Impostazioni dei dati configurazione di avvio e BitLocker
Questo argomento, destinato ai professionisti IT, descrive le impostazioni dei dati configurazione di avvio usate da BitLocker.
Quando è attiva la protezione dei dati inattivi in un volume del sistema operativo, durante il processo di avvio BitLocker verifica che le impostazioni dei dati configurazione di avvio importanti per la sicurezza non siano state modificate dall'ultima volta in cui si è verificata un'operazione di abilitazione, ripresa o ripristino di BitLocker.
BitLocker e impostazioni dei dati configurazione di avvio
In Windows 7 e Windows Server 2008 R2 BitLocker convalida quasi tutte le impostazioni dei dati configurazione di avvio con i prefissi winload, winresume e memtest. Tuttavia, questo elevato livello di convalida comporta il passaggio di BitLocker alla modalità di ripristino in seguito a modifiche alle impostazioni non dannose, ad esempio quando viene applicato un Language Pack.
In Windows 8, Windows Server 2012 e versioni successive BitLocker limita il set delle impostazioni dei dati configurazione di avvio convalidate per ridurre il rischio che modifiche non dannose provochino un problema di convalida dei dati configurazione di avvio. Se ritieni che escludere una determinata impostazione dei dati configurazione di avvio da un profilo di convalida sia rischioso, puoi aumentare la copertura della convalida in base alle tue preferenze. In alternativa, se un'impostazione predefinita dei dati configurazione di avvio attiva costantemente il ripristino in seguito a modifiche non dannose, puoi escludere tale impostazione dal profilo di convalida.
Casi in cui è abilitato l'avvio protetto
I computer con firmware UEFI possono usare l'avvio protetto per fornire sicurezza avanzata all'avvio. Quando BitLocker può usare l'avvio protetto per la convalida dell'integrità della piattaforma e dei dati configurazione di avvio, come definito dall'impostazione di Criteri di gruppo Consenti avvio protetto per la convalida dell'integrità, l'impostazione dei criteri Usa profilo di convalida dei dati di configurazione di avvio avanzata viene ignorata.
Uno dei vantaggi dell'uso dell'avvio protetto è la possibilità di correggere le impostazioni dei dati configurazione di avvio durante l'avvio senza attivare eventi di ripristino. L'avvio protetto applica le stesse impostazioni dei dati configurazione di avvio di BitLocker. L'applicazione dei dati configurazione di avvio con avvio protetto non è configurabile dal sistema operativo.
Personalizzazione delle impostazioni di convalida dei dati configurazione di avvio
Per modificare le impostazioni dei dati configurazione di avvio convalidati da BitLocker, un professionista IT può aggiungere o escludere impostazioni dal profilo di convalida della piattaforma abilitando e configurando l'impostazione di Criteri di gruppo Usa profilo di convalida dei dati di configurazione di avvio avanzata.
Ai fini della convalida di BitLocker, le impostazioni dei dati configurazione di avvio sono associate a un set specifico di applicazioni di avvio Microsoft. Le impostazioni dei dati configurazione di avvio sono associate a un'applicazione di avvio specifica oppure possono essere applicate a tutte le applicazioni di avvio, associando un prefisso all'impostazione dei dati configurazione di avvio immessa nell'impostazione di Criteri di gruppo. I prefissi validi includono:
winload
winresume
memtest
all
Tutte le impostazioni dei dati configurazione di avvio vengono specificate combinando il valore del prefisso con un valore esadecimale (hex) o un "nome descrittivo".
Il valore esadecimale dell'impostazione dei dati configurazione di avvio viene segnalato quando BitLocker passa in modalità di ripristino e viene archiviato nel registro eventi (ID evento 523). Il valore esadecimale identifica in modo univoco l'impostazione dei dati configurazione di avvio che ha causato l'evento di ripristino.
Puoi ottenere rapidamente il nome descrittivo per le impostazioni dei dati configurazione di avvio nel computer usando il comando "bcdedit.exe /enum all".
