |
winload |
hypervisorusekey |
0x23000003 |
winload |
resumeobject |
0x25000021 |
winload |
pae |
0x25000031 |
winload |
removememory |
0x25000032 |
winload |
increaseuserva |
0x25000033 |
winload |
perfmem |
0x25000050 |
winload |
clustermodeaddressing |
0x25000055 |
winload |
x2apicpolicy |
0x25000061 |
winload |
numproc |
0x25000063 |
winload |
configflags |
0x25000066 |
winload |
groupsize |
0x25000071 |
winload |
msi |
0x25000072 |
winload |
pciexpress |
0x25000080 |
winload |
safeboot |
0x250000a6 |
winload |
tscsyncpolicy |
0x250000c1 |
winload |
driverloadfailurepolicy |
0x250000c2 |
winload |
bootmenupolicy |
0x250000e0 |
winload |
bootstatuspolicy |
0x250000f0 |
winload |
hypervisorlaunchtype |
0x250000f3 |
winload |
hypervisordebugtype |
0x250000f4 |
winload |
hypervisordebugport |
0x250000f5 |
winload |
hypervisorbaudrate |
0x250000f6 |
winload |
hypervisorchannel |
0x250000f7 |
winload |
bootux |
0x250000fa |
winload |
hypervisornumproc |
0x250000fb |
winload |
hypervisorrootprocpernode |
0x250000fd |
winload |
hypervisorhostip |
0x250000fe |
winload |
hypervisorhostport |
0x25000100 |
winload |
tpmbootentropy |
0x25000113 |
winload |
hypervisorrootproc |
0x25000115 |
winload |
hypervisoriommupolicy |
0x25000120 |
winload |
xsavepolicy |
0x25000121 |
winload |
xsaveaddfeature0 |
0x25000122 |
winload |
xsaveaddfeature1 |
0x25000123 |
winload |
xsaveaddfeature2 |
0x25000124 |
winload |
xsaveaddfeature3 |
0x25000125 |
winload |
xsaveaddfeature4 |
0x25000126 |
winload |
xsaveaddfeature5 |
0x25000127 |
winload |
xsaveaddfeature6 |
0x25000128 |
winload |
xsaveaddfeature7 |
0x25000129 |
winload |
xsaveremovefeature |
0x2500012a |
winload |
xsaveprocessorsmask |
0x2500012b |
winload |
xsavedisable |
0x25000130 |
winload |
claimedtpmcounter |
0x26000004 |
winload |
stampdisks |
0x26000010 |
winload |
detecthal |
0x26000024 |
winload |
nocrashautoreboot |
0x26000030 |
winload |
nolowmem |
0x26000040 |
winload |
vga |
0x26000041 |
winload |
quietboot |
0x26000042 |
winload |
novesa |
0x26000043 |
winload |
novga |
0x26000051 |
winload |
usephysicaldestination |
0x26000054 |
winload |
uselegacyapicmode |
0x26000060 |
winload |
onecpu |
0x26000062 |
winload |
maxproc |
0x26000064 |
winload |
maxgroup |
0x26000065 |
winload |
groupaware |
0x26000070 |
winload |
usefirmwarepcisettings |
0x26000090 |
winload |
bootlog |
0x26000091 |
winload |
sos |
0x260000a1 |
winload |
halbreakpoint |
0x260000a2 |
winload |
useplatformclock |
0x260000a3 |
winload |
forcelegacyplatform |
0x260000a4 |
winload |
useplatformtick |
0x260000a5 |
winload |
disabledynamictick |
0x260000b0 |
winload |
ems |
0x260000c3 |
winload |
onetimeadvancedoptions |
0x260000c4 |
winload |
onetimeoptionsedit |
0x260000e1 |
winload |
disableelamdrivers |
0x260000f8 |
winload |
hypervisordisableslat |
0x260000fc |
winload |
hypervisoruselargevtlb |
0x26000114 |
winload |
hypervisordhcp |
0x21000005 |
winresume |
associatedosdevice |
0x25000007 |
winresume |
bootux |
0x25000008 |
winresume |
bootmenupolicy |
0x26000003 |
winresume |
customsettings |
0x26000004 |
winresume |
pae |
0x25000001 |
memtest |
passcount |
0x25000002 |
memtest |
testmix |
0x25000005 |
memtest |
stridefailcount |
0x25000006 |
memtest |
invcfailcount |
0x25000007 |
memtest |
matsfailcount |
0x25000008 |
memtest |
randfailcount |
0x25000009 |
memtest |
chckrfailcount |
0x26000003 |
memtest |
cacheenable |
0x26000004 |
memtest |
failuresenabled |