ブート構成データ設定と BitLocker
IT プロフェッショナル向けのこの記事では、BitLocker で使用されるブート構成データ (BCD) 設定について説明します。
オペレーティング システム ボリュームの保存データを保護する場合、ブート プロセス中に BitLocker は、BitLocker が最後に有効、再開、または回復されてからセキュリティに依存する BCD 設定が変更されていないことを確認します。
BitLocker と BCD の設定
Windows 7 および Windows Server 2008 R2 では、BitLocker では、winload、winresume、memtest プレフィックスを使用して BCD 設定を大幅に検証しました。 ただし、この高度な検証により、BitLocker は、問題のない設定の変更のために回復モードに移行しました。たとえば、言語パックを適用すると、BitLocker は回復モードに入ります。
Windows 8、Windows Server 2012、以降のオペレーティング システムでは、BitLocker によって検証された BCD 設定のセットが絞り込まれます。これにより、BCD 検証の問題を引き起こす問題を引き起こす問題が発生する可能性が低くなります。 検証プロファイルから特定の BCD 設定を除外するリスクがあると考えられる場合は、検証の設定に合わせて BCD 検証カバレッジにその BCD 設定を含めます。 既定の BCD 設定で問題のない変更の回復を永続的にトリガーする場合は、その BCD 設定を検証カバレッジから除外します。
セキュア ブートが有効になっている場合
UEFI ファームウェアを搭載したコンピューターでは、セキュア ブートを使用して、ブートのセキュリティを強化できます。 BitLocker でプラットフォームと BCD の整合性検証にセキュリティで保護されたブートを使用できる場合は、[整合性検証のセキュリティ で保護されたブートを許可する ] グループ ポリシー設定で定義されている場合、[ 拡張ブート構成データ検証プロファイル の使用 ] グループ ポリシーは無視されます。
セキュリティで保護されたブートを使用する利点の 1 つは、回復イベントをトリガーすることなく、起動中に BCD 設定を修正できることです。 セキュア ブートでは、BitLocker と同じ BCD 設定が適用されます。 セキュリティで保護されたブート BCD の適用は、オペレーティング システム内から構成できません。
BCD 検証設定のカスタマイズ
BitLocker によって検証される BCD 設定を変更するには、管理者は、[ 拡張ブート構成データ検証プロファイルの使用 ] グループ ポリシー設定を有効にして構成することで、プラットフォーム検証プロファイルに BCD 設定を追加または除外します。
BitLocker 検証のために、BCD 設定は Microsoft ブート アプリケーションの特定のセットに関連付けられます。 これらの BCD 設定は、BCD 設定が既に適用されているセットの一部ではない他の Microsoft ブート アプリケーションにも適用できます。 この設定は、次のいずれかのプレフィックスを、グループ ポリシー設定ダイアログで入力されている BCD 設定にアタッチすることで実行できます。
- winload
- winresume
- Memtest
- 上記のすべて
すべての BCD 設定は、プレフィックス値を 16 進 (16 進) 値または "フレンドリ名" と組み合わせることによって指定されます。
BCD 設定の 16 進値は、BitLocker が回復モードになると報告され、イベント ログ (イベント ID 523) に格納されます。 16 進値は、復旧イベントの原因となった BCD 設定を一意に識別します。
コマンド bcdedit.exe /enum allを使用すると、コンピューター上の BCD 設定のフレンドリ名をすばやく取得できます。
すべての BCD 設定にフレンドリ名があるわけではありません。フレンドリ名のない設定では、除外ポリシーを構成する唯一の方法は 16 進値です。
[拡張ブート構成データ検証プロファイル の使用] グループ ポリシー設定で BCD 値を指定する場合は、次の構文を使用します。
- ブート アプリケーションのプレフィックスを使用して設定のプレフィックスを付けます
- コロンを追加する
: - 16 進値またはフレンドリ名を追加します
- 複数の BCD 設定を入力する場合は、各 BCD 設定を新しい行に入力する必要があります
たとえば、"" または "winload:hypervisordebugportwinload:0x250000f4" によって同じ値が生成されます。
すべてのブート アプリケーションに適用される設定は、個々のアプリケーションにのみ適用できます。 ただし、逆は当てはまりません。 たとえば、"" または "all:localewinresume:locale" のいずれかを指定できますが、BCD 設定 "win-pe" はすべてのブート アプリケーションに適用されないため、"winload:winpe" は有効ですが、"all:winpe" は有効ではありません。 ブート デバッグ ("bootdebug" または 0x16000010) を制御する設定は常に検証され、指定されたフィールドに含まれている場合は無効になります。
注
グループ ポリシー設定で BCD エントリを構成するときは注意してください。 ローカル グループ ポリシー エディターでは、BCD エントリの正確性は検証されません。 指定したグループ ポリシー設定が無効な場合、BitLocker は有効にできません。
既定の BCD 検証プロファイル
次の表に、Windows 8、Windows Server 2012、以降のバージョンで BitLocker によって使用される既定の BCD 検証プロファイルを示します。
| 16 進値 | プレフィックス | フレンドリ名 |
|---|---|---|
| 0x11000001 | すべて | デバイス |
| 0x12000002 | すべて | path |
| 0x12000030 | すべて | loadoptions |
| 0x16000010 | すべて | bootdebug |
| 0x16000040 | すべて | advancedoptions |
| 0x16000041 | すべて | optionsedit |
| 0x16000048 | すべて | nointegritychecks |
| 0x16000049 | すべて | testsigning |
| 0x16000060 | すべて | isolatedcontext |
| 0x1600007b | すべて | forcefipscrypto |
| 0x22000002 | winload | Systemroot |
| 0x22000011 | winload | カーネル |
| 0x22000012 | winload | Hal |
| 0x22000053 | winload | evstore |
| 0x25000020 | winload | Nx |
| 0x25000052 | winload | restrictapiccluster |
| 0x26000022 | winload | Winpe |
| 0x26000025 | winload | lastknowngood |
