Configuración de arranque Configuración De datos y BitLocker

Se aplica a:

  • Windows10
  • Windows11
  • Windows Server 2016 y superior

En este tema para profesionales de TI se describe la configuración de datos de configuración de arranque (BCD) que usa BitLocker.

Al proteger los datos en reposo en un volumen del sistema operativo, durante el proceso de arranque BitLocker comprueba que la configuración de BCD confidencial de seguridad no ha cambiado desde que BitLocker se ha habilitado, reanudado o recuperado por última vez.

BitLocker y BCD Configuración

En Windows 7 y Windows Server 2008 R2, BitLocker validó casi todas las configuraciones bcd con los prefijos winload, winresume y memtest. Sin embargo, este alto grado de validación hizo que BitLocker pasara al modo de recuperación para cambios de configuración benignos, por ejemplo, al aplicar un paquete de idioma BitLocker entraría en recuperación.

En Windows 8, Windows Server 2012 y sistemas operativos posteriores BitLocker limita el conjunto de configuraciones BCD validadas para reducir la posibilidad de que los cambios benignos causen un problema de validación de BCD. Si cree que existe un riesgo al excluir una configuración de BCD determinada del perfil de validación, puede aumentar la cobertura de validación bcd para adaptarse a sus preferencias de validación. Como alternativa, si una configuración de BCD predeterminada está desencadenando persistentemente la recuperación de cambios benignos, puede excluir esa configuración BCD del perfil de validación.

Cuando el arranque seguro está habilitado

Los equipos con firmware UEFI pueden usar el arranque seguro para proporcionar seguridad de arranque mejorada. Cuando BitLocker puede usar el arranque seguro para la validación de **** integridad de la plataforma y **** BCD, tal como se define en la configuración de directiva de grupo Permitir el arranque seguro para la validación de integridad, se omite la directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorada.

Una de las ventajas de usar arranque seguro es que puede corregir la configuración de BCD durante el arranque sin desencadenar eventos de recuperación. El arranque seguro aplica la misma configuración de BCD que BitLocker. La aplicación BCD de arranque seguro no se puede configurar desde el sistema operativo.

Personalizar la configuración de validación de BCD

Para modificar la configuración de BCD, BitLocker valida el Pro de IT agregará o excluirá la configuración de BCD del perfil de validación de la plataforma habilitando y configurando la configuración de directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorado. ****

Para la validación de BitLocker, la configuración de BCD está asociada a un conjunto específico de aplicaciones de arranque de Microsoft. La configuración de BCD está asociada a una aplicación de arranque específica o se puede aplicar a todas las aplicaciones de arranque asociando un prefijo a la configuración BCD especificada en la configuración de directiva de grupo. Los valores de prefijo incluyen:

  • winload
  • winresume
  • memtest
  • todo

Toda la configuración de BCD se especifica combinando el valor de prefijo con un valor hexadecimal (hexadecimal) o un "nombre descriptivo".

El valor hexadecimal de la configuración BCD se notifica cuando BitLocker entra en modo de recuperación y se almacena en el registro de eventos (identificador de evento 523). El valor hexadecimal identifica de forma única qué configuración BCD provocó el evento de recuperación.

Puede obtener rápidamente el nombre descriptivo de la configuración de BCD en el equipo mediante el comando " bcdedit.exe /enum all ".

No todas las configuraciones de BCD tienen nombres descriptivos, para esas configuraciones, el valor hexadecimal es la única forma de configurar una directiva de exclusión.

Al especificar valores BCD **** en la configuración De directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorado, use la sintaxis siguiente:

  • Prefijo de la configuración con el prefijo de la aplicación de arranque
  • Anexar dos puntos ':'
  • Anexar el valor hexadecimal o el nombre descriptivo
  • Si especifica más de una configuración de BCD, deberá escribir cada configuración de BCD en una nueva línea

Por ejemplo, " winload:hypervisordebugport " o " " " producen el mismo winload:0x250000f4 valor.