Non tutte le impostazioni dei dati configurazione di avvio hanno nomi descrittivi. Per le impostazioni che non ne hanno, il valore esadecimale è l'unico modo per configurare un criterio di esclusione.
Quando specifichi i valori dei dati configurazione di avvio nell'impostazione di Criteri di gruppo Usa profilo di convalida dei dati di configurazione di avvio avanzata, usa la sintassi seguente:
Anteponi all'impostazione il prefisso dell'applicazione di avvio
Aggiungi i due punti ":"
Aggiungi il valore esadecimale o il nome descrittivo
Se immetti più impostazioni dei dati configurazione di avvio, dovrai immettere ognuna su una nuova riga
Ad esempio, "winload:hypervisordebugport" e "winload:0x250000f4" hanno lo stesso valore.
Un'impostazione valida per tutte le applicazioni di avvio può essere applicata a una singola applicazione, ma non vale il contrario. Ad esempio, è possibile specificare "all:locale" o "winresume:locale", ma poiché l'impostazione dei dati configurazione di avvio "win-pe" non è valida per tutte le applicazioni di avvio, "winload:winpe" è valido, mentre "all:winpe" non lo è. L'impostazione che controlla il debugger di avvio ("bootdebug" o 0x16000010) viene sempre convalidata e non ha alcun effetto se viene inclusa nei campi forniti.
Nota
Fai attenzione quando configuri le voci dei dati configurazione di avvio nell'impostazione di Criteri di gruppo. Editor criteri di gruppo locali non convalida la correttezza dei dati configurazione di avvio immessi. Se l'impostazione di Criteri di gruppo specificata non è valida, si verifica un errore di BitLocker.
Profilo di convalida dei dati configurazione di avvio predefinito
La tabella seguente contiene il profilo di convalida dei dati configurazione di avvio predefinito usato da BitLocker in Windows 8, Windows Server 2012 e versioni successive dei sistemi operativi:
| Valore hex | Prefisso | Nome descrittivo |
|---|---|---|
0x11000001 |
all |
device |
0x12000002 |
all |
path |
0x12000030 |
all |
loadoptions |
0x16000010 |
all |
bootdebug |
0x16000040 |
all |
advancedoptions |
0x16000041 |
all |
optionsedit |
0x16000048 |
all |
nointegritychecks |
0x16000049 |
all |
testsigning |
0x16000060 |
all |
isolatedcontext |
0x1600007b |
all |
forcefipscrypto |
0x22000002 |
winload |
systemroot |
0x22000011 |
winload |
kernel |
0x22000012 |
winload |
hal |
0x22000053 |
winload |
evstore |
0x25000020 |
winload |
nx |
0x25000052 |
winload |
restrictapiccluster |
0x26000022 |
winload |
winpe |
0x26000025 |
winload |
lastknowngood |
0x26000081 |
winload |
safebootalternateshell |
0x260000a0 |
winload |
debug |
0x260000f2 |
winload |
hypervisordebug |
0x26000116 |
winload |
hypervisorusevapic |
0x21000001 |
winresume |
filedevice |
0x22000002 |
winresume |
filepath |
0x26000006 |
winresume |
debugoptionenabled |
Elenco completo dei nomi descrittivi per le impostazioni dei dati configurazione di avvio ignorate
Di seguito è disponibile l'elenco completo delle impostazioni dei dati configurazione di avvio che vengono ignorate per impostazione predefinita, con i relativi nomi descrittivi. Queste impostazioni non fanno parte del profilo di convalida BitLocker predefinito, ma possono essere aggiunte se devi convalidare una di queste impostazioni prima di consentire lo sblocco di un'unità del sistema operativo protetta con BitLocker.
