Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel beschreibt die Einstellungen für Startkonfigurationsdaten (Boot Configuration Data, BCD), die von BitLocker verwendet werden.
Während des Startvorgangs überprüft BitLocker, ob sich die sicherheitsrelevanten BCD-Einstellungen seit der letzten Aktivierung, Fortsetzung oder Wiederherstellung von BitLocker nicht geändert haben.
Wenn ein Risiko besteht, eine bestimmte BCD-Einstellung aus dem Validierungsprofil auszuschließen, können Sie diese BCD-Einstellung in die BCD-Validierungsabdeckung aufnehmen, um die Validierungsvorgaben anzupassen.
Wenn die Standard-BCD-Einstellung wiederholt eine Wiederherstellung bei harmlosen Änderungen auslöst, können Sie diese BCD-Einstellung aus der Validierungsabdeckung ausschließen.
Wichtig
Geräte mit UEFI-Firmware können den sicheren Start verwenden, um die Startsicherheit zu erhöhen. Wenn BitLocker den sicheren Start für die Plattform- und BCD-Integritätsprüfung verwenden kann, wie in der Richtlinieneinstellung Sicheren Start für Integritätsprüfung zulassen definiert, wird die Richtlinie Erweitertes Startkonfigurationsdaten-Validierungsprofil verwenden ignoriert.
Ein Vorteil der Verwendung von sicherem Start ist, dass BCD-Einstellungen während des Starts korrigiert werden können, ohne Wiederherstellungsereignisse auszulösen. Der sichere Start erzwingt dieselben BCD-Einstellungen wie BitLocker. Die BCD-Erzwingung für den sicheren Start kann nicht innerhalb des Betriebssystems konfiguriert werden.
BCD-Validierungseinstellungen anpassen
Um die von BitLocker validierten BCD-Einstellungen zu ändern, fügt der Admin BCD-Einstellungen zum Plattformvalidierungsprofil hinzu oder schließt sie daraus aus, indem die Richtlinieneinstellung Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden aktiviert und konfiguriert wird.
Für die BitLocker-Validierung sind BCD-Einstellungen bestimmten Microsoft-Startanwendungen zugeordnet. Diese BCD-Einstellungen können auch auf andere Microsoft-Startanwendungen angewendet werden, die nicht Teil der Gruppe sind, für die die BCD-Einstellungen bereits gelten. Diese Einstellung erfolgt durch Anfügen eines der folgenden Präfixe an die BCD-Einstellungen, die im Dialogfeld der Gruppenrichtlinieneinstellungen eingegeben werden:
- winload
- winresume
- memtest
- alle oben genannten Punkte
Alle BCD-Einstellungen werden durch Kombination des Präfixwerts mit einem hexadezimalen Wert (Hex) oder einem Anzeigenamen angegeben.
Der hexadezimale Wert der BCD-Einstellung wird gemeldet, wenn BitLocker in den Wiederherstellungsmodus wechselt, und im Ereignisprotokoll (Ereignis-ID 523) gespeichert. Der hexadezimale Wert identifiziert eindeutig die BCD-Einstellung, die das Wiederherstellungsereignis ausgelöst hat.
Sie können den Anzeigenamen der BCD-Einstellungen auf einem Computer schnell mit dem Befehl bcdedit.exe /enum all abrufen.
Nicht alle BCD-Einstellungen haben Anzeigenamen. Für Einstellungen ohne Anzeigenamen ist der hexadezimale Wert die einzige Möglichkeit, eine Ausschlussrichtlinie zu konfigurieren.
Wenn Sie BCD-Werte in der Richtlinieneinstellung Erweitertes Startkonfigurationsdaten-Validierungsprofil verwenden angeben, verwenden Sie folgende Syntax:
- Fügen Sie der Einstellung das Präfix der Startanwendung voran.
- Fügen Sie einen Doppelpunkt
:an. - Fügen Sie entweder den Hexadezimalwert oder den Anzeigenamen an.
- Wenn Sie mehrere BCD-Einstellungen eingeben, muss jede Einstellung in einer neuen Zeile stehen.
Beispielsweise ergeben sowohl „winload:hypervisordebugport“ als auch „winload:0x250000f4“ denselben Wert.
Eine Einstellung, die für alle Startanwendungen gilt, kann auch nur auf eine einzelne Anwendung angewendet werden. Das Gegenteil trifft jedoch nicht zu. Beispielsweise kann entweder „all:locale“ oder „winresume:locale“ angegeben werden. Da die BCD-Einstellung „win-pe“ jedoch nicht für alle Startanwendungen gilt, ist „winload:winpe“ gültig, aber „all:winpe“ nicht. Die Einstellung zur Steuerung des Startdebuggens („bootdebug“ oder 0x16000010) wird immer validiert und hat keine Wirkung, wenn sie in den angegebenen Feldern enthalten ist.
Hinweis
Achten Sie beim Konfigurieren von BCD-Einträgen in der Richtlinieneinstellung sorgfältig darauf. Der Editor für lokale Gruppenrichtlinien überprüft nicht die Korrektheit des BCD-Eintrags. BitLocker kann nicht aktiviert werden, wenn die angegebene Richtlinieneinstellung ungültig ist.
Standardprofil für BCD-Validierung
Die folgende Tabelle enthält das von BitLocker verwendete Standard-BCD-Validierungsprofil:
| Hexadezimalwert | Präfix | Anzeigename |
|---|---|---|
| 0x11000001 | Alle | Gerät |
| 0x12000002 | Alle | path |
| 0x12000030 | Alle | loadoptions |
| 0x16000010 | Alle | bootdebug |
| 0x16000040 | Alle | advancedoptions |
| 0x16000041 | Alle | optionsedit |
| 0x16000048 | Alle | nointegritychecks |
| 0x16000049 | Alle | testsigning |
| 0x16000060 | Alle | isolatedcontext |
| 0x1600007b | Alle | forcefipscrypto |
| 0x22000002 | winload | systemroot |
| 0x22000011 | winload | kernel |
| 0x22000012 | winload | hal |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | debuggen |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | filepath |
| 0x26000006 | winresume | debugoptionenabled |
Vollständige Liste der Anzeigenamen für ignorierte BCD-Einstellungen
Die folgende Liste enthält alle BCD-Einstellungen mit Anzeigenamen, die standardmäßig ignoriert werden. Diese Einstellungen sind nicht Teil des Standard-BitLocker-Validierungsprofils, können aber hinzugefügt werden, wenn eine Validierung dieser Einstellungen vor dem Entsperren eines durch BitLocker geschützten Betriebssystemlaufwerks erforderlich ist.
Hinweis
Es gibt zusätzliche BCD-Einstellungen mit hexadezimalen Werten, die jedoch keine Anzeigenamen besitzen. Diese Einstellungen sind in dieser Liste nicht enthalten.
| Hexadezimalwert | Präfix | Anzeigename |
|---|---|---|
| 0x12000004 | Alle | description |
| 0x12000005 | Alle | Gebietsschema |
| 0x12000016 | Alle | targetname |
| 0x12000019 | Alle | busparams |
| 0x1200001d | Alle | key |
| 0x1200004a | Alle | fontpath |
| 0x14000006 | Alle | inherit |
| 0x14000008 | Alle | recoverysequence |
| 0x15000007 | Alle | truncatememory |
| 0x1500000c | Alle | firstmegabytepolicy |
| 0x1500000d | Alle | relocatephysical |
| 0x1500000e | Alle | avoidlowmemory |
| 0x15000011 | Alle | debugtype |
| 0x15000012 | Alle | debugaddress |
| 0x15000013 | Alle | debugport |
| 0x15000014 | Alle | baudrate |
| 0x15000015 | Alle | channel |
| 0x15000018 | Alle | debugstart |
| 0x1500001a | Alle | hostip |
| 0x1500001b | Alle | Anschluss |
| 0x15000022 | Alle | emsport |
| 0x15000023 | Alle | emsbaudrate |
| 0x15000042 | Alle | keyringaddress |
| 0x15000047 | Alle | configaccesspolicy |
| 0x1500004b | Alle | integrityservices |
| 0x1500004c | Alle | volumebandid |
| 0x15000051 | Alle | initialconsoleinput |
| 0x15000052 | Alle | graphicsresolution |
| 0x15000065 | Alle | displaymessage |
| 0x15000066 | Alle | displaymessageoverride |
| 0x15000081 | Alle | logcontrol |
| 0x16000009 | Alle | recoveryenabled |
| 0x1600000b | Alle | badmemoryaccess |
| 0x1600000f | Alle | traditionalkseg |
| 0x16000017 | Alle | noumex |
| 0x1600001c | Alle | dhcp |
| 0x1600001e | Alle | vm |
| 0x16000020 | Alle | bootems |
| 0x16000046 | Alle | graphicsmodedisabled |
| 0x16000050 | Alle | extendedinput |
| 0x16000053 | Alle | restartonfailure |
| 0x16000054 | Alle | highestmode |
| 0x1600006c | Alle | bootuxdisabled |
| 0x16000072 | Alle | nokeyboard |
| 0x16000074 | Alle | bootshutdowndisabled |
| 0x1700000a | Alle | badmemorylist |
| 0x17000077 | Alle | allowedinmemorysettings |
| 0x22000040 | Alle | fverecoveryurl |
| 0x22000041 | Alle | fverecoverymessage |
| 0x31000003 | Alle | ramdisksdidevice |
| 0x32000004 | Alle | ramdisksdipath |
| 0x35000001 | Alle | ramdiskimageoffset |
| 0x35000002 | Alle | ramdisktftpclientport |
| 0x35000005 | Alle | ramdiskimagelength |
| 0x35000007 | Alle | ramdisktftpblocksize |
| 0x35000008 | Alle | ramdisktftpwindowsize |
| 0x36000006 | Alle | exportascd |
| 0x36000009 | Alle | ramdiskmcenabled |
| 0x3600000a | Alle | ramdiskmctftpfallback |
| 0x3600000b | Alle | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | msi |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | hypervisorbaudrate |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | pae |
| 0x25000001 | memtest | passcount |
| 0x25000002 | memtest | testmix |
| 0x25000005 | memtest | stridefailcount |
| 0x25000006 | memtest | invcfailcount |
| 0x25000007 | memtest | matsfailcount |
| 0x25000008 | memtest | randfailcount |
| 0x25000009 | memtest | chckrfailcount |
| 0x26000003 | memtest | cacheenable |
| 0x26000004 | memtest | failuresEnabled |