Параметры данных конфигурации загрузки и BitLocker
Этот раздел предназначен для ИТ-специалистов и посвящен описанию параметров данных конфигурации загрузки, которые используются BitLocker.
При защите данных, расположенных в томе операционной системы, во время загрузки BitLocker проверяет, не были ли изменены уязвимые к угрозам безопасности параметры данных конфигурации загрузки с момента последнего запуска, возобновления или восстановления BitLocker.
BitLocker и параметры данных конфигурации загрузки
В ОС Windows 7 и Windows Server 2008 R2 BitLocker проверял практически все параметры данных конфигурации загрузки с префиксами winload, winresume и memtest. Однако столь высокая степень проверки приводила к переходу BitLocker в режим восстановления из-за неопасных изменений параметров, например при применении языкового пакета.
В Windows 8, Windows Server 2012 и последующих операционных системах BitLocker сокращает набор проверяемых параметров данных конфигурации загрузки с целью снижения вероятности возникновения проблем с проверкой данных конфигурации загрузки из-за неопасных изменений. Если вы считаете, что существует определенный риск в случае исключения того или иного параметра данных конфигурации загрузки из профиля проверки, можно расширить область проверки данных конфигурации загрузки в соответствии со своими предпочтениями. Кроме того, если параметр данных конфигурации загрузки по умолчанию постоянно приводит к переходу в режим восстановления из-за неопасных изменений, можно исключить этот параметр данных конфигурации загрузки из профиля проверки.
Если включена безопасная загрузка
Компьютеры со встроенным ПО UEFI могут использовать безопасную загрузку для повышения безопасности во время загрузки. Если BitLocker может использовать безопасную загрузку для проверки целостности платформы и данных конфигурации загрузки в соответствии с параметром групповой политики Разрешить защищенную загрузку для проверки целостности, параметр групповой политики Использовать улучшенный профиль проверки данных конфигурации загрузки игнорируется.
Одним из преимуществ использования безопасной загрузки является возможность коррекции параметров данных конфигурации загрузки во время загрузки без срабатывания перехода в режим восстановления. Безопасная загрузка применяет те же параметры данных конфигурации загрузки, что и BitLocker. Применение данных конфигурации загрузки во время безопасной загрузки не настраивается в операционной системе.
Настройка параметров проверки данных конфигурации загрузки
Чтобы изменить параметры данных конфигурации загрузки, которые проверяет BitLocker, ИТ-специалист должен добавить или исключить соответствующие параметры данных конфигурации загрузки в профиле проверки платформы, включив и настроив для этого параметр групповой политики Использовать улучшенный профиль проверки данных конфигурации загрузки.
В целях проверки BitLocker параметры данных конфигурации загрузки связываются с определенным набором приложений загрузки Майкрософт. Параметры данных конфигурации загрузки либо сопоставляются с определенным приложением загрузки, либо могут применяться ко всем приложениям загрузки путем сопоставления префикса с параметром данных конфигурации загрузки, указанным в параметре групповой политики. Значения префиксов приведены ниже.
winload
winresume
memtest
all
Все параметры данных конфигурации загрузки указываются путем объединения значения префикса или с шестнадцатеричным значением, или с понятным именем.
Шестнадцатеричное значение параметра данных конфигурации загрузки сообщается при переходе BitLocker в режим восстановления и сохраняется в журнале событий (событие с ИД 523). Шестнадцатеричное значение уникальным образом указывает, какой параметр данных конфигурации загрузки привел к возникновению события восстановления.
Понятные имена параметров данных конфигурации загрузки можно быстро получить на компьютере с помощью команды bcdedit.exe /enum all.
Не все параметры данных конфигурации загрузки имеют понятные имена; для некоторых параметров шестнадцатеричное значение является единственным способом настройки политики исключений.
При указании значений данных конфигурации загрузки в параметре групповой политики Использовать улучшенный профиль проверки данных конфигурации загрузки необходимо придерживаться следующего синтаксиса.
Параметру должен предшествовать префикс приложения загрузки
Далее следует добавить двоеточие «:»
После этого добавьте или шестнадцатеричное значение, или понятное имя
При указании нескольких параметров данных конфигурации загрузки необходимо указывать каждый параметр в отдельной строке
Например, «winload:hypervisordebugport» и «winload:0x250000f4» соответствуют одному и тому же значению.
Параметр, который применяется ко всем приложениям загрузки, может быть применен к отдельному приложению, однако обратное неверно. Например, можно указать или «all:locale», или «winresume:locale», однако, поскольку параметр данных конфигурации загрузки «win-pe» не применяется ко всем приложениям загрузки, запись «winload:winpe» является допустимой, но запись «all:winpe» не является допустимой. Параметр, который управляет отладкой загрузки (bootdebug, или 0x16000010), всегда будет проверяться и не будет оказывать никакого влияния, если он включен в предоставленные поля.
