MBAM 1.0 그룹 정책 요구 사항 계획

  • 아티클

Microsoft BitLocker MBAM(관리 및 모니터링) 클라이언트 관리에는 사용자 지정 그룹 정책 설정을 적용해야 합니다. 이 항목에서는 MBAM을 사용하여 엔터프라이즈에서 BitLocker 드라이브 암호화를 관리하는 경우 GPO(그룹 정책 Object)에 사용할 수 있는 정책 옵션에 대해 설명합니다.

중요
MBAM은 Windows BitLocker 드라이브 암호화에 대한 기본 GPO 설정을 사용하지 않습니다. 기본 설정을 사용하도록 설정하면 충돌 동작이 발생할 수 있습니다. MBAM이 BitLocker를 관리할 수 있도록 하려면 MBAM 그룹 정책 템플릿을 설치한 후 GPO 정책 설정을 정의해야 합니다.

MBAM 그룹 정책 템플릿을 설치한 후 MBAM이 엔터프라이즈 BitLocker 암호화를 관리할 수 있도록 하는 사용 가능한 사용자 지정 MBAM GPO 정책 설정을 보고 수정할 수 있습니다. GPMC(그룹 정책 Management Console) 또는 AGPM(Advanced 그룹 정책 Management) MDOP 기술을 실행할 수 있는 컴퓨터에 MBAM 그룹 정책 템플릿을 설치해야 합니다. 그런 다음 해당 GPO를 편집하려면 GPMC 또는 AGPM을 연 다음, 다음 GPO 노드로 이동합니다. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management).

MDOP MBAM(BitLocker Management) GPO 노드에는 각각 4개의 전역 정책 설정과 4개의 자식 GPO 설정 노드가 포함됩니다. 네 가지 GPO 전역 정책 설정은 클라이언트 관리, 고정 드라이브, 운영 체제 드라이브 및 이동식 드라이브입니다. 다음 섹션에서는 MBAM GPO 정책 설정 요구 사항을 계획하는 데 도움이 되는 정책 정의 및 제안된 정책 설정을 제공합니다.

참고
MBAM에서 BitLocker 암호화를 관리할 수 있도록 권장되는 최소 GPO 설정을 구성하는 방법에 대한 자세한 내용은 MBAM 1.0 GPO 설정을 편집하는 방법을 참조하세요.

전역 정책 정의

이 섹션에서는 다음 GPO 노드에서 찾을 수 있는 MBAM 전역 정책 정의에 대해 설명합니다. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management).

정책 이름 개요 및 제안된 정책 설정

드라이브 암호화 방법 및 암호 강도 선택

제안된 구성: 구성되지 않음

특정 암호화 방법 및 암호화 강도를 사용하도록 이 정책을 구성합니다.

이 정책이 구성되지 않은 경우 BitLocker는 Diffuser와 함께 AES 128비트 기본 암호화 방법 또는 설치 스크립트에서 지정한 암호화 방법을 사용합니다.

다시 시작할 때 메모리 덮어쓰기 방지

제안된 구성: 구성되지 않음

다시 시작할 때 메모리에서 BitLocker 비밀을 덮어쓰지 않고 다시 시작 성능을 향상시키려면 이 정책을 구성합니다.

이 정책을 구성하지 않으면 컴퓨터가 다시 시작될 때 BitLocker 비밀이 메모리에서 제거됩니다.

스마트 카드 인증서 사용 규칙 유효성 검사

제안된 구성: 구성되지 않음

스마트 카드 인증서 기반 BitLocker 보호를 사용하도록 이 정책을 구성합니다.

이 정책을 구성하지 않으면 기본 개체 식별자 1.3.6.1.4.1.311.67.1.1이 인증서를 지정하는 데 사용됩니다.

조직의 고유 식별자 제공

제안된 구성: 구성되지 않음

인증서 기반 데이터 복구 에이전트 또는 BitLocker To Go 판독기를 사용하도록 이 정책을 구성합니다.

이 정책을 구성하지 않으면 식별 필드가 사용되지 않습니다.

