BCD 설정 및 BitLocker
IT 전문가를 위한 이 항목에서는 BitLocker에서 사용되는 BCD 설정에 대해 설명합니다.
운영 체제 볼륨의 미사용 데이터를 보호하는 경우 BitLocker는 부팅 프로세스 중 BitLocker가 마지막으로 사용하도록 설정, 다시 시작 또는 복구된 이후 보안에 중요한 BCD(부팅 구성 데이터) 설정이 변경되지 않았는지 확인합니다.
BitLocker 및 BCD 설정
Windows 7 및 Windows Server 2008 R2에서 BitLocker는 winload, winresume 및 memtest 접두사를 가진 거의 모든 BCD 설정을 확인합니다. 그러나 이 높은 수준의 유효성 검사로 인해 BitLocker는 무해한 설정 변경을 위해 복구 모드로 전환됩니다. 예를 들어 언어 팩을 적용하는 경우 BitLocker에서 복구 모드를 시작합니다.
Windows 8, Windows Server 2012 이상 운영 체제에서 BitLocker는 무해한 변경으로 BCD 유효성 검사 문제를 유발하는 기회를 줄이기 위해 유효성을 검사하는 BCD 설정 집합의 범위를 좁힙니다. 유효성 검사 프로필에서 특정 BCD 설정을 제외하는 것이 위험하다고 생각되는 경우 유효성 검사 기본 설정에 맞게 BCD 유효성 검사 범위를 늘릴 수 있습니다. 또는 기본 BCD 설정이 무해한 변경을 위해 지속적으로 복구를 트리거하는 경우 유효성 검사 프로필에서 해당 BCD 설정을 제외할 수 있습니다.
보안 부팅을 사용하도록 설정
UEFI 펌웨어가 있는 컴퓨터는 보안 부팅을 사용하여 강화된 부팅 보안을 제공할 수 있습니다. 무결성 확인 시 보안 부팅 허용 그룹 정책 설정에서 정의한 것처럼 BitLocker가 플랫폼 및 BCD 무결성 유효성 검사를 위해 보안 부팅을 사용할 수 있는 경우 확장된 부팅 구성 데이터 유효성 검사 프로필 사용 그룹 정책은 무시됩니다.
보안 부팅을 사용하는 이점 중 하나는 복구 이벤트를 트리거하지 않고 부팅 중 BCD 설정을 수정할 수 있다는 것입니다. 보안 부팅은 BitLocker와 동일한 BCD 설정을 적용합니다. 보안 부팅 BCD 적용은 운영 체제에서 구성할 수 없습니다.
BCD 유효성 검사 설정 사용자 지정
BCD 설정을 수정하기 위해 BitLocker는 확장된 부팅 구성 데이터 유효성 검사 프로필 사용 그룹 정책 설정을 사용하도록 설정하고 구성하여 IT 전문가가 플랫폼 유효성 검사 프로필에서 BCD 설정을 추가하거나 제외하는지 확인합니다.
BitLocker 유효성 검사를 위해 BCD 설정이 특정 Microsoft 부팅 응용 프로그램 집합과 연결됩니다. BCD 설정은 특정 부팅 응용 프로그램과 연결되거나 그룹 정책 설정에서 입력한 BCD 설정에 접두사를 연결하여 모든 부팅 응용 프로그램에 적용할 수 있습니다. 접두사 값은 다음과 같습니다.
winload
winresume
memtest
all
모든 BCD 설정은 접두사 값을 16진수 값 또는 "이름"과 결합하여 지정됩니다.
BitLocker가 복구 모드를 시작하고 이벤트 로그(이벤트 ID 523)에 저장될 때 BCD 설정 16진수 값이 보고됩니다. 16진수 값은 복구 이벤트를 유발시킨 BCD 설정을 고유하게 식별합니다.
"bcdedit.exe /enum all" 명령을 사용하면 컴퓨터의 BCD 설정에 대한 이름을 빠르게 얻을 수 있습니다.
16진수 값이 제외 정책을 구성하는 유일한 방법인 설정의 경우 일부 BCD 설정에는 이름이 없습니다.
확장된 부팅 구성 데이터 유효성 검사 프로필 사용 그룹 정책 설정에서 BCD 값을 지정하는 경우 다음 구문을 사용합니다.
부팅 응용 프로그램을 설정의 접두사로 지정
콜론 ':' 추가
16진수 값이나 이름 추가
둘 이상의 BCD 설정을 입력하는 경우 새 줄에 각 BCD 설정을 입력해야 합니다.
예를 들어 "winload:hypervisordebugport" 또는 "winload:0x250000f4"는 동일한 값을 생성합니다.
모든 부팅 응용 프로그램에 적용되는 설정이 개별 응용 프로그램에만 적용될 수 있습니다. 그러나 반대로는 적용되지 않습니다. 예를 들어 "all:locale" 또는 "winresume:locale"을 지정할 수 있지만 bcd 설정 "win-pe"가 모든 부팅 응용 프로그램에 적용되는 것은 아니므로 "winload:winpe"는 유효하고 "all:winpe"는 유효하지 않습니다. 부팅 디버깅("bootdebug" 또는 0x16000010)을 제어하는 설정은 항상 유효성이 검사되며, 제공된 필드에 포함된 경우 아무런 영향을 주지 않습니다.