| 0x26000081 | winload | safebootalternateshell |
| 0x260000a0 | winload | デバッグ |
| 0x260000f2 | winload | hypervisordebug |
| 0x26000116 | winload | hypervisorusevapic |
| 0x21000001 | winresume | filedevice |
| 0x22000002 | winresume | Filepath |
| 0x26000006 | winresume | debugoptionenabled |
無視された BCD 設定のフレンドリ名の完全な一覧
次の一覧は、既定では無視されるフレンドリ名を持つ BCD 設定の完全な一覧です。 これらの設定は、既定の BitLocker 検証プロファイルの一部ではありませんが、BitLocker で保護されたオペレーティング システム ドライブのロック解除を許可する前に、これらの設定のいずれかを検証する必要がある場合に追加できます。
注
16 進値を持つがフレンドリ名を持たない追加の BCD 設定が存在します。 これらの設定は、この一覧には含まれません。
| 16 進値 | プレフィックス | フレンドリ名 |
|---|---|---|
| 0x12000004 | すべて | description |
| 0x12000005 | すべて | locale |
| 0x12000016 | すべて | Targetname |
| 0x12000019 | すべて | busparams |
| 0x1200001d | すべて | key |
| 0x1200004a | すべて | fontpath |
| 0x14000006 | すべて | 継承 |
| 0x14000008 | すべて | recoverysequence |
| 0x15000007 | すべて | truncatememory |
| 0x1500000c | すべて | firstmegabytepolicy |
| 0x1500000d | すべて | 再配置物理 |
| 0x1500000e | すべて | avoidlowmemory |
| 0x15000011 | すべて | debugtype |
| 0x15000012 | すべて | debugaddress |
| 0x15000013 | すべて | debugport |
| 0x15000014 | すべて | baudrate |
| 0x15000015 | すべて | チャネル |
| 0x15000018 | すべて | debugstart |
| 0x1500001a | すべて | hostip |
| 0x1500001b | すべて | ポート |
| 0x15000022 | すべて | emsport |
| 0x15000023 | すべて | emsbaudrate |
| 0x15000042 | すべて | keyringaddress |
| 0x15000047 | すべて | configaccesspolicy |
| 0x1500004b | すべて | integrityservices |
| 0x1500004c | すべて | volumebandid |
| 0x15000051 | すべて | initialconsoleinput |
| 0x15000052 | すべて | graphicsresolution |
| 0x15000065 | すべて | displaymessage |
| 0x15000066 | すべて | displaymessageoverride |
| 0x15000081 | すべて | logcontrol |
| 0x16000009 | すべて | recoveryenabled |
| 0x1600000b | すべて | badmemoryaccess |
| 0x1600000f | すべて | traditionalkseg |
| 0x16000017 | すべて | noumex |
| 0x1600001c | すべて | Dhcp |
| 0x1600001e | すべて | Vm |
| 0x16000020 | すべて | bootems |
| 0x16000046 | すべて | graphicsmodedisabled |
| 0x16000050 | すべて | extendedinput |
| 0x16000053 | すべて | restartonfailure |
| 0x16000054 | すべて | highestmode |
| 0x1600006c | すべて | bootuxdisabled |
| 0x16000072 | すべて | nokeyboard |
| 0x16000074 | すべて | bootshutdowndisabled |
| 0x1700000a | すべて | badmemorylist |
| 0x17000077 | すべて | allowedinmemorysettings |
| 0x22000040 | すべて | fverecoveryurl |
| 0x22000041 | すべて | fverecoverymessage |
| 0x31000003 | すべて | ramdisksdidevice |
| 0x32000004 | すべて | ramdisksdipath |
| 0x35000001 | すべて | ramdiskimageoffset |
| 0x35000002 | すべて | ramdisktftpclientport |
| 0x35000005 | すべて | ramdiskimagelength |
| 0x35000007 | すべて | ramdisktftpblocksize |
| 0x35000008 | すべて | ramdisktftpwindowsize |
| 0x36000006 | すべて | exportascd |
| 0x36000009 | すべて | ramdiskmcenabled |
| 0x3600000a | すべて | ramdiskmctftpfallback |
| 0x3600000b | すべて | ramdisktftpvarwindow |
| 0x21000001 | winload | osdevice |
| 0x22000013 | winload | dbgtransport |
| 0x220000f9 | winload | hypervisorbusparams |
| 0x22000110 | winload | hypervisorusekey |
| 0x23000003 | winload | resumeobject |
| 0x25000021 | winload | Pae |
| 0x25000031 | winload | removememory |
| 0x25000032 | winload | increaseuserva |
| 0x25000033 | winload | perfmem |
| 0x25000050 | winload | clustermodeaddressing |
| 0x25000055 | winload | x2apicpolicy |
| 0x25000061 | winload | numproc |
