Параметры данных конфигурации загрузки и BitLocker

Этот раздел предназначен для ИТ-специалистов и посвящен описанию параметров данных конфигурации загрузки, которые используются BitLocker.

При защите данных, расположенных в томе операционной системы, во время загрузки BitLocker проверяет, не были ли изменены уязвимые к угрозам безопасности параметры данных конфигурации загрузки с момента последнего запуска, возобновления или восстановления BitLocker.

BitLocker и параметры данных конфигурации загрузки

В ОС Windows 7 и Windows Server 2008 R2 BitLocker проверял практически все параметры данных конфигурации загрузки с префиксами winload, winresume и memtest. Однако столь высокая степень проверки приводила к переходу BitLocker в режим восстановления из-за неопасных изменений параметров, например при применении языкового пакета.

В Windows 8, Windows Server 2012 и последующих операционных системах BitLocker сокращает набор проверяемых параметров данных конфигурации загрузки с целью снижения вероятности возникновения проблем с проверкой данных конфигурации загрузки из-за неопасных изменений. Если вы считаете, что существует определенный риск в случае исключения того или иного параметра данных конфигурации загрузки из профиля проверки, можно расширить область проверки данных конфигурации загрузки в соответствии со своими предпочтениями. Кроме того, если параметр данных конфигурации загрузки по умолчанию постоянно приводит к переходу в режим восстановления из-за неопасных изменений, можно исключить этот параметр данных конфигурации загрузки из профиля проверки.

Если включена безопасная загрузка

Компьютеры со встроенным ПО UEFI могут использовать безопасную загрузку для повышения безопасности во время загрузки. Если BitLocker может использовать безопасную загрузку для проверки целостности платформы и данных конфигурации загрузки в соответствии с параметром групповой политики Разрешить защищенную загрузку для проверки целостности, параметр групповой политики Использовать улучшенный профиль проверки данных конфигурации загрузки игнорируется.

Одним из преимуществ использования безопасной загрузки является возможность коррекции параметров данных конфигурации загрузки во время загрузки без срабатывания перехода в режим восстановления. Безопасная загрузка применяет те же параметры данных конфигурации загрузки, что и BitLocker. Применение данных конфигурации загрузки во время безопасной загрузки не настраивается в операционной системе.

Настройка параметров проверки данных конфигурации загрузки

Чтобы изменить параметры данных конфигурации загрузки, которые проверяет BitLocker, ИТ-специалист должен добавить или исключить соответствующие параметры данных конфигурации загрузки в профиле проверки платформы, включив и настроив для этого параметр групповой политики Использовать улучшенный профиль проверки данных конфигурации загрузки.

В целях проверки BitLocker параметры данных конфигурации загрузки связываются с определенным набором приложений загрузки Майкрософт. Параметры данных конфигурации загрузки либо сопоставляются с определенным приложением загрузки, либо могут применяться ко всем приложениям загрузки путем сопоставления префикса с параметром данных конфигурации загрузки, указанным в параметре групповой политики. Значения префиксов приведены ниже.

  • winload

  • winresume

  • memtest

  • all

Все параметры данных конфигурации загрузки указываются путем объединения значения префикса или с шестнадцатеричным значением, или с понятным именем.

Шестнадцатеричное значение параметра данных конфигурации загрузки сообщается при переходе BitLocker в режим восстановления и сохраняется в журнале событий (событие с ИД 523). Шестнадцатеричное значение уникальным образом указывает, какой параметр данных конфигурации загрузки привел к возникновению события восстановления.

Понятные имена параметров данных конфигурации загрузки можно быстро получить на компьютере с помощью команды bcdedit.exe /enum all.

Не все параметры данных конфигурации загрузки имеют понятные имена; для некоторых параметров шестнадцатеричное значение является единственным способом настройки политики исключений.

При указании значений данных конфигурации загрузки в параметре групповой политики Использовать улучшенный профиль проверки данных конфигурации загрузки необходимо придерживаться следующего синтаксиса.

  • Параметру должен предшествовать префикс приложения загрузки

  • Далее следует добавить двоеточие «:»

  • После этого добавьте или шестнадцатеричное значение, или понятное имя

  • При указании нескольких параметров данных конфигурации загрузки необходимо указывать каждый параметр в отдельной строке

Например, «winload:hypervisordebugport» и «winload:0x250000f4» соответствуют одному и тому же значению.