Nota
Ci sono anche altre impostazioni dei dati configurazione di avvio con valori esadecimali ma senza nomi descrittivi. Queste impostazioni non sono incluse nell'elenco.
| Valore hex | Prefisso | Nome descrittivo |
|---|---|---|
0x12000004 |
all |
description |
0x12000005 |
all |
locale |
0x12000016 |
all |
targetname |
0x12000019 |
all |
busparams |
0x1200001d |
all |
key |
0x1200004a |
all |
fontpath |
0x14000006 |
all |
inherit |
0x14000008 |
all |
recoverysequence |
0x15000007 |
all |
truncatememory |
0x1500000c |
all |
firstmegabytepolicy |
0x1500000d |
all |
relocatephysical |
0x1500000e |
all |
avoidlowmemory |
0x15000011 |
all |
debugtype |
0x15000012 |
all |
debugaddress |
0x15000013 |
all |
debugport |
0x15000014 |
all |
baudrate |
0x15000015 |
all |
channel |
0x15000018 |
all |
debugstart |
0x1500001a |
all |
hostip |
0x1500001b |
all |
port |
0x15000022 |
all |
emsport |
0x15000023 |
all |
emsbaudrate |
0x15000042 |
all |
keyringaddress |
0x15000047 |
all |
configaccesspolicy |
0x1500004b |
all |
integrityservices |
0x1500004c |
all |
volumebandid |
0x15000051 |
all |
initialconsoleinput |
0x15000052 |
all |
graphicsresolution |
0x15000065 |
all |
displaymessage |
0x15000066 |
all |
displaymessageoverride |
0x16000009 |
all |
recoveryenabled |
0x1600000b |
all |
badmemoryaccess |
0x1600000f |
all |
traditionalkseg |
0x16000017 |
all |
noumex |
0x1600001c |
all |
dhcp |
0x1600001e |
all |
vm |
0x16000020 |
all |
bootems |
0x16000046 |
all |
graphicsmodedisabled |
0x16000050 |
all |
extendedinput |
0x16000053 |
all |
restartonfailure |
0x16000054 |
all |
highestmode |
0x1600006c |
all |
bootuxdisabled |
0x16000072 |
all |
nokeyboard |
0x16000074 |
all |
bootshutdowndisabled |
0x1700000a |
all |
badmemorylist |
0x17000077 |
all |
allowedinmemorysettings |
0x22000040 |
all |
fverecoveryurl |
0x22000041 |
all |
fverecoverymessage |
0x31000003 |
all |
ramdisksdidevice |
0x32000004 |
all |
ramdisksdipath |
0x35000001 |
all |
ramdiskimageoffset |
0x35000002 |
all |
ramdisktftpclientport |
0x35000005 |
all |
ramdiskimagelength |
0x35000007 |
all |
ramdisktftpblocksize |
0x35000008 |
all |
ramdisktftpwindowsize |
0x36000006 |
all |
exportascd |
0x36000009 |
all |
ramdiskmcenabled |
0x3600000a |
all |
ramdiskmctftpfallback |
0x3600000b |
all |
ramdisktftpvarwindow |
0x21000001 |
winload |
osdevice |
0x22000013 |
winload |
dbgtransport |
0x220000f9 |
winload |
hypervisorbusparams |
0x22000110 |
winload |
hypervisorusekey |
0x23000003 |
winload |
resumeobject |
0x25000021 |
winload |
pae |
0x25000031 |
winload |
removememory |
0x25000032 |
winload |
increaseuserva |
0x25000033 |
winload |
perfmem |
0x25000050 |
winload |
clustermodeaddressing |
0x25000055 |
winload |
x2apicpolicy |
0x25000061 |
winload |
numproc |
0x25000063 |
winload |
configflags |
0x25000066 |
winload |
groupsize |
0x25000071 |
winload |
msi |
0x25000072 |
winload |
pciexpress |
0x25000080 |
winload |
safeboot |