| 0x25000063 | winload | configflags |
| 0x25000066 | winload | groupsize |
| 0x25000071 | winload | Msi |
| 0x25000072 | winload | pciexpress |
| 0x25000080 | winload | Safeboot |
| 0x250000a6 | winload | tscsyncpolicy |
| 0x250000c1 | winload | driverloadfailurepolicy |
| 0x250000c2 | winload | bootmenupolicy |
| 0x250000e0 | winload | bootstatuspolicy |
| 0x250000f0 | winload | hypervisorlaunchtype |
| 0x250000f3 | winload | hypervisordebugtype |
| 0x250000f4 | winload | hypervisordebugport |
| 0x250000f5 | winload | hypervisorbaudrate |
| 0x250000f6 | winload | hypervisorchannel |
| 0x250000f7 | winload | bootux |
| 0x250000fa | winload | hypervisornumproc |
| 0x250000fb | winload | hypervisorrootprocpernode |
| 0x250000fd | winload | hypervisorhostip |
| 0x250000fe | winload | hypervisorhostport |
| 0x25000100 | winload | tpmbootentropy |
| 0x25000113 | winload | hypervisorrootproc |
| 0x25000115 | winload | hypervisoriommupolicy |
| 0x25000120 | winload | xsavepolicy |
| 0x25000121 | winload | xsaveaddfeature0 |
| 0x25000122 | winload | xsaveaddfeature1 |
| 0x25000123 | winload | xsaveaddfeature2 |
| 0x25000124 | winload | xsaveaddfeature3 |
| 0x25000125 | winload | xsaveaddfeature4 |
| 0x25000126 | winload | xsaveaddfeature5 |
| 0x25000127 | winload | xsaveaddfeature6 |
| 0x25000128 | winload | xsaveaddfeature7 |
| 0x25000129 | winload | xsaveremovefeature |
| 0x2500012a | winload | xsaveprocessorsmask |
| 0x2500012b | winload | xsavedisable |
| 0x25000130 | winload | claimedtpmcounter |
| 0x26000004 | winload | stampdisks |
| 0x26000010 | winload | detecthal |
| 0x26000024 | winload | nocrashautoreboot |
| 0x26000030 | winload | nolowmem |
| 0x26000040 | winload | Vga |
| 0x26000041 | winload | quietboot |
| 0x26000042 | winload | novesa |
| 0x26000043 | winload | novga |
| 0x26000051 | winload | usephysicaldestination |
| 0x26000054 | winload | uselegacyapicmode |
| 0x26000060 | winload | onecpu |
| 0x26000062 | winload | maxproc |
| 0x26000064 | winload | maxgroup |
| 0x26000065 | winload | groupaware |
| 0x26000070 | winload | usefirmwarepcisettings |
| 0x26000090 | winload | bootlog |
| 0x26000091 | winload | Sos |
| 0x260000a1 | winload | halbreakpoint |
| 0x260000a2 | winload | useplatformclock |
| 0x260000a3 | winload | forcelegacyplatform |
| 0x260000a4 | winload | useplatformtick |
| 0x260000a5 | winload | disabledynamictick |
| 0x260000b0 | winload | Ems |
| 0x260000c3 | winload | onetimeadvancedoptions |
| 0x260000c4 | winload | onetimeoptionsedit |
| 0x260000e1 | winload | disableelamdrivers |
| 0x260000f8 | winload | hypervisordisableslat |
| 0x260000fc | winload | hypervisoruselargevtlb |
| 0x26000114 | winload | hypervisordhcp |
| 0x21000005 | winresume | associatedosdevice |
| 0x25000007 | winresume | bootux |
| 0x25000008 | winresume | bootmenupolicy |
| 0x26000003 | winresume | customsettings |
| 0x26000004 | winresume | Pae |
| 0x25000001 | Memtest | passcount |
| 0x25000002 | Memtest | testmix |
| 0x25000005 | Memtest | stridefailcount |
| 0x25000006 | Memtest | invcfailcount |
| 0x25000007 | Memtest | matsfailcount |
| 0x25000008 | Memtest | randfailcount |
| 0x25000009 | Memtest | chckrfailcount |
| 0x26000003 | Memtest | cacheenable |
| 0x26000004 | Memtest | failuresenabled |