Примечание
Следует проявлять осторожность при настройке записей данных конфигурации загрузки в параметре групповой политике. Редактор локальных групповых политик не проверяет правильность записи данных конфигурации загрузки. BitLocker не сможет запуститься, если указанный параметр групповой политики является недопустимым.
Профиль проверки данных конфигурации загрузки по умолчанию
В следующей таблице содержится профиль проверки данных конфигурации загрузки по умолчанию, который используется BitLocker в Windows 8, Windows Server 2012 и последующих операционных системах.
| Шестнадцатеричное значение | Префикс | Понятное имя |
|---|---|---|
0x11000001 |
all |
device |
0x12000002 |
all |
path |
0x12000030 |
all |
loadoptions |
0x16000010 |
all |
bootdebug |
0x16000040 |
all |
advancedoptions |
0x16000041 |
all |
optionsedit |
0x16000048 |
all |
nointegritychecks |
0x16000049 |
all |
testsigning |
0x16000060 |
all |
isolatedcontext |
0x1600007b |
all |
forcefipscrypto |
0x22000002 |
winload |
systemroot |
0x22000011 |
winload |
kernel |
0x22000012 |
winload |
hal |
0x22000053 |
winload |
evstore |
0x25000020 |
winload |
nx |
0x25000052 |
winload |
restrictapiccluster |
0x26000022 |
winload |
winpe |
0x26000025 |
winload |
lastknowngood |
0x26000081 |
winload |
safebootalternateshell |
0x260000a0 |
winload |
debug |
0x260000f2 |
winload |
hypervisordebug |
0x26000116 |
winload |
hypervisorusevapic |
0x21000001 |
winresume |
filedevice |
0x22000002 |
winresume |
filepath |
0x26000006 |
winresume |
debugoptionenabled |
Полный список понятных имен игнорируемых параметров данных конфигурации загрузки
Далее приводится полный список параметров данных конфигурации загрузки с понятными именами, которые игнорируются по умолчанию. Эти параметры не являются частью профиля проверки BitLocker по умолчанию, но могут быть добавлены, если необходимо проверить любые из этих параметров, прежде чем разрешить разблокировку диска с операционной системой, защищенной Bitlocker.
Примечание
Существуют дополнительные параметры данных конфигурации загрузки, которые имеют шестнадцатеричные значения, но не имеют понятных имен. Эти параметры не включены в данный список.
| Шестнадцатеричное значение | Префикс | Понятное имя |
|---|---|---|
0x12000004 |
all |
description |
0x12000005 |
all |
locale |
0x12000016 |
all |
targetname |
0x12000019 |
all |
busparams |
0x1200001d |
all |
key |
0x1200004a |
all |
fontpath |
0x14000006 |
all |
inherit |
0x14000008 |
all |
recoverysequence |
0x15000007 |
all |
truncatememory |
0x1500000c |
all |
firstmegabytepolicy |
0x1500000d |
all |
relocatephysical |
0x1500000e |
all |
avoidlowmemory |
0x15000011 |
all |
debugtype |
0x15000012 |
all |
debugaddress |
0x15000013 |
all |
debugport |
0x15000014 |
all |
baudrate |
0x15000015 |
all |
channel |
0x15000018 |
all |
debugstart |
0x1500001a |
all |
hostip |
0x1500001b |
all |
port |
0x15000022 |
all |
emsport |
0x15000023 |
all |
emsbaudrate |
0x15000042 |
all |
keyringaddress |
0x15000047 |
all |
configaccesspolicy |
0x1500004b |
all |
integrityservices |
0x1500004c |
all |
volumebandid |
0x15000051 |
all |
initialconsoleinput |
0x15000052 |
all |
graphicsresolution |
0x15000065 |
all |
displaymessage |
0x15000066 |
all |
displaymessageoverride |
0x16000009 |
all |
recoveryenabled |
0x1600000b |
all |
badmemoryaccess |
0x1600000f |
all |
traditionalkseg |
0x16000017 |
all |
noumex |
0x1600001c |
all |
dhcp |
0x1600001e |
all |
vm |
0x16000020 |
all |
bootems |
0x16000046 |
all |
graphicsmodedisabled |
0x16000050 |
all |
extendedinput |
0x16000053 |
all |
restartonfailure |
0x16000054 |
all |
highestmode |
0x1600006c |
all |
bootuxdisabled |
0x16000072 |
all |
nokeyboard |
0x16000074 |
all |
bootshutdowndisabled |
0x1700000a |
all |
badmemorylist |
0x17000077 |
all |
allowedinmemorysettings |
0x22000040 |
all |
fverecoveryurl |
0x22000041 |
all |
fverecoverymessage |
0x31000003 |
all |
ramdisksdidevice |
0x32000004 |
all |