Параметр, который применяется ко всем приложениям загрузки, может быть применен к отдельному приложению, однако обратное неверно. Например, можно указать или «all:locale», или «winresume:locale», однако, поскольку параметр данных конфигурации загрузки «win-pe» не применяется ко всем приложениям загрузки, запись «winload:winpe» является допустимой, но запись «all:winpe» не является допустимой. Параметр, который управляет отладкой загрузки (bootdebug, или 0x16000010), всегда будет проверяться и не будет оказывать никакого влияния, если он включен в предоставленные поля.

Примечание  

Следует проявлять осторожность при настройке записей данных конфигурации загрузки в параметре групповой политике. Редактор локальных групповых политик не проверяет правильность записи данных конфигурации загрузки. BitLocker не сможет запуститься, если указанный параметр групповой политики является недопустимым.

 

Профиль проверки данных конфигурации загрузки по умолчанию

В следующей таблице содержится профиль проверки данных конфигурации загрузки по умолчанию, который используется BitLocker в Windows 8, Windows Server 2012 и последующих операционных системах.

Шестнадцатеричное значениеПрефиксПонятное имя

0x11000001

all

device

0x12000002

all

path

0x12000030

all

loadoptions

0x16000010

all

bootdebug

0x16000040

all

advancedoptions

0x16000041

all

optionsedit

0x16000048

all

nointegritychecks

0x16000049

all

testsigning

0x16000060

all

isolatedcontext

0x1600007b

all

forcefipscrypto

0x22000002

winload

systemroot

0x22000011

winload

kernel

0x22000012

winload

hal

0x22000053

winload

evstore

0x25000020

winload

nx

0x25000052

winload

restrictapiccluster

0x26000022

winload

winpe

0x26000025

winload

lastknowngood

0x26000081

winload

safebootalternateshell

0x260000a0

winload

debug

0x260000f2

winload

hypervisordebug

0x26000116

winload

hypervisorusevapic

0x21000001

winresume

filedevice

0x22000002

winresume

filepath

0x26000006

winresume

debugoptionenabled

 

Полный список понятных имен игнорируемых параметров данных конфигурации загрузки

Далее приводится полный список параметров данных конфигурации загрузки с понятными именами, которые игнорируются по умолчанию. Эти параметры не являются частью профиля проверки BitLocker по умолчанию, но могут быть добавлены, если необходимо проверить любые из этих параметров, прежде чем разрешить разблокировку диска с операционной системой, защищенной Bitlocker.

Примечание  

Существуют дополнительные параметры данных конфигурации загрузки, которые имеют шестнадцатеричные значения, но не имеют понятных имен. Эти параметры не включены в данный список.