La configuración que se aplica a todas las aplicaciones de arranque solo se puede aplicar a una aplicación individual, pero no es así. Por ejemplo, se puede especificar: " " o " ", pero como la configuración bcd " " no se aplica a todas las aplicaciones de all:locale winresume:locale win-pe arranque, " winload:winpe " es válido, pero " " no es all:winpe válido. La configuración que controla la depuración de arranque (" " o 0x16000010) siempre se validará y no tendrá ningún efecto si se incluye bootdebug en los campos proporcionados.

Nota

Tener cuidado al configurar entradas BCD en la configuración de directiva de grupo. El Editor de directivas de grupo local no valida la corrección de la entrada BCD. BitLocker no se habilitará si la configuración de directiva de grupo especificada no es válida.

Perfil de validación BCD predeterminado

La tabla siguiente contiene el perfil de validación BCD predeterminado usado por BitLocker en Windows 8, Windows Server 2012 y sistemas operativos posteriores:

Valor hexadecimal Prefijo Nombre descriptivo
0x11000001 todo dispositivo
0x12000002 todo path
0x12000030 todo loadoptions
0x16000010 todo bootdebug
0x16000040 todo advancedoptions
0x16000041 todo optionsedit
0x16000048 todo nointegritychecks
0x16000049 todo testsigning
0x16000060 todo isolatedcontext
0x1600007b todo forcefipscrypto
0x22000002 winload systemroot
0x22000011 winload kernel
0x22000012 winload hal
0x22000053 winload evstore
0x25000020 winload nx
0x25000052 winload restrictapiccluster
0x26000022 winload winpe
0x26000025 winload lastknowngood
0x26000081 winload safebootalternateshell
0x260000a0 winload depurar
0x260000f2 winload hypervisordebug
0x26000116 winload hypervisorusevapic
0x21000001 winresume filedevice
0x22000002 winresume filepath
0x26000006 winresume debugoptionenabled

Lista completa de nombres descriptivos para la configuración de BCD ignorada

A continuación se muestra una lista completa de la configuración de BCD con nombres descriptivos, que se omiten de forma predeterminada. Esta configuración no forma parte del perfil de validación predeterminado de BitLocker, pero se puede agregar si ves la necesidad de validar cualquiera de estas opciones antes de permitir que se desbloquee una unidad del sistema operativo protegida por BitLocker.

Nota

Existen configuraciones BCD adicionales que tienen valores hexadecimales pero no tienen nombres descriptivos. Esta configuración no se incluye en esta lista.

