Configurações do BCD e o BitLocker
Este tópico para profissionais de TI descreve as configurações do BCD que são usadas pelo BitLocker.
Ao proteger dados em repouso em um volume do sistema operacional, durante o processo de inicialização, o BitLocker verifica se as configurações de dados de configuração da inicialização (BCD) confidenciais de segurança não foram alteradas desde a última vez em que o BitLocker foi habilitado, retomado ou recuperado.
BitLocker e as configurações do BCD
No Windows 7 e no Windows Server 2008 R2, o BitLocker validava praticamente todas as configurações de BCD usando os prefixos winload, winresume e memtest. No entanto, esse alto grau de validação fazia o BitLocker entrar em modo de recuperação para alterações de configuração benignas, por exemplo, se aplicasse um pacote de idiomas, o BitLocker entraria em recuperação.
No Windows 8, no Windows Server 2012 e nos sistemas operacionais posteriores, o BitLocker restringe o conjunto de configurações do BCD validadas para reduzir a chance de alterações benignas causarem um problema de validação do BCD. Caso ache que existe um risco na exclusão de uma determinada configuração de BCD do perfil de validação, você pode aumentar a cobertura de validação do BCD para atender às preferências de validação. Como alternativa, caso uma configuração de BCD padrão esteja disparando de maneira persistente a recuperação para alterações benignas, você pode excluir essa configuração de BCD do perfil de validação.
Quando a inicialização segura está habilitada
Os computadores com o firmware da UEFI podem usar a Inicialização Segura para oferecer uma segurança de inicialização aprimorada. Quando o BitLocker é capaz de usar a Inicialização Segura para a plataforma e a validação de integridade do BCD, conforme definido pela configuração de política de grupo Permitir Inicialização Segura para validação de integridade, a política de grupo Usar o perfil de validação de Dados de Configuração da Inicialização avançado é ignorada.
Um dos benefícios de usar a Inicialização Segura é que ela pode corrigir configurações do BCD durante a inicialização sem disparar eventos de recuperação. A Inicialização Segura impõe as mesmas configurações de BCD do BitLocker. A imposição do BCD de Inicialização Segura não é configurável dentro do sistema operacional.
Personalização das configurações de validação do BCD
Para modificar as configurações do BCD que o BitLocker valida, o profissional de TI irá adicionar ou excluir configurações do BCD do perfil de validação da plataforma habilitando e configurando a configuração de Política de Grupo Usar o perfil de validação de Dados de Configuração da Inicialização avançado.
Para fins de validação do BitLocker, as configurações do BCD são associadas a um conjunto específico de aplicativos de inicialização Microsoft. As configurações do BCD são associadas a um aplicativo de inicialização específico ou podem se aplicar a todos os aplicativos de inicialização associando um prefixo à configuração do BCD inserida na configuração de Política de Grupo. Os valores de prefixo incluem:
winload
winresume
memtest
all
Todas as configurações do BCD são especificadas integrando-se o valor do prefixo a um valor hexadecimal (hex) ou a um "nome amigável".
O valor hexadecimal de configuração do BCD é relatado quando o BitLocker entra no modo de recuperação e é armazenado no log de eventos (ID do evento 523). O valor hexadecimal identifica com exclusividade qual configuração do BCD causou o evento de recuperação.
Você pode obter rapidamente o nome amigável das configurações do BCD no computador usando o comando "bcdedit.exe /enum all".
Nem todas as configurações do BCD têm nomes amigáveis; para essas configurações, o valor hexadecimal é a única maneira de configurar uma política de exclusão.
Ao especificar valores do BCD na configuração de Política de Grupo Usar o perfil de validação de Dados de Configuração da Inicialização avançado, use a seguinte sintaxe:
Prefixar a configuração com o prefixo de aplicativo de inicialização
Acrescentar um dois-pontos ':'
Acrescentar o valor hexadecimal ou o nome amigável
Se inserir mais de uma configuração do BCD, você precisará inserir cada configuração do BCD em uma nova linha
Por exemplo, "winload:hypervisordebugport"ou"winload:0x250000f4" produzir o mesmo valor.
A configuração que se aplica a todos os aplicativos de inicialização pode ser aplicada somente a um aplicativo individual; no entanto, a recíproca não é verdadeira. Por exemplo, uma pode especificar: "all:locale" ou "winresume:locale", mas como a configuração de bcd "win-pe"não se aplica a todos os aplicativos de inicialização,"winload:winpe" é válido, mas "all:winpe" não é. A configuração que controla a depuração de inicialização ("bootdebug" ou 0x16000010) sempre será validada e não entrará em vigor se estiver incluída nos campos fornecidos.
Observação
Tome cuidado ao configurar entradas do BCD na configuração Política de Grupo. O Editor de Política de Grupo Local não valida a correção da entrada do BCD. O BitLocker deixará de ser habilitado se a configuração Política de Grupo especificada for inválida.