 
Шестнадцатеричное значениеПрефиксПонятное имя

0x12000004

all

description

0x12000005

all

locale

0x12000016

all

targetname

0x12000019

all

busparams

0x1200001d

all

key

0x1200004a

all

fontpath

0x14000006

all

inherit

0x14000008

all

recoverysequence

0x15000007

all

truncatememory

0x1500000c

all

firstmegabytepolicy

0x1500000d

all

relocatephysical

0x1500000e

all

avoidlowmemory

0x15000011

all

debugtype

0x15000012

all

debugaddress

0x15000013

all

debugport

0x15000014

all

baudrate

0x15000015

all

channel

0x15000018

all

debugstart

0x1500001a

all

hostip

0x1500001b

all

port

0x15000022

all

emsport

0x15000023

all

emsbaudrate

0x15000042

all

keyringaddress

0x15000047

all

configaccesspolicy

0x1500004b

all

integrityservices

0x1500004c

all

volumebandid

0x15000051

all

initialconsoleinput

0x15000052

all

graphicsresolution

0x15000065

all

displaymessage

0x15000066

all

displaymessageoverride

0x16000009

all

recoveryenabled

0x1600000b

all

badmemoryaccess

0x1600000f

all

traditionalkseg

0x16000017

all

noumex

0x1600001c

all

dhcp

0x1600001e

all

vm

0x16000020

all

bootems

0x16000046

all

graphicsmodedisabled

0x16000050

all

extendedinput

0x16000053

all

restartonfailure

0x16000054

all

highestmode

0x1600006c

all

bootuxdisabled

0x16000072

all

nokeyboard

0x16000074

all

bootshutdowndisabled

0x1700000a

all

badmemorylist

0x17000077

all

allowedinmemorysettings

0x22000040

all

fverecoveryurl

0x22000041

all

fverecoverymessage

0x31000003

all

ramdisksdidevice

0x32000004

all

ramdisksdipath

0x35000001

all

ramdiskimageoffset

0x35000002

all

ramdisktftpclientport

0x35000005

all

ramdiskimagelength

0x35000007

all

ramdisktftpblocksize

0x35000008

all

ramdisktftpwindowsize

0x36000006

all

exportascd

0x36000009

all

ramdiskmcenabled

0x3600000a

all

ramdiskmctftpfallback

0x3600000b

all

ramdisktftpvarwindow

0x21000001

winload

osdevice

0x22000013

winload

dbgtransport

0x220000f9

winload

hypervisorbusparams

0x22000110

winload

hypervisorusekey

0x23000003

winload

resumeobject

0x25000021

winload

pae

0x25000031

winload

removememory

0x25000032

winload

increaseuserva

0x25000033

winload

perfmem

0x25000050

winload

clustermodeaddressing

0x25000055

winload

x2apicpolicy

0x25000061

winload

numproc

0x25000063

winload

configflags

0x25000066

winload

groupsize

0x25000071

winload

msi

0x25000072

winload

pciexpress

0x25000080

winload

safeboot

0x250000a6

winload

tscsyncpolicy

0x250000c1

winload

driverloadfailurepolicy

0x250000c2

winload

bootmenupolicy

0x250000e0

winload

bootstatuspolicy

0x250000f0

winload

hypervisorlaunchtype

0x250000f3

winload

hypervisordebugtype

0x250000f4

winload

hypervisordebugport

0x250000f5

winload

hypervisorbaudrate

0x250000f6

winload

hypervisorchannel

0x250000f7

winload

bootux

0x250000fa

winload

hypervisornumproc

0x250000fb

winload

hypervisorrootprocpernode

0x250000fd

winload

hypervisorhostip

0x250000fe

winload

hypervisorhostport

0x25000100

winload

tpmbootentropy

0x25000113

winload

hypervisorrootproc

0x25000115

winload

hypervisoriommupolicy

0x25000120

winload

xsavepolicy

0x25000121

winload

xsaveaddfeature0

0x25000122

winload

xsaveaddfeature1

0x25000123

winload

xsaveaddfeature2

0x25000124

winload

xsaveaddfeature3

0x25000125

winload

xsaveaddfeature4

0x25000126

winload

xsaveaddfeature5

0x25000127

winload

xsaveaddfeature6

0x25000128

winload

xsaveaddfeature7

0x25000129

winload

xsaveremovefeature

0x2500012a

winload

xsaveprocessorsmask

0x2500012b

winload

xsavedisable

0x25000130

winload

claimedtpmcounter

0x26000004

winload

stampdisks

0x26000010

winload

detecthal

0x26000024

winload

nocrashautoreboot

0x26000030

winload

nolowmem

0x26000040

winload

vga

0x26000041

winload

quietboot

0x26000042

winload

novesa

0x26000043

winload

novga

0x26000051

winload

usephysicaldestination

0x26000054

winload

uselegacyapicmode

0x26000060

winload

onecpu

0x26000062

winload

maxproc

0x26000064

winload

maxgroup

0x26000065

winload

groupaware

0x26000070

winload

usefirmwarepcisettings

0x26000090

winload

bootlog

0x26000091

winload

sos

0x260000a1

winload

halbreakpoint

0x260000a2

winload

useplatformclock

0x260000a3

winload

forcelegacyplatform

0x260000a4

winload

useplatformtick

0x260000a5

winload

disabledynamictick

0x260000b0

winload

ems

0x260000c3

winload

onetimeadvancedoptions

0x260000c4

winload

onetimeoptionsedit

0x260000e1

winload

disableelamdrivers

0x260000f8

winload

hypervisordisableslat

0x260000fc

winload

hypervisoruselargevtlb

0x26000114

winload

hypervisordhcp

0x21000005

winresume

associatedosdevice

0x25000007

winresume

bootux

0x25000008

winresume

bootmenupolicy

0x26000003

winresume

customsettings

0x26000004

winresume

pae

0x25000001

memtest

passcount

0x25000002

memtest

testmix

0x25000005

memtest

stridefailcount

0x25000006

memtest

invcfailcount

0x25000007

memtest

matsfailcount

0x25000008

memtest

randfailcount

0x25000009

memtest

chckrfailcount

0x26000003

memtest

cacheenable

0x26000004

memtest

failuresenabled

 

 

 

Показ: