ブート構成データ設定と BitLocker
この記事では、BitLocker で使用されるブート構成データ (BCD) 設定について説明します。
ブート プロセス中に、BitLocker は、BitLocker が最後に有効、再開、または回復されてから、セキュリティに依存する BCD 設定が変更されていないことを確認します。
検証プロファイルから特定の BCD 設定を除外するリスクがあると考えられる場合は、その BCD 設定を BCD 検証カバレッジに含めて、検証の設定に合わせて設定できます。
既定の BCD 設定によって問題のない変更の回復が永続的にトリガーされる場合は、その BCD 設定を検証カバレッジから除外できます。
重要
UEFI ファームウェアを搭載したデバイスでは、セキュア ブートを使用して、ブート のセキュリティを強化できます。 BitLocker でプラットフォームと BCD の整合性検証にセキュリティで保護されたブートを使用できる場合は、[整合性検証 のセキュリティで保護されたブートを許可 する] ポリシー設定で定義されている場合、[ 拡張ブート構成データ検証プロファイルの使用 ] ポリシーは無視されます。
セキュリティで保護されたブートを使用する利点の 1 つは、回復イベントをトリガーすることなく、起動中に BCD 設定を修正できることです。 セキュア ブートでは、BitLocker と同じ BCD 設定が適用されます。 セキュリティで保護されたブート BCD の適用は、オペレーティング システム内から構成できません。
BCD 検証設定をカスタマイズする
BitLocker によって検証される BCD 設定を変更するには、管理者は[ 拡張ブート構成データ検証プロファイルの使用 ] ポリシー設定を有効にして構成することで、プラットフォーム検証プロファイルに BCD 設定を追加または除外します。
BitLocker 検証のために、BCD 設定は Microsoft ブート アプリケーションの特定のセットに関連付けられます。 これらの BCD 設定は、BCD 設定が既に適用されているセットの一部ではない他の Microsoft ブート アプリケーションにも適用できます。 この設定は、次のいずれかのプレフィックスを、グループ ポリシー設定ダイアログで入力されている BCD 設定にアタッチすることで実行できます。
- winload
- winresume
- Memtest
- 上記のすべて
すべての BCD 設定は、プレフィックス値を 16 進 (16 進) 値または フレンドリ名と組み合わせることによって指定されます。
BCD 設定の 16 進値は、BitLocker が回復モードになると報告され、イベント ログ (イベント ID 523) に格納されます。 16 進値は、復旧イベントの原因となった BCD 設定を一意に識別します。
コマンド bcdedit.exe /enum allを使用すると、コンピューター上の BCD 設定のフレンドリ名をすばやく取得できます。
すべての BCD 設定にフレンドリ名があるわけではありません。 フレンドリ名のない設定では、除外ポリシーを構成する唯一の方法は 16 進値です。
[拡張ブート構成データ検証プロファイルの使用] ポリシー設定で BCD 値を指定する場合は、次の構文を使用します。
- ブート アプリケーションのプレフィックスを使用して設定のプレフィックスを付けます
- コロンを追加する
: - 16 進値またはフレンドリ名を追加します
- 複数の BCD 設定を入力する場合は、各 BCD 設定を新しい行に入力する必要があります
たとえば、"" または "winload:hypervisordebugportwinload:0x250000f4" によって同じ値が生成されます。
すべてのブート アプリケーションに適用される設定は、個々のアプリケーションにのみ適用できます。 ただし、逆は当てはまりません。 たとえば、"" または "all:localewinresume:locale" のいずれかを指定できますが、BCD 設定 "win-pe" はすべてのブート アプリケーションに適用されないため、"winload:winpe" は有効ですが、"all:winpe" は有効ではありません。 ブート デバッグ ("bootdebug" または 0x16000010) を制御する設定は常に検証され、指定されたフィールドに含まれている場合は無効になります。
注
ポリシー設定で BCD エントリを構成する場合は注意してください。 ローカル グループ ポリシー エディターでは、BCD エントリの正確性は検証されません。 指定されたポリシー設定が無効な場合、BitLocker を有効にできません。
既定の BCD 検証プロファイル
次の表に、BitLocker で使用される既定の BCD 検証プロファイルを示します。
| 16 進値 | プレフィックス | フレンドリ名 |
|---|---|---|
| 0x11000001 | すべて | デバイス |
| 0x12000002 | すべて | path |
| 0x12000030 | すべて | loadoptions |
| 0x16000010 | すべて | bootdebug |
| 0x16000040 | すべて | advancedoptions |
| 0x16000041 | すべて | optionsedit |
| 0x16000048 | すべて | nointegritychecks |
| 0x16000049 | すべて | testsigning |
| 0x16000060 | すべて | isolatedcontext |
| 0x1600007b | すべて | forcefipscrypto |
| 0x22000002 | winload | Systemroot |
| 0x22000011 | winload | カーネル |
| 0x22000012 | winload | Hal |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | Winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | デバッグ |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
無視された BCD 設定のフレンドリ名の完全な一覧
次の一覧は、既定では無視されるフレンドリ名を持つ BCD 設定の完全な一覧です。 これらの設定は、既定の BitLocker 検証プロファイルの一部ではありませんが、BitLocker で保護されたオペレーティング システム ドライブのロック解除を許可する前に、これらの設定のいずれかを検証する必要がある場合に追加できます。