Perfil de validação do BCD padrão
A seguinte tabela contém o perfil de validação do BCD padrão usado pelo BitLocker no Windows 8, no Windows Server 2012 e nos sistemas operacionais posteriores:
| Valor hexadecimal | Prefixo | Nome amigável |
|---|---|---|
0x11000001 |
all |
device |
0x12000002 |
all |
path |
0x12000030 |
all |
loadoptions |
0x16000010 |
all |
bootdebug |
0x16000040 |
all |
advancedoptions |
0x16000041 |
all |
optionsedit |
0x16000048 |
all |
nointegritychecks |
0x16000049 |
all |
testsigning |
0x16000060 |
all |
isolatedcontext |
0x1600007b |
all |
forcefipscrypto |
0x22000002 |
winload |
systemroot |
0x22000011 |
winload |
kernel |
0x22000012 |
winload |
hal |
0x22000053 |
winload |
evstore |
0x25000020 |
winload |
nx |
0x25000052 |
winload |
restrictapiccluster |
0x26000022 |
winload |
winpe |
0x26000025 |
winload |
lastknowngood |
0x26000081 |
winload |
safebootalternateshell |
0x260000a0 |
winload |
debug |
0x260000f2 |
winload |
hypervisordebug |
0x26000116 |
winload |
hypervisorusevapic |
0x21000001 |
winresume |
filedevice |
0x22000002 |
winresume |
filepath |
0x26000006 |
winresume |
debugoptionenabled |
Lista completa de nomes amigáveis para configurações do BCD ignorados
Esta é uma lista completa das configurações do BCD com nomes amigáveis que são ignorados por padrão. Essas configurações não fazem parte do perfil de validação do BitLocker padrão, mas podem ser adicionadas caso você precise validar qualquer uma dessas configurações antes de permitir que uma unidade de sistema operacional protegida pelo BitLocker seja desbloqueada.
Observação
Há configurações do BCD adicionais com valores hexadecimais, mas sem nomes amigáveis. Essas configurações não estão incluídas nesta lista.
| Valor hexadecimal | Prefixo | Nome amigável |
|---|---|---|
0x12000004 |
all |
description |
0x12000005 |
all |
locale |
0x12000016 |
all |
targetname |
0x12000019 |
all |
busparams |
0x1200001d |
all |
key |
0x1200004a |
all |
fontpath |
0x14000006 |
all |
inherit |
0x14000008 |
all |
recoverysequence |
0x15000007 |
all |
truncatememory |
0x1500000c |
all |
firstmegabytepolicy |
0x1500000d |
all |
relocatephysical |
0x1500000e |
all |
avoidlowmemory |
0x15000011 |
all |
debugtype |
0x15000012 |
all |
debugaddress |
0x15000013 |
all |
debugport |
0x15000014 |
all |
baudrate |
0x15000015 |
all |
channel |
0x15000018 |
all |
debugstart |
0x1500001a |
all |
hostip |
0x1500001b |
all |
port |
0x15000022 |
all |
emsport |
0x15000023 |
all |
emsbaudrate |
0x15000042 |
all |
keyringaddress |
0x15000047 |
all |
configaccesspolicy |
0x1500004b |
all |
integrityservices |
0x1500004c |
all |
volumebandid |
0x15000051 |
all |
initialconsoleinput |
0x15000052 |
all |
graphicsresolution |
0x15000065 |
all |
displaymessage |
0x15000066 |
all |
displaymessageoverride |
0x16000009 |
all |
recoveryenabled |
0x1600000b |
all |
badmemoryaccess |
0x1600000f |
all |
traditionalkseg |
0x16000017 |
all |
noumex |
0x1600001c |
all |
dhcp |
0x1600001e |
all |
vm |
0x16000020 |
all |
bootems |
0x16000046 |
all |
graphicsmodedisabled |
0x16000050 |
all |
extendedinput |
0x16000053 |
all |
restartonfailure |
0x16000054 |
all |
highestmode |
0x1600006c |
all |
bootuxdisabled |
0x16000072 |
all |
nokeyboard |
0x16000074 |
all |
bootshutdowndisabled |
0x1700000a |
all |
badmemorylist |
0x17000077 |
all |
allowedinmemorysettings |
0x22000040 |
all |
fverecoveryurl |
0x22000041 |
all |
fverecoverymessage |
0x31000003 |
all |
ramdisksdidevice |
0x32000004 |
all |
ramdisksdipath |
0x35000001 |
all |
ramdiskimageoffset |
0x35000002 |
all |
ramdisktftpclientport |
0x35000005 |
all |
ramdiskimagelength |
0x35000007 |
all |
ramdisktftpblocksize |
0x35000008 |
all |
ramdisktftpwindowsize |