Valor hexadecimal Prefijo Nombre descriptivo
0x12000004 todo description
0x12000005 todo configuración regional
0x12000016 todo targetname
0x12000019 todo busparams
0x1200001d todo key
0x1200004a todo fontpath
0x14000006 todo inherit
0x14000008 todo recoverysequence
0x15000007 todo truncatememory
0x1500000c todo firstmegabytepolicy
0x1500000d todo relocatephysical
0x1500000e todo avoidlowmemory
0x15000011 todo debugtype
0x15000012 todo debugaddress
0x15000013 todo debugport
0x15000014 todo baudrate
0x15000015 todo canal
0x15000018 todo debugstart
0x1500001a todo hostip
0x1500001b todo puerto
0x15000022 todo emsport
0x15000023 todo emsbaudrate
0x15000042 todo keyringaddress
0x15000047 todo configaccesspolicy
0x1500004b todo integrityservices
0x1500004c todo volumebandid
0x15000051 todo initialconsoleinput
0x15000052 todo graphicsresolution
0x15000065 todo displaymessage
0x15000066 todo displaymessageoverride
0x15000081 todo logcontrol
0x16000009 todo recoveryenabled
0x1600000b todo badmemoryaccess
0x1600000f todo traditionalkseg
0x16000017 todo noumex
0x1600001c todo dhcp
0x1600001e todo vm
0x16000020 todo bootems
0x16000046 todo graphicsmodedisabled
0x16000050 todo extendedinput
0x16000053 todo restartonfailure
0x16000054 todo highestmode
0x1600006c todo bootuxdisabled
0x16000072 todo nokeyboard
0x16000074 todo bootshutdowndisabled
0x1700000a todo badmemorylist
0x17000077 todo allowedinmemorysettings
0x22000040 todo fverecoveryurl
0x22000041 todo fverecoverymessage
0x31000003 todo ramdisksdidevice
0x32000004 todo ramdisksdipath
0x35000001 todo ramdiskimageoffset
0x35000002 todo ramdisktftpclientport
0x35000005 todo ramdiskimagelength
0x35000007 todo ramdisktftpblocksize
0x35000008 todo ramdisktftpwindowsize
0x36000006 todo exportascd
0x36000009 todo ramdiskmcenabled
0x3600000a todo ramdiskmctftpfallback
0x3600000b todo ramdisktftpvarwindow
0x21000001 winload osdevice
0x22000013 winload dbgtransport
0x220000f9 winload hypervisorbusparams
0x22000110 winload hypervisorusekey
0x23000003 winload resumeobject
0x25000021 winload pae
0x25000031 winload removememory
0x25000032 winload increaseuserva
0x25000033 winload perfmem
0x25000050 winload clustermodeaddressing
0x25000055 winload x2apicpolicy
0x25000061 winload numproc
0x25000063 winload configflags
0x25000066 winload groupsize
0x25000071 winload msi
0x25000072 winload pciexpress
0x25000080 winload safeboot
0x250000a6 winload tscsyncpolicy
0x250000c1 winload driverloadfailurepolicy
0x250000c2 winload bootmenupolicy
0x250000e0 winload bootstatuspolicy
0x250000f0 winload hypervisorlaunchtype
0x250000f3 winload hypervisordebugtype
0x250000f4 winload hypervisordebugport
0x250000f5 winload hypervisorbaudrate
0x250000f6 winload hypervisorchannel
0x250000f7 winload bootux
0x250000fa winload hypervisornumproc
0x250000fb winload hypervisorrootprocpernode
0x250000fd winload hypervisorhostip
0x250000fe winload hypervisorhostport
0x25000100 winload tpmbootentropy
0x25000113 winload hypervisorrootproc
0x25000115 winload hypervisoriommupolicy
0x25000120 winload xsavepolicy
0x25000121 winload xsaveaddfeature0
0x25000122 winload xsaveaddfeature1
0x25000123 winload xsaveaddfeature2
0x25000124 winload xsaveaddfeature3
0x25000125 winload xsaveaddfeature4
0x25000126 winload xsaveaddfeature5
0x25000127 winload xsaveaddfeature6
0x25000128 winload xsaveaddfeature7
0x25000129 winload xsaveremovefeature
0x2500012a winload xsaveprocessorsmask
0x2500012b winload xsavedisable
0x25000130 winload claimedtpmcounter
0x26000004 winload stampdisks
0x26000010 winload detecthal
0x26000024 winload nocrashautoreboot
0x26000030 winload nolowmem
0x26000040 winload vga
0x26000041 winload quietboot
0x26000042 winload novesa
0x26000043 winload novga
0x26000051 winload usephysicaldestination
0x26000054 winload uselegacyapicmode
0x26000060 winload onecpu
0x26000062 winload maxproc
0x26000064 winload maxgroup
0x26000065 winload groupaware
0x26000070 winload usefirmwarepcisettings
0x26000090 winload bootlog
0x26000091 winload sos
0x260000a1 winload halbreakpoint
0x260000a2 winload useplatformclock
0x260000a3 winload forcelegacyplatform
0x260000a4 winload useplatformtick
0x260000a5 winload disabledynamictick
0x260000b0 winload ems
0x260000c3 winload onetimeadvancedoptions
0x260000c4 winload onetimeoptionsedit
0x260000e1 winload disableelamdrivers
0x260000f8 winload hypervisordisableslat
0x260000fc winload hypervisoruselargevtlb
0x26000114 winload hypervisordhcp
0x21000005 winresume associatedosdevice
0x25000007 winresume bootux
0x25000008 winresume bootmenupolicy
0x26000003 winresume customsettings
0x26000004 winresume pae
0x25000001 memtest passcount
0x25000002 memtest testmix
0x25000005 memtest stridefailcount
0x25000006 memtest invcfailcount
0x25000007 memtest matsfailcount
0x25000008 memtest randfailcount
0x25000009 memtest chckrfailcount
0x26000003 memtest cacheenable
0x26000004 memtest failuresenabled