ramdisksdipath |
0x35000001 |
all |
ramdiskimageoffset |
0x35000002 |
all |
ramdisktftpclientport |
0x35000005 |
all |
ramdiskimagelength |
0x35000007 |
all |
ramdisktftpblocksize |
0x35000008 |
all |
ramdisktftpwindowsize |
0x36000006 |
all |
exportascd |
0x36000009 |
all |
ramdiskmcenabled |
0x3600000a |
all |
ramdiskmctftpfallback |
0x3600000b |
all |
ramdisktftpvarwindow |
0x21000001 |
winload |
osdevice |
0x22000013 |
winload |
dbgtransport |
0x220000f9 |
winload |
hypervisorbusparams |
0x22000110 |
winload |
hypervisorusekey |
0x23000003 |
winload |
resumeobject |
0x25000021 |
winload |
pae |
0x25000031 |
winload |
removememory |
0x25000032 |
winload |
increaseuserva |
0x25000033 |
winload |
perfmem |
0x25000050 |
winload |
clustermodeaddressing |
0x25000055 |
winload |
x2apicpolicy |
0x25000061 |
winload |
numproc |
0x25000063 |
winload |
configflags |
0x25000066 |
winload |
groupsize |
0x25000071 |
winload |
msi |
0x25000072 |
winload |
pciexpress |
0x25000080 |
winload |
safeboot |
0x250000a6 |
winload |
tscsyncpolicy |
0x250000c1 |
winload |
driverloadfailurepolicy |
0x250000c2 |
winload |
bootmenupolicy |
0x250000e0 |
winload |
bootstatuspolicy |
0x250000f0 |
winload |
hypervisorlaunchtype |
0x250000f3 |
winload |
hypervisordebugtype |
0x250000f4 |
winload |
hypervisordebugport |
0x250000f5 |
winload |
hypervisorbaudrate |
0x250000f6 |
winload |
hypervisorchannel |
0x250000f7 |
winload |
bootux |
0x250000fa |
winload |
hypervisornumproc |
0x250000fb |
winload |
hypervisorrootprocpernode |
0x250000fd |
winload |
hypervisorhostip |
0x250000fe |
winload |
hypervisorhostport |
0x25000100 |
winload |
tpmbootentropy |
0x25000113 |
winload |
hypervisorrootproc |
0x25000115 |
winload |
hypervisoriommupolicy |
0x25000120 |
winload |
xsavepolicy |
0x25000121 |
winload |
xsaveaddfeature0 |
0x25000122 |
winload |
xsaveaddfeature1 |
0x25000123 |
winload |
xsaveaddfeature2 |
0x25000124 |
winload |
xsaveaddfeature3 |
0x25000125 |
winload |
xsaveaddfeature4 |
0x25000126 |
winload |
xsaveaddfeature5 |
0x25000127 |
winload |
xsaveaddfeature6 |
0x25000128 |
winload |
xsaveaddfeature7 |
0x25000129 |
winload |
xsaveremovefeature |
0x2500012a |
winload |
xsaveprocessorsmask |
0x2500012b |
winload |
xsavedisable |
0x25000130 |
winload |
claimedtpmcounter |
0x26000004 |
winload |
stampdisks |
0x26000010 |
winload |
detecthal |
0x26000024 |
winload |
nocrashautoreboot |
0x26000030 |
winload |
nolowmem |
0x26000040 |
winload |
vga |
0x26000041 |
winload |
quietboot |
0x26000042 |
winload |
novesa |
0x26000043 |
winload |
novga |
0x26000051 |
winload |
usephysicaldestination |
0x26000054 |
winload |
uselegacyapicmode |
0x26000060 |
winload |
onecpu |
0x26000062 |
winload |
maxproc |
0x26000064 |
winload |
maxgroup |
0x26000065 |
winload |
groupaware |
0x26000070 |
winload |
usefirmwarepcisettings |
0x26000090 |
winload |
bootlog |
0x26000091 |
winload |
sos |
0x260000a1 |
winload |
halbreakpoint |
0x260000a2 |
winload |
useplatformclock |
0x260000a3 |
winload |
forcelegacyplatform |
0x260000a4 |
winload |
useplatformtick |
0x260000a5 |
winload |
disabledynamictick |
0x260000b0 |
winload |
ems |
0x260000c3 |
winload |
onetimeadvancedoptions |
0x260000c4 |
winload |
onetimeoptionsedit |
0x260000e1 |
winload |
disableelamdrivers |
0x260000f8 |
winload |
hypervisordisableslat |
0x260000fc |
winload |
hypervisoruselargevtlb |
0x26000114 |
winload |
hypervisordhcp |
0x21000005 |
winresume |
associatedosdevice |
0x25000007 |
winresume |
bootux |
0x25000008 |
winresume |
bootmenupolicy |
0x26000003 |
winresume |
customsettings |
0x26000004 |
winresume |
pae |
0x25000001 |
memtest |
passcount |
0x25000002 |
memtest |
testmix |
0x25000005 |
memtest |
stridefailcount |
0x25000006 |
memtest |
invcfailcount |
0x25000007 |
memtest |
matsfailcount |
0x25000008 |
memtest |
randfailcount |
0x25000009 |
memtest |
chckrfailcount |
0x26000003 |
memtest |
cacheenable |
0x26000004 |
memtest |
failuresenabled |