참고
그룹 정책 설정에서 BCD 항목을 구성하는 경우 주의해야 합니다. 로컬 그룹 정책 편집기는 BCD 항목의 정확성을 확인하지 않습니다. 지정된 그룹 정책 설정이 유효하지 않은 경우 BitLocker를 사용하도록 설정할 수 없습니다.
기본 BCD 유효성 검사 프로필
다음 표에는 Windows 8, Windows Server 2012 이상 운영 체제에서 BitLocker가 사용하는 기본 BCD 유효성 검사 프로필이 나와 있습니다.
| 16진수 값 | 접두사 | 이름 |
|---|---|---|
0x11000001 |
all |
device |
0x12000002 |
all |
path |
0x12000030 |
all |
loadoptions |
0x16000010 |
all |
bootdebug |
0x16000040 |
all |
advancedoptions |
0x16000041 |
all |
optionsedit |
0x16000048 |
all |
nointegritychecks |
0x16000049 |
all |
testsigning |
0x16000060 |
all |
isolatedcontext |
0x1600007b |
all |
forcefipscrypto |
0x22000002 |
winload |
systemroot |
0x22000011 |
winload |
kernel |
0x22000012 |
winload |
hal |
0x22000053 |
winload |
evstore |
0x25000020 |
winload |
nx |
0x25000052 |
winload |
restrictapiccluster |
0x26000022 |
winload |
winpe |
0x26000025 |
winload |
lastknowngood |
0x26000081 |
winload |
safebootalternateshell |
0x260000a0 |
winload |
debug |
0x260000f2 |
winload |
hypervisordebug |
0x26000116 |
winload |
hypervisorusevapic |
0x21000001 |
winresume |
filedevice |
0x22000002 |
winresume |
filepath |
0x26000006 |
winresume |
debugoptionenabled |
무시된 BCD 설정의 전체 이름 목록
다음은 기본적으로 무시되는 이름을 가진 BCD 설정의 전체 목록입니다. 이러한 설정은 기본 BitLocker 유효성 검사 프로필의 일부가 아니지만 BitLocker로 보호된 운영 체제 드라이브를 잠금 해제하도록 허용하기 전에 이러한 설정의 유효성을 검사할 필요가 있다고 생각하는 경우 추가할 수 있습니다.
참고
추가 BCD 설정에는 16진수 값은 있지만 이름은 없습니다. 이러한 설정은 이 목록에 없습니다.
| 16진수 값 | 접두사 | 이름 |
|---|---|---|
0x12000004 |
all |
설명 |
0x12000005 |
all |
locale |
0x12000016 |
all |
targetname |
0x12000019 |
all |
busparams |
0x1200001d |
all |
key |
0x1200004a |
all |
fontpath |
0x14000006 |
all |
inherit |
0x14000008 |
all |
recoverysequence |
0x15000007 |
all |
truncatememory |
0x1500000c |
all |
firstmegabytepolicy |
0x1500000d |
all |
relocatephysical |
0x1500000e |
all |
avoidlowmemory |
0x15000011 |
all |
debugtype |
0x15000012 |
all |
debugaddress |
0x15000013 |
all |
debugport |
0x15000014 |
all |
baudrate |
0x15000015 |
all |
channel |
0x15000018 |
all |
debugstart |
0x1500001a |
all |
hostip |
0x1500001b |
all |
port |
0x15000022 |
all |
emsport |
0x15000023 |
all |
emsbaudrate |
0x15000042 |
all |
keyringaddress |
0x15000047 |
all |
configaccesspolicy |
0x1500004b |
all |
integrityservices |
0x1500004c |
all |
volumebandid |
0x15000051 |
all |
initialconsoleinput |
0x15000052 |
all |
graphicsresolution |
0x15000065 |
all |
displaymessage |
0x15000066 |
all |
displaymessageoverride |
0x16000009 |
all |
recoveryenabled |
0x1600000b |
all |
badmemoryaccess |
0x1600000f |
all |
traditionalkseg |
0x16000017 |
all |
noumex |
0x1600001c |
all |
dhcp |
0x1600001e |
all |
vm |
0x16000020 |
all |
bootems |
0x16000046 |
all |
graphicsmodedisabled |
0x16000050 |
all |
extendedinput |
0x16000053 |
all |
restartonfailure |
0x16000054 |
all |
highestmode |
0x1600006c |
all |
bootuxdisabled |
0x16000072 |
all |
nokeyboard |
0x16000074 |
all |
bootshutdowndisabled |
0x1700000a |
all |
badmemorylist |
0x17000077 |
all |
allowedinmemorysettings |
0x22000040 |
all |
fverecoveryurl |
0x22000041 |
all |
fverecoverymessage |
0x31000003 |
all |
ramdisksdidevice |
0x32000004 |
all |
ramdisksdipath |
0x35000001 |
all |
ramdiskimageoffset |
0x35000002 |
all |
ramdisktftpclientport |
0x35000005 |
all |
ramdiskimagelength |
0x35000007 |
all |
ramdisktftpblocksize |
0x35000008 |
all |
ramdisktftpwindowsize |
0x36000006 |
all |
exportascd |
0x36000009 |
all |
ramdiskmcenabled |
0x3600000a |
all |
ramdiskmctftpfallback |
0x3600000b |
all |
ramdisktftpvarwindow |
0x21000001 |
winload |
osdevice |
0x22000013 |
winload |
dbgtransport |
0x220000f9 |
winload |
hypervisorbusparams |
0x22000110 |
winload |
hypervisorusekey |
0x23000003 |
winload |
resumeobject |
0x25000021 |
winload |
pae |
0x25000031 |
winload |
removememory |
0x25000032 |
winload |
increaseuserva |
0x25000033 |
winload |
perfmem |
0x25000050 |
winload |
clustermodeaddressing |
0x25000055 |
winload |
x2apicpolicy |
0x25000061 |
winload |
numproc |
0x25000063 |
winload |
configflags |
0x25000066 |
winload |
groupsize |
0x25000071 |
winload |
msi |
0x25000072 |
winload |
pciexpress |
0x25000080 |
winload |
safeboot |
0x250000a6 |
winload |
tscsyncpolicy |
0x250000c1 |
winload |
driverloadfailurepolicy |
0x250000c2 |
winload |
bootmenupolicy |
0x250000e0 |
winload |
bootstatuspolicy |
0x250000f0 |
winload |
hypervisorlaunchtype |
0x250000f3 |
winload |
hypervisordebugtype |
0x250000f4 |
winload |
hypervisordebugport |
0x250000f5 |
winload |
hypervisorbaudrate |
0x250000f6 |
winload |
hypervisorchannel |
0x250000f7 |
winload |
bootux |
0x250000fa |
winload |
hypervisornumproc |
0x250000fb |
winload |
hypervisorrootprocpernode |
0x250000fd |
winload |
hypervisorhostip |
0x250000fe |
winload |
hypervisorhostport |
0x25000100 |
winload |
tpmbootentropy |
0x25000113 |
winload |
hypervisorrootproc |
0x25000115 |
winload |
hypervisoriommupolicy |
0x25000120 |
winload |
xsavepolicy |
0x25000121 |
winload |
xsaveaddfeature0 |
0x25000122 |
winload |
xsaveaddfeature1 |
0x25000123 |
winload |
xsaveaddfeature2 |
0x25000124 |
winload |
xsaveaddfeature3 |
0x25000125 |
winload |
xsaveaddfeature4 |
0x25000126 |
winload |
xsaveaddfeature5 |
0x25000127 |
winload |
xsaveaddfeature6 |
0x25000128 |
winload |
xsaveaddfeature7 |
0x25000129 |
winload |
xsaveremovefeature |
0x2500012a |
winload |
xsaveprocessorsmask |
0x2500012b |
winload |
xsavedisable |
0x25000130 |
winload |
claimedtpmcounter |
0x26000004 |
winload |
stampdisks |
0x26000010 |
winload |
detecthal |
0x26000024 |
winload |
nocrashautoreboot |
0x26000030 |
winload |
nolowmem |
0x26000040 |
winload |
vga |
0x26000041 |
winload |
quietboot |
0x26000042 |
winload |
novesa |
0x26000043 |
winload |
novga |
0x26000051 |
winload |
usephysicaldestination |
0x26000054 |
winload |
uselegacyapicmode |
0x26000060 |
winload |
onecpu |
0x26000062 |
winload |
maxproc |
0x26000064 |
winload |
maxgroup |
0x26000065 |
winload |
groupaware |
0x26000070 |
winload |
usefirmwarepcisettings |
0x26000090 |
winload |
bootlog |
0x26000091 |
winload |
sos |
0x260000a1 |
winload |
halbreakpoint |
0x260000a2 |
winload |
useplatformclock |
0x260000a3 |
winload |
forcelegacyplatform |
0x260000a4 |
winload |
useplatformtick |
0x260000a5 |
winload |
disabledynamictick |
0x260000b0 |
winload |
ems |
0x260000c3 |
winload |
onetimeadvancedoptions |
0x260000c4 |
winload |
onetimeoptionsedit |
0x260000e1 |
winload |
disableelamdrivers |
0x260000f8 |
winload |
hypervisordisableslat |
0x260000fc |
winload |
hypervisoruselargevtlb |
0x26000114 |
winload |
hypervisordhcp |
0x21000005 |
winresume |
associatedosdevice |
0x25000007 |
winresume |
bootux |
0x25000008 |
winresume |
bootmenupolicy |
0x26000003 |
winresume |
customsettings |
0x26000004 |
winresume |
pae |
0x25000001 |
memtest |
passcount |
0x25000002 |
memtest |
testmix |
0x25000005 |
memtest |
stridefailcount |
0x25000006 |
memtest |
invcfailcount |
0x25000007 |
memtest |
matsfailcount |
0x25000008 |
memtest |
randfailcount |
0x25000009 |
memtest |
chckrfailcount |
0x26000003 |
memtest |
cacheenable |
0x26000004 |
memtest |
failuresenabled |