Paramètres BCD et BitLocker
Cette rubrique destinée aux professionnels de l’informatique décrit les paramètres BCD utilisés par BitLocker.
Pour protéger les données au repos sur un volume de système d’exploitation, BitLocker vérifie au cours du processus de démarrage que les paramètres de données de configuration de démarrage (BCD) n’ont pas été modifiés depuis la dernière activation, reprise ou récupération de BitLocker.
BitLocker et paramètres BCD
Dans Windows 7 et Windows Server 2008 R2, BitLocker validait la quasi-totalité des paramètres BCD présentant les préfixes memtest, winresume et winload. Toutefois, ce niveau élevé de validation obligeait BitLocker à passer en mode de récupération pour les modifications de paramètres mineures, par exemple lors de l’application d’un module linguistique.
Dans Windows 8, Windows Server 2012 et les systèmes d’exploitation ultérieurs, BitLocker restreint l’ensemble de paramètres BCD validés pour réduire le risque de problèmes de validation BCD dus à des modifications mineures. Si vous pensez que l’exclusion d’un paramètre BCD particulier du profil de validation présente un risque, vous pouvez élargir le champ d’application de la validation BCD en fonction de vos préférences. À l’inverse, si un paramètre BCD par défaut déclenche constamment le mode de récupération pour des modifications mineures, vous pouvez l’exclure du profil de validation.
Lorsque le démarrage sécurisé est activé
Les ordinateurs dotés du microprogramme UEFI peuvent utiliser le démarrage sécurisé pour renforcer la sécurité au démarrage. Lorsque BitLocker peut utiliser le démarrage sécurisé pour la validation de l’intégrité de la plateforme et des paramètres BCD, ce qu’indique le paramètre de stratégie de groupe Autoriser le démarrage sécurisé pour la validation de l’intégrité, le paramètre de stratégie de groupe Utiliser un profil amélioré de validation des données de configuration de démarrage est ignoré.
L’utilisation du démarrage sécurisé a notamment pour avantage de permettre la correction des paramètres BCD au cours du démarrage sans déclencher d’événements de récupération. Le démarrage sécurisé applique les mêmes paramètres BCD que BitLocker. L’application des paramètres BCD par le démarrage sécurisé n’est pas configurable à partir du système d’exploitation.
Personnalisation des paramètres de validation BCD
Pour modifier les paramètres BCD validés par BitLocker, le professionnel de l’informatique ajoute ou exclut des paramètres BCD du profil de validation de plateforme en activant et en configurant le paramètre de stratégie de groupe Utiliser un profil amélioré de validation des données de configuration de démarrage.
Dans le cadre de la validation par BitLocker, les paramètres BCD sont associés à un ensemble spécifique d’applications de démarrage Microsoft. Les paramètres BCD sont soit associés à une application de démarrage spécifique, soit appliqués à toutes les applications de démarrage en associant un préfixe au paramètre BCD entré dans le paramètre de stratégie de groupe. Les valeurs de préfixe incluent :
winload
winresume
memtest
all
Tous les paramètres BCD sont spécifiés en combinant la valeur de préfixe avec une valeur hexadécimale ou avec un « nom convivial ».
La valeur hexadécimale du paramètre BCD est indiquée lorsque BitLocker passe en mode de récupération et est stockée dans le journal des événements (ID d’événement 523). La valeur hexadécimale identifie de manière unique le paramètre BCD ayant déclenché l’événement de récupération.
Vous pouvez obtenir rapidement le nom convivial des paramètres BCD sur votre ordinateur à l’aide de la commande « bcdedit.exe /enum all ».
Certains paramètres BCD ne sont pas associés à un nom convivial ; pour ces paramètres, la valeur hexadécimale est le seul moyen de configurer une stratégie d’exclusion.
Lorsque vous spécifiez les valeurs BCD dans le paramètre de stratégie de groupe Utiliser un profil amélioré de validation des données de configuration de démarrage, utilisez la syntaxe suivante :
Entrez le préfixe de l’application de démarrage à associer au paramètre.
Ajoutez un signe deux-points « : ».
Ajoutez la valeur hexadécimale ou le nom convivial du paramètre.
Si vous entrez plusieurs paramètres BCD, vous devez entrer chaque paramètre BCD sur une nouvelle ligne.
Par exemple, « winload:hypervisordebugport » et « winload:0x250000f4 » produisent la même valeur.
Un paramètre s’appliquant à toutes les applications de démarrage peut être appliqué à une application individuelle, mais l’inverse n’est pas vrai. Par exemple, il est possible de spécifier « all:locale » ou « winresume:locale », mais comme le paramètre BCD « win-pe » ne s’applique pas à toutes les applications de démarrage, « winload:winpe » est valide, mais « all:winpe » ne l’est pas. Le paramètre qui contrôle le débogage de démarrage (« bootdebug » ou 0x16000010) est toujours validé et n’a aucun effet s’il est inclus dans les champs fournis.