注
16 進値を持つがフレンドリ名を持たない追加の BCD 設定が存在します。 これらの設定は、この一覧には含まれません。
| 16 進値 | プレフィックス | フレンドリ名 |
|---|---|---|
| 0x12000004 | すべて | description |
| 0x12000005 | すべて | locale |
| 0x12000016 | すべて | Targetname |
| 0x12000019 | すべて | busparams |
| 0x1200001d | すべて | key |
| 0x1200004a | すべて | fontpath |
| 0x14000006 | すべて | 継承 |
| 0x14000008 | すべて | recoverysequence |
| 0x15000007 | すべて | truncatememory |
| 0x1500000c | すべて | firstmegabytepolicy |
| 0x1500000d | すべて | 再配置物理 |
| 0x1500000e | すべて | avoidlowmemory |
| 0x15000011 | すべて | debugtype |
| 0x15000012 | すべて | debugaddress |
| 0x15000013 | すべて | debugport |
| 0x15000014 | すべて | baudrate |
| 0x15000015 | すべて | チャネル |
| 0x15000018 | すべて | debugstart |
| 0x1500001a | すべて | hostip |
| 0x1500001b | すべて | ポート |
| 0x15000022 | すべて | emsport |
| 0x15000023 | すべて | emsbaudrate |
| 0x15000042 | すべて | keyringaddress |
| 0x15000047 | すべて | configaccesspolicy |
| 0x1500004b | すべて | integrityservices |
| 0x1500004c | すべて | volumebandid |
| 0x15000051 | すべて | initialconsoleinput |
| 0x15000052 | すべて | graphicsresolution |
| 0x15000065 | すべて | displaymessage |
| 0x15000066 | すべて | displaymessageoverride |
| 0x15000081 | すべて | logcontrol |
| 0x16000009 | すべて | recoveryenabled |
| 0x1600000b | すべて | badmemoryaccess |
| 0x1600000f | すべて | traditionalkseg |
| 0x16000017 | すべて | noumex |
| 0x1600001c | すべて | Dhcp |
| 0x1600001e | すべて | Vm |
| 0x16000020 | すべて | bootems |
| 0x16000046 | すべて | graphicsmodedisabled |
| 0x16000050 | すべて | extendedinput |
| 0x16000053 | すべて | restartonfailure |
| 0x16000054 | すべて | highestmode |
| 0x1600006c | すべて | bootuxdisabled |
| 0x16000072 | すべて | nokeyboard |
| 0x16000074 | すべて | bootshutdowndisabled |
| 0x1700000a | すべて | badmemorylist |
| 0x17000077 | すべて | allowedinmemorysettings |
| 0x22000040 | すべて | fverecoveryurl |
| 0x22000041 | すべて | fverecoverymessage |
| 0x31000003 | すべて | ramdisksdidevice |
| 0x32000004 | すべて | ramdisksdipath |
| 0x35000001 | すべて | ramdiskimageoffset |
| 0x35000002 | すべて | ramdisktftpclientport |
| 0x35000005 | すべて | ramdiskimagelength |
| 0x35000007 | すべて | ramdisktftpblocksize |
| 0x35000008 | すべて | ramdisktftpwindowsize |
| 0x36000006 | すべて | exportascd |
| 0x36000009 | すべて | ramdiskmcenabled |
| 0x3600000a | すべて | ramdiskmctftpfallback |
| 0x3600000b | すべて | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | Msi |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | Safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | hypervisorbaudrate |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | Memtest | passcount |
| 0x25000002 | Memtest | testmix |
| 0x25000005 | Memtest | stridefailcount |
| 0x25000006 | Memtest | invcfailcount |
| 0x25000007 | Memtest | matsfailcount |
| 0x25000008 | Memtest | randfailcount |
| 0x25000009 | Memtest | chckrfailcount |
| 0x26000003 | Memtest | cacheenable |
| 0x26000004 | Memtest | failuresenabled |