0x36000006 |
all |
exportascd |
0x36000009 |
all |
ramdiskmcenabled |
0x3600000a |
all |
ramdiskmctftpfallback |
0x3600000b |
all |
ramdisktftpvarwindow |
0x21000001 |
winload |
osdevice |
0x22000013 |
winload |
dbgtransport |
0x220000f9 |
winload |
hypervisorbusparams |
0x22000110 |
winload |
hypervisorusekey |
0x23000003 |
winload |
resumeobject |
0x25000021 |
winload |
pae |
0x25000031 |
winload |
removememory |
0x25000032 |
winload |
increaseuserva |
0x25000033 |
winload |
perfmem |
0x25000050 |
winload |
clustermodeaddressing |
0x25000055 |
winload |
x2apicpolicy |
0x25000061 |
winload |
numproc |
0x25000063 |
winload |
configflags |
0x25000066 |
winload |
groupsize |
0x25000071 |
winload |
msi |
0x25000072 |
winload |
pciexpress |
0x25000080 |
winload |
safeboot |
0x250000a6 |
winload |
tscsyncpolicy |
0x250000c1 |
winload |
driverloadfailurepolicy |
0x250000c2 |
winload |
bootmenupolicy |
0x250000e0 |
winload |
bootstatuspolicy |
0x250000f0 |
winload |
hypervisorlaunchtype |
0x250000f3 |
winload |
hypervisordebugtype |
0x250000f4 |
winload |
hypervisordebugport |
0x250000f5 |
winload |
hypervisorbaudrate |
0x250000f6 |
winload |
hypervisorchannel |
0x250000f7 |
winload |
bootux |
0x250000fa |
winload |
hypervisornumproc |
0x250000fb |
winload |
hypervisorrootprocpernode |
0x250000fd |
winload |
hypervisorhostip |
0x250000fe |
winload |
hypervisorhostport |
0x25000100 |
winload |
tpmbootentropy |
0x25000113 |
winload |
hypervisorrootproc |
0x25000115 |
winload |
hypervisoriommupolicy |
0x25000120 |
winload |
xsavepolicy |
0x25000121 |
winload |
xsaveaddfeature0 |
0x25000122 |
winload |
xsaveaddfeature1 |
0x25000123 |
winload |
xsaveaddfeature2 |
0x25000124 |
winload |
xsaveaddfeature3 |
0x25000125 |
winload |
xsaveaddfeature4 |
0x25000126 |
winload |
xsaveaddfeature5 |
0x25000127 |
winload |
xsaveaddfeature6 |
0x25000128 |
winload |
xsaveaddfeature7 |
0x25000129 |
winload |
xsaveremovefeature |
0x2500012a |
winload |
xsaveprocessorsmask |
0x2500012b |
winload |
xsavedisable |
0x25000130 |
winload |
claimedtpmcounter |
0x26000004 |
winload |
stampdisks |
0x26000010 |
winload |
detecthal |
0x26000024 |
winload |
nocrashautoreboot |
0x26000030 |
winload |
nolowmem |
0x26000040 |
winload |
vga |
0x26000041 |
winload |
quietboot |
0x26000042 |
winload |
novesa |
0x26000043 |
winload |
novga |
0x26000051 |
winload |
usephysicaldestination |
0x26000054 |
winload |
uselegacyapicmode |
0x26000060 |
winload |
onecpu |
0x26000062 |
winload |
maxproc |
0x26000064 |
winload |
maxgroup |
0x26000065 |
winload |
groupaware |
0x26000070 |
winload |
usefirmwarepcisettings |
0x26000090 |
winload |
bootlog |
0x26000091 |
winload |
sos |
0x260000a1 |
winload |
halbreakpoint |
0x260000a2 |
winload |
useplatformclock |
0x260000a3 |
winload |
forcelegacyplatform |
0x260000a4 |
winload |
useplatformtick |
0x260000a5 |
winload |
disabledynamictick |
0x260000b0 |
winload |
ems |
0x260000c3 |
winload |
onetimeadvancedoptions |
0x260000c4 |
winload |
onetimeoptionsedit |
0x260000e1 |
winload |
disableelamdrivers |
0x260000f8 |
winload |
hypervisordisableslat |
0x260000fc |
winload |
hypervisoruselargevtlb |
0x26000114 |
winload |
hypervisordhcp |
0x21000005 |
winresume |
associatedosdevice |
0x25000007 |
winresume |
bootux |
0x25000008 |
winresume |
bootmenupolicy |
0x26000003 |
winresume |
customsettings |
0x26000004 |
winresume |
pae |
0x25000001 |
memtest |
passcount |
0x25000002 |
memtest |
testmix |
0x25000005 |
memtest |
stridefailcount |
0x25000006 |
memtest |
invcfailcount |
0x25000007 |
memtest |
matsfailcount |
0x25000008 |
memtest |
randfailcount |
0x25000009 |
memtest |
chckrfailcount |
0x26000003 |
memtest |
cacheenable |
0x26000004 |
memtest |
failuresenabled |