Remarque
Faites attention lors de la configuration des entrées BCD dans le paramètre de stratégie de groupe. L’Éditeur de stratégie de groupe locale ne vérifie pas si les entrées BCD sont correctes. BitLocker ne pourra pas être activé si le paramètre de stratégie de groupe spécifié n’est pas valide.
Profil de validation BCD par défaut
Le tableau suivant présente le profil de validation BCD par défaut utilisé par BitLocker dans Windows 8, Windows Server 2012 et les systèmes d’exploitation ultérieurs :
| Valeur hexadécimale | Préfixe | Nom convivial |
|---|---|---|
0x11000001 |
all |
device |
0x12000002 |
all |
path |
0x12000030 |
all |
loadoptions |
0x16000010 |
all |
bootdebug |
0x16000040 |
all |
advancedoptions |
0x16000041 |
all |
optionsedit |
0x16000048 |
all |
nointegritychecks |
0x16000049 |
all |
testsigning |
0x16000060 |
all |
isolatedcontext |
0x1600007b |
all |
forcefipscrypto |
0x22000002 |
winload |
systemroot |
0x22000011 |
winload |
kernel |
0x22000012 |
winload |
hal |
0x22000053 |
winload |
evstore |
0x25000020 |
winload |
nx |
0x25000052 |
winload |
restrictapiccluster |
0x26000022 |
winload |
winpe |
0x26000025 |
winload |
lastknowngood |
0x26000081 |
winload |
safebootalternateshell |
0x260000a0 |
winload |
debug |
0x260000f2 |
winload |
hypervisordebug |
0x26000116 |
winload |
hypervisorusevapic |
0x21000001 |
winresume |
filedevice |
0x22000002 |
winresume |
filepath |
0x26000006 |
winresume |
debugoptionenabled |
Liste complète de noms conviviaux pour les paramètres BCD ignorés
Le tableau suivant répertorie tous les paramètres BCD associés à un nom convivial qui sont ignorés par défaut. Ces paramètres ne font pas partie du profil de validation par défaut de BitLocker, mais peuvent être ajoutés si leur validation s’avère nécessaire avant d’autoriser le déverrouillage d’un lecteur de système d’exploitation protégé par BitLocker.
Remarque
Il existe d’autres paramètres BCD qui présentent une valeur hexadécimale mais ne sont pas associés à un nom convivial. Ces paramètres ne sont pas inclus dans cette liste.
| Valeur hexadécimale | Préfixe | Nom convivial |
|---|---|---|
0x12000004 |
all |
description |
0x12000005 |
all |
locale |
0x12000016 |
all |
targetname |
0x12000019 |
all |
busparams |
0x1200001d |
all |
key |
0x1200004a |
all |
fontpath |
0x14000006 |
all |
inherit |
0x14000008 |
all |
recoverysequence |
0x15000007 |
all |
truncatememory |
0x1500000c |
all |
firstmegabytepolicy |
0x1500000d |
all |
relocatephysical |
0x1500000e |
all |
avoidlowmemory |
0x15000011 |
all |
debugtype |
0x15000012 |
all |
debugaddress |
0x15000013 |
all |
debugport |
0x15000014 |
all |
baudrate |
0x15000015 |
all |
channel |
0x15000018 |
all |
debugstart |
0x1500001a |
all |
hostip |
0x1500001b |
all |
port |
0x15000022 |
all |
emsport |
0x15000023 |
all |
emsbaudrate |
0x15000042 |
all |
keyringaddress |
0x15000047 |
all |
configaccesspolicy |
0x1500004b |
all |
integrityservices |
0x1500004c |
all |
volumebandid |
0x15000051 |
all |
initialconsoleinput |
0x15000052 |
all |
graphicsresolution |
0x15000065 |
all |
displaymessage |
0x15000066 |
all |
displaymessageoverride |
0x16000009 |
all |
recoveryenabled |
0x1600000b |
all |
badmemoryaccess |
0x1600000f |
all |
traditionalkseg |
0x16000017 |
all |
noumex |
0x1600001c |
all |
dhcp |
0x1600001e |
all |
vm |
0x16000020 |
all |
bootems |
0x16000046 |
all |
graphicsmodedisabled |
0x16000050 |
all |
extendedinput |
0x16000053 |
all |
restartonfailure |
0x16000054 |
all |
highestmode |
0x1600006c |
all |
bootuxdisabled |
0x16000072 |
all |
nokeyboard |
0x16000074 |
all |
bootshutdowndisabled |
0x1700000a |
all |
badmemorylist |
0x17000077 |
all |
allowedinmemorysettings |
0x22000040 |
all |
fverecoveryurl |
0x22000041 |
all |
fverecoverymessage |
0x31000003 |
all |
ramdisksdidevice |
0x32000004 |
all |
ramdisksdipath |
0x35000001 |
all |
ramdiskimageoffset |