0x250000a6 |
winload |
tscsyncpolicy |
0x250000c1 |
winload |
driverloadfailurepolicy |
0x250000c2 |
winload |
bootmenupolicy |
0x250000e0 |
winload |
bootstatuspolicy |
0x250000f0 |
winload |
hypervisorlaunchtype |
0x250000f3 |
winload |
hypervisordebugtype |
0x250000f4 |
winload |
hypervisordebugport |
0x250000f5 |
winload |
hypervisorbaudrate |
0x250000f6 |
winload |
hypervisorchannel |
0x250000f7 |
winload |
bootux |
0x250000fa |
winload |
hypervisornumproc |
0x250000fb |
winload |
hypervisorrootprocpernode |
0x250000fd |
winload |
hypervisorhostip |
0x250000fe |
winload |
hypervisorhostport |
0x25000100 |
winload |
tpmbootentropy |
0x25000113 |
winload |
hypervisorrootproc |
0x25000115 |
winload |
hypervisoriommupolicy |
0x25000120 |
winload |
xsavepolicy |
0x25000121 |
winload |
xsaveaddfeature0 |
0x25000122 |
winload |
xsaveaddfeature1 |
0x25000123 |
winload |
xsaveaddfeature2 |
0x25000124 |
winload |
xsaveaddfeature3 |
0x25000125 |
winload |
xsaveaddfeature4 |
0x25000126 |
winload |
xsaveaddfeature5 |
0x25000127 |
winload |
xsaveaddfeature6 |
0x25000128 |
winload |
xsaveaddfeature7 |
0x25000129 |
winload |
xsaveremovefeature |
0x2500012a |
winload |
xsaveprocessorsmask |
0x2500012b |
winload |
xsavedisable |
0x25000130 |
winload |
claimedtpmcounter |
0x26000004 |
winload |
stampdisks |
0x26000010 |
winload |
detecthal |
0x26000024 |
winload |
nocrashautoreboot |
0x26000030 |
winload |
nolowmem |
0x26000040 |
winload |
vga |
0x26000041 |
winload |
quietboot |
0x26000042 |
winload |
novesa |
0x26000043 |
winload |
novga |
0x26000051 |
winload |
usephysicaldestination |
0x26000054 |
winload |
uselegacyapicmode |
0x26000060 |
winload |
onecpu |
0x26000062 |
winload |
maxproc |
0x26000064 |
winload |
maxgroup |
0x26000065 |
winload |
groupaware |
0x26000070 |
winload |
usefirmwarepcisettings |
0x26000090 |
winload |
bootlog |
0x26000091 |
winload |
sos |
0x260000a1 |
winload |
halbreakpoint |
0x260000a2 |
winload |
useplatformclock |
0x260000a3 |
winload |
forcelegacyplatform |
0x260000a4 |
winload |
useplatformtick |
0x260000a5 |
winload |
disabledynamictick |
0x260000b0 |
winload |
ems |
0x260000c3 |
winload |
onetimeadvancedoptions |
0x260000c4 |
winload |
onetimeoptionsedit |
0x260000e1 |
winload |
disableelamdrivers |
0x260000f8 |
winload |
hypervisordisableslat |
0x260000fc |
winload |
hypervisoruselargevtlb |
0x26000114 |
winload |
hypervisordhcp |
0x21000005 |
winresume |
associatedosdevice |
0x25000007 |
winresume |
bootux |
0x25000008 |
winresume |
bootmenupolicy |
0x26000003 |
winresume |
customsettings |
0x26000004 |
winresume |
pae |
0x25000001 |
memtest |
passcount |
0x25000002 |
memtest |
testmix |
0x25000005 |
memtest |
stridefailcount |
0x25000006 |
memtest |
invcfailcount |
0x25000007 |
memtest |
matsfailcount |
0x25000008 |
memtest |
randfailcount |
0x25000009 |
memtest |
chckrfailcount |
0x26000003 |
memtest |
cacheenable |
0x26000004 |
memtest |
failuresenabled |