MBAM 1.0 평가

  • 아티클

Microsoft BitLocker 관리 및 모니터링(MBAM)을 프로덕션 환경에 배포하기 전에 랩 환경에서 평가해야 합니다. 이 항목의 정보를 사용하여 평가 목적으로만 단일 서버 랩 환경에서 MBAM을 설정할 수 있습니다.

실제 배포 단계는 단일 서버에 MBAM을 설치 및 구성하는 방법에 설명된 시나리오와 매우 유사하지만 이 항목에는 최소 시간 내에 MBAM 평가 환경을 설정할 수 있도록 하는 추가 정보가 포함되어 있습니다.

랩 환경 설정

랩 환경에서 평가하도록 MBAM의 비프로덕션 인스턴스를 설정하는 경우에도 배포 필수 구성 요소와 하드웨어 및 소프트웨어 요구 사항을 충족했는지 확인해야 합니다. 자세한 내용은 MBAM 1.0 배포 필수 구성 요소 및MBAM 1.0 지원 구성을 참조하세요. 또한 MBAM 평가 배포를 시작하기 전에 MBAM 1.0에 대한 환경 준비를 검토해야 합니다.

MBAM 평가 배포 계획

작업 참조 참고
검사 목록 상자

배포 계획을 시작하기 전에 MBAM에 대한 시작 정보를 검토하여 제품에 대한 기본적인 이해를 얻습니다.

MBAM 1.0 시작

검사 목록 상자

MBAM 설치를 위한 컴퓨팅 환경을 준비합니다. 이렇게 하려면 MBAM 데이터베이스를 호스트할 SQL Server 인스턴스에서 TDE(투명한 데이터 암호화)를 사용하도록 설정해야 합니다. 랩 환경에서 TDE를 사용하도록 설정하려면 MBAM에서 사용할 SQL Server 인스턴스에서 호스트되는 master 데이터베이스에 대해 실행할 .sql 파일을 만들 수 있습니다.

참고

다음 예제를 사용하여 랩 환경에 대한 .sql 파일을 만들어 MBAM 데이터베이스를 호스트할 SQL Server 인스턴스에서 TDE를 신속하게 사용하도록 설정할 수 있습니다. 이러한 SQL Server 명령은 로컬로 서명된 SQL Server 인증서를 사용하여 TDE를 사용하도록 설정합니다. TDE 인증서 및 관련 암호화 키를 C:\Backup의 예제 로컬 백업 경로에 백업해야 합니다. TDE 인증서 및 키는 데이터베이스를 복구하거나 인증서와 키를 TDE 암호화가 있는 다른 서버로 이동할 때 필요합니다.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

MBAM 1.0 배포 필수 구성 요소

SQL Server 2008 Enterprise Edition 데이터베이스 암호화

검사 목록 상자

MBAM 그룹 정책 요구 사항을 계획하고 구성합니다.

MBAM 1.0 그룹 정책 요구 사항 계획

검사 목록 상자

필요한 Active Directory Domain Services 보안 그룹을 계획하고 만들고 MBAM 로컬 보안 그룹 멤버 자격 요구 사항을 계획합니다.

MBAM 1.0 관리자 역할 계획

검사 목록 상자

MBAM 서버 기능 배포를 계획합니다.

MBAM 1.0 서버 배포 계획

검사 목록 상자

MBAM 클라이언트 배포를 계획합니다.

MBAM 1.0 클라이언트 배포 계획

MBAM 평가 배포 수행

MBAM 설치를 위해 컴퓨팅 환경을 준비하는 데 필요한 계획 및 소프트웨어 필수 구성 요소 설치를 완료한 후 MBAM 평가 배포를 시작할 수 있습니다.

검사 목록 상자

MBAM 지원 구성 정보를 검토하여 선택한 클라이언트 및 서버 컴퓨터가 MBAM 기능 설치에 지원되는지 확인합니다.

MBAM 1.0 지원되는 구성

검사 목록 상자

MBAM 설치 프로그램을 실행하여 평가 목적으로 단일 서버에 MBAM 서버 기능을 배포합니다.

단일 서버에서 MBAM을 설치 및 구성하는 방법

검사 목록 상자

계획 단계에서 만든 Active Directory Domain Services 보안 그룹을 새 MBAM 서버의 적절한 로컬 MBAM 서버 기능 로컬 그룹에 추가합니다.

MBAM 1.0 관리자 역할 계획 및 MBAM 관리자 역할 관리 방법

검사 목록 상자

필요한 MBAM 그룹 정책 개체를 만들고 배포합니다.

MBAM 1.0 그룹 정책 개체 배포

검사 목록 상자

MBAM 클라이언트 소프트웨어를 배포합니다.

MBAM 1.0 클라이언트 배포

MBAM 평가를 위한 랩 컴퓨터 구성

레지스트리 편집기를 사용하여 MBAM 클라이언트 상태 보고의 빈도 설정을 변경할 수 있습니다. 그러나 이러한 수정은 테스트 목적으로만 사용해야 합니다.

Warning
이 항목에서는 레지스트리 편집기를 사용하여 Windows 레지스트리를 변경하는 방법을 설명합니다. Windows 레지스트리를 잘못 변경하면 Windows를 다시 설치해야 할 수 있는 심각한 문제가 발생할 수 있습니다. 레지스트리를 변경하기 전에 레지스트리 파일(System.dat 및 User.dat)의 백업 복사본을 만들어야 합니다. Microsoft는 레지스트리를 변경할 때 발생할 수 있는 문제를 해결할 수 있다고 보장할 수 없습니다. 사용자 고유의 위험으로 레지스트리를 변경합니다.

MBAM 클라이언트 상태 보고에서 빈도 설정 수정

MBAM 클라이언트 절전 모드 해제 및 상태 보고 빈도는 그룹 정책 사용하도록 설정된 경우 최소 90분입니다. Windows 레지스트리를 편집하여 MBAM 클라이언트 컴퓨터에서 이러한 빈도를 더 낮은 값으로 변경할 수 있으므로 테스트 속도를 높일 수 있습니다. MBAM 클라이언트 상태 보고에서 빈도 설정을 수정하려면 레지스트리 편집기를 사용하여 HKLM\Software\Policies\FVE\MDOPBitLockerManagement로 이동하고 ClientWakeupFrequencyStatusReportingFrequency 의 값을 최소 클라이언트 지원 값으로 변경 한 다음 BitLocker 관리 클라이언트 서비스를 다시 시작합니다. 이 변경을 수행하면 MBAM 클라이언트가 1분마다 보고합니다. 레지스트리에서 수동으로 설정할 때만 이 낮음 값을 설정할 수 있습니다.

MBAM 클라이언트 서비스에서 시작 지연 수정

MBAM 클라이언트 절전 모드 해제 및 상태 보고 빈도 외에도 클라이언트 컴퓨터에서 MBAM 클라이언트 에이전트 서비스가 시작될 때 최대 90분의 임의 지연이 발생합니다. 임의 지연을 원하지 않는 경우 HKLM\Software\Microsoft\MBAM에서 NoStartupDelayDWORD 값을 만들고 값을 1로 설정한 다음 BitLocker 관리 클라이언트 서비스를 다시 시작합니다.

MBAM 1.0 시작