0x35000002 |
all |
ramdisktftpclientport |
0x35000005 |
all |
ramdiskimagelength |
0x35000007 |
all |
ramdisktftpblocksize |
0x35000008 |
all |
ramdisktftpwindowsize |
0x36000006 |
all |
exportascd |
0x36000009 |
all |
ramdiskmcenabled |
0x3600000a |
all |
ramdiskmctftpfallback |
0x3600000b |
all |
ramdisktftpvarwindow |
0x21000001 |
winload |
osdevice |
0x22000013 |
winload |
dbgtransport |
0x220000f9 |
winload |
hypervisorbusparams |
0x22000110 |
winload |
hypervisorusekey |
0x23000003 |
winload |
resumeobject |
0x25000021 |
winload |
pae |
0x25000031 |
winload |
removememory |
0x25000032 |
winload |
increaseuserva |
0x25000033 |
winload |
perfmem |
0x25000050 |
winload |
clustermodeaddressing |
0x25000055 |
winload |
x2apicpolicy |
0x25000061 |
winload |
numproc |
0x25000063 |
winload |
configflags |
0x25000066 |
winload |
groupsize |
0x25000071 |
winload |
msi |
0x25000072 |
winload |
pciexpress |
0x25000080 |
winload |
safeboot |
0x250000a6 |
winload |
tscsyncpolicy |
0x250000c1 |
winload |
driverloadfailurepolicy |
0x250000c2 |
winload |
bootmenupolicy |
0x250000e0 |
winload |
bootstatuspolicy |
0x250000f0 |
winload |
hypervisorlaunchtype |
0x250000f3 |
winload |
hypervisordebugtype |
0x250000f4 |
winload |
hypervisordebugport |
0x250000f5 |
winload |
hypervisorbaudrate |
0x250000f6 |
winload |
hypervisorchannel |
0x250000f7 |
winload |
bootux |
0x250000fa |
winload |
hypervisornumproc |
0x250000fb |
winload |
hypervisorrootprocpernode |
0x250000fd |
winload |
hypervisorhostip |
0x250000fe |
winload |
hypervisorhostport |
0x25000100 |
winload |
tpmbootentropy |
0x25000113 |
winload |
hypervisorrootproc |
0x25000115 |
winload |
hypervisoriommupolicy |
0x25000120 |
winload |
xsavepolicy |
0x25000121 |
winload |
xsaveaddfeature0 |
0x25000122 |
winload |
xsaveaddfeature1 |
0x25000123 |
winload |
xsaveaddfeature2 |
0x25000124 |
winload |
xsaveaddfeature3 |
0x25000125 |
winload |
xsaveaddfeature4 |
0x25000126 |
winload |
xsaveaddfeature5 |
0x25000127 |
winload |
xsaveaddfeature6 |
0x25000128 |
winload |
xsaveaddfeature7 |
0x25000129 |
winload |
xsaveremovefeature |
0x2500012a |
winload |
xsaveprocessorsmask |
0x2500012b |
winload |
xsavedisable |
0x25000130 |
winload |
claimedtpmcounter |
0x26000004 |
winload |
stampdisks |
0x26000010 |
winload |
detecthal |
0x26000024 |
winload |
nocrashautoreboot |
0x26000030 |
winload |
nolowmem |
0x26000040 |
winload |
vga |
0x26000041 |
winload |
quietboot |
0x26000042 |
winload |
novesa |
0x26000043 |
winload |
novga |
0x26000051 |
winload |
usephysicaldestination |
0x26000054 |
winload |
uselegacyapicmode |
0x26000060 |
winload |
onecpu |
0x26000062 |
winload |
maxproc |
0x26000064 |
winload |
maxgroup |
0x26000065 |
winload |
groupaware |
0x26000070 |
winload |
usefirmwarepcisettings |
0x26000090 |
winload |
bootlog |
0x26000091 |
winload |
sos |
0x260000a1 |
winload |
halbreakpoint |
0x260000a2 |
winload |
useplatformclock |
0x260000a3 |
winload |
forcelegacyplatform |
0x260000a4 |
winload |
useplatformtick |
0x260000a5 |
winload |
disabledynamictick |
0x260000b0 |
winload |
ems |
0x260000c3 |
winload |
onetimeadvancedoptions |
0x260000c4 |
winload |
onetimeoptionsedit |
0x260000e1 |
winload |
disableelamdrivers |
0x260000f8 |
winload |
hypervisordisableslat |
0x260000fc |
winload |
hypervisoruselargevtlb |
0x26000114 |
winload |
hypervisordhcp |
0x21000005 |
winresume |
associatedosdevice |
0x25000007 |
winresume |
bootux |
0x25000008 |
winresume |
bootmenupolicy |
0x26000003 |
winresume |
customsettings |
0x26000004 |
winresume |
pae |
0x25000001 |
memtest |
passcount |
0x25000002 |
memtest |
testmix |
0x25000005 |
memtest |
stridefailcount |
0x25000006 |
memtest |
invcfailcount |
0x25000007 |
memtest |
matsfailcount |
0x25000008 |
memtest |
randfailcount |
0x25000009 |
memtest |
chckrfailcount |
0x26000003 |
memtest |
cacheenable |
0x26000004 |
memtest |
failuresenabled |