회사에 더 높은 보안 측정값이 필요한 경우 모든 USB 디바이스에 이 필드가 설정되어 있고 이 그룹 정책 설정에 맞춰지도록 식별 필드를 구성할 수 있습니다.

클라이언트 관리 정책 정의

이 섹션에서는 다음 GPO 노드에 있는 MBAM에 대한 클라이언트 관리 정책 정의에 대해 설명합니다. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management) \ 클라이언트 관리.

정책 이름 개요 및 제안된 정책 설정

MBAM 서비스 구성

권장 구성: 사용

  • MBAM 복구 및 하드웨어 서비스 엔드포인트. MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 구성해야 하는 첫 번째 정책 설정입니다. 이 설정의 경우 http://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩>된 포트/MBAMRecoveryAndHardwareService/CoreService.svc 예제와 유사한 엔드포인트 위치를 입력합니다.

  • 저장할 BitLocker 복구 정보를 선택합니다. 이 정책 설정을 사용하면 BitLocker 복구 정보를 백업하도록 키 복구 서비스를 구성할 수 있습니다. 또한 규정 준수 및 감사 보고서를 수집하기 위한 상태 보고 서비스를 구성할 수 있습니다. 이 정책은 주요 정보가 부족하여 데이터가 손실되는 것을 방지하기 위해 BitLocker로 암호화된 데이터를 복구하는 관리 방법을 제공합니다. 상태 보고서 및 키 복구 작업은 구성된 보고서 서버 위치로 자동으로 자동 전송됩니다.

    구성하지 않거나 이 정책 설정을 사용하지 않도록 설정하면 키 복구 정보가 저장되지 않으며 상태 보고서 및 키 복구 작업이 서버에 보고되지 않습니다. 이 설정을 복구 암호 및 키 패키지로 설정하면 복구 암호와 키 패키지가 자동으로 구성되고 구성된 키 복구 서버 위치에 자동으로 백업됩니다.

  • 클라이언트 확인 상태 빈도(분)를 입력합니다. 이 정책 설정은 클라이언트가 BitLocker 보호 정책 및 클라이언트 컴퓨터의 상태를 확인하는 빈도를 관리합니다. 또한 이 정책은 클라이언트 준수 상태가 서버에 저장되는 빈도를 관리합니다. 클라이언트는 클라이언트 컴퓨터에서 BitLocker 보호 정책 및 상태를 확인하고 구성된 빈도로 클라이언트 복구 키도 백업합니다.

    컴퓨터의 준수 상태를 확인하는 빈도 및 클라이언트 복구 키를 백업하는 빈도에 대해 회사에서 설정한 요구 사항에 따라 이 빈도를 설정합니다.

  • MBAM 상태 보고 서비스 엔드포인트. MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 구성해야 하는 두 번째 정책 설정입니다. 이 설정의 경우 http://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩>된 포트/MBAMComplianceStatusService/StatusReportingService. svc 예제를 사용하여 엔드포인트 위치를 입력합니다.

하드웨어 호환성 검사 허용

권장 구성: 사용

이 정책 설정을 사용하면 MBAM 클라이언트 컴퓨터의 드라이브에서 BitLocker 보호를 사용하도록 설정하기 전에 하드웨어 호환성 확인을 관리할 수 있습니다.

엔터프라이즈에 이전 컴퓨터 하드웨어 또는 TPM(신뢰할 수 있는 플랫폼 모듈)을 지원하지 않는 컴퓨터가 있는 경우 이 정책 옵션을 사용하도록 설정해야 합니다. 이러한 조건 중 하나가 true인 경우 하드웨어 호환성 확인을 사용하도록 설정하여 MBAM이 BitLocker를 지원하는 컴퓨터 모델에만 적용되도록 합니다. 조직의 모든 컴퓨터가 BitLocker를 지원하는 경우 하드웨어 호환성을 배포할 필요가 없으며 이 정책을 구성되지 않음으로 설정할 수 있습니다.

이 정책 설정을 사용하면 정책이 컴퓨터 드라이브에서 BitLocker 보호를 사용하도록 설정하기 전에 24시간마다 한 번씩 하드웨어 호환성 목록에 대해 컴퓨터 모델의 유효성이 검사됩니다.

참고

이 정책 설정을 사용하도록 설정하기 전에 MBAM 서비스 구성 정책 옵션에서 MBAM 복구 및 하드웨어 서비스 엔드포인트 설정을 구성했는지 확인합니다.

이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 컴퓨터 모델이 하드웨어 호환성 목록에 대해 유효성을 검사하지 않습니다.

사용자 예외 정책 구성

제안된 구성: 구성되지 않음

이 정책 설정을 사용하면 사용자에게 BitLocker 암호화 예외를 요청하도록 지시하는 웹 사이트 주소, 이메일 주소 또는 전화 번호를 구성할 수 있습니다.

이 정책 설정을 사용하도록 설정하고 웹 사이트 주소, 전자 메일 주소 또는 전화 번호를 제공하는 경우 BitLocker 보호에서 예외를 적용하는 방법에 대한 지침이 포함된 대화 상자가 표시됩니다. 사용자에 대해 BitLocker 암호화 예외를 사용하도록 설정하는 방법에 대한 자세한 내용은 사용자 BitLocker 암호화 예외를 관리하는 방법을 참조하세요.

이 정책 설정을 사용하지 않거나 구성하지 않으면 예외 요청을 신청하는 방법에 대한 지침이 사용자에게 표시되지 않습니다.

참고

사용자 예외는 컴퓨터가 아닌 사용자별로 관리됩니다. 여러 사용자가 동일한 컴퓨터에 로그온하고 한 사용자가 제외되지 않으면 컴퓨터가 암호화됩니다.

고정 드라이브 정책 정의

이 섹션에서는 다음 GPO 노드에서 찾을 수 있는 MBAM에 대한 고정 드라이브 정책 정의에 대해 설명합니다. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management) \ 고정 드라이브.

정책 이름 개요 및 제안된 정책 설정

데이터 드라이브 암호화 설정 수정

권장 구성: 사용하도록 설정하고 운영 체제 볼륨을 암호화해야 하는 경우 자동 잠금 해제 고정 데이터 드라이브 사용 확인란을 선택합니다.

이 정책 설정을 사용하면 고정 드라이브를 암호화할지 여부를 관리할 수 있습니다.

이 정책을 사용하도록 설정하면 고정 데이터 드라이브 정책에 대한 암호 사용 구성을 사용하지 않도록 설정하지 마세요.

고정 데이터 드라이브 자동 잠금 해제 사용 확인란을 선택한 경우 운영 체제 볼륨을 암호화해야 합니다.

이 정책 설정을 사용하도록 설정하면 사용자는 모든 고정 드라이브를 BitLocker 보호 아래에 배치해야 하며, 이 드라이브는 드라이브를 암호화합니다.

이 정책을 구성하지 않거나 이 정책을 사용하지 않도록 설정하는 경우 사용자는 고정 드라이브를 BitLocker 보호 하에 둘 필요가 없습니다.

이 정책을 사용하지 않도록 설정하면 MBAM 에이전트는 암호화된 고정 드라이브를 암호 해독합니다.

운영 체제 볼륨을 암호화할 필요가 없는 경우 고정 데이터 드라이브 자동 잠금 해제 사용 확인란의 선택을 취소합니다.

BitLocker로 보호되지 않는 고정 드라이브에 대한 "쓰기" 권한 거부

제안된 구성: 구성되지 않음

이 정책 설정은 쓰기 가능할 수 있도록 컴퓨터의 고정 드라이브에 BitLocker 보호가 필요한지 여부를 결정합니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다.

정책이 구성되지 않으면 컴퓨터의 모든 고정 드라이브가 읽기/쓰기 권한으로 탑재됩니다.

이전 버전의 Windows에서 BitLocker로 보호된 고정 드라이브에 대한 액세스 허용

제안된 구성: 구성되지 않음

이 정책을 사용하여 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 FAT(파일 할당 테이블) 파일 시스템으로 포맷된 고정 드라이브의 잠금을 해제하고 볼 수 있습니다.

이러한 운영 체제에는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 권한이 있습니다.

정책을 사용하지 않도록 설정하면 FAT 파일 시스템으로 포맷된 고정 드라이브를 잠금 해제할 수 없으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 해당 콘텐츠를 볼 수 없습니다.

고정 드라이브에 대한 암호 사용 구성

제안된 구성: 구성되지 않음

이 정책을 사용하여 고정 드라이브에서 암호 보호를 구성합니다.

정책이 구성되지 않은 경우 암호 복잡성 요구 사항을 포함하지 않고 8자만 필요한 기본 설정에서 암호가 지원됩니다.

보안을 강화하려면 이 정책을 사용하도록 설정하고 고정 데이터 드라이브에 암호 필요를 선택하고 암호 복잡성 필요를 선택하고 원하는 최소 암호 길이를 설정합니다.

BitLocker로 보호되는 고정 드라이브를 복구하는 방법 선택

제안된 구성: 구성되지 않음

BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다.

이 정책을 구성하지 않으면 BitLocker 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다. MBAM에서는 복구 정보를 AD DS에 백업할 필요가 없습니다.

운영 체제 드라이브 정책 정의

이 섹션에서는 다음 GPO 노드에 있는 MBAM에 대한 운영 체제 드라이브 정책 정의에 대해 설명합니다. 컴퓨터 구성\관리 템플릿\Windows 구성 요소\MDOP MBAM(BitLocker Management) \ 운영 체제 드라이브.

정책 이름 개요 및 제안된 정책 설정

운영 체제 드라이브 암호화 설정

권장 구성: 사용

이 정책 설정은 운영 체제 드라이브를 암호화할지 여부를 결정합니다.

다음을 수행하도록 이 정책을 구성합니다.

  • 운영 체제 드라이브에 BitLocker 보호를 적용합니다.

  • 운영 체제 보호를 위해 TPM(신뢰할 수 있는 플랫폼 모듈) PIN을 사용하도록 PIN 사용을 구성합니다.

  • 대문자, 소문자 및 숫자와 같은 문자를 허용하도록 향상된 시작 PIN을 구성합니다. BitLocker에서 기호와 공백을 지원하더라도 MBAM은 향상된 PIN에 기호 및 공백을 사용할 수 없습니다.

이 정책 설정을 사용하도록 설정하면 BitLocker를 사용하여 운영 체제 드라이브를 보호해야 합니다.

구성하지 않거나 설정을 사용하지 않도록 설정하는 경우 사용자는 BitLocker를 사용하여 운영 체제 드라이브를 보호할 필요가 없습니다.

이 정책을 사용하지 않도록 설정하면 MBAM 에이전트는 암호화된 경우 운영 체제 볼륨의 암호를 해독합니다.

이 정책 설정을 사용하도록 설정하면 사용자가 BitLocker 보호를 사용하여 운영 체제를 보호해야 하며 드라이브가 암호화됩니다. 암호화 요구 사항에 따라 운영 체제 드라이브에 대한 보호 방법을 선택할 수 있습니다.

더 높은 보안 요구 사항을 위해 TPM + PIN을 사용하고, 향상된 PIN을 허용하고, 최소 PIN 길이를 8자로 설정합니다.

TPM + PIN 보호기를 사용하여 이 정책을 사용하도록 설정하면 시스템 / 전원 관리 / 절전 모드 설정에서 다음 정책을 사용하지 않도록 설정할 수 있습니다.

  • 절전 모드일 때 대기 상태 허용(S1-S3) (플러그 인)

  • 대기 상태 허용(S1-S3) 절전 모드(배터리 사용)

TPM 플랫폼 유효성 검사 프로필 구성

제안된 구성: 구성되지 않음

이 정책 설정을 사용하면 컴퓨터의 TPM 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다. 이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 이미 TPM 보호를 사용하도록 설정된 경우 적용되지 않습니다.

이 정책이 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에서 지정한 플랫폼 유효성 검사 프로필을 사용합니다.

BitLocker로 보호된 운영 체제 드라이브를 복구하는 방법 선택

제안된 구성: 구성되지 않음

BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다.

이 정책을 구성하지 않으면 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다.

MBAM 작업은 복구 정보를 AD DS에 백업할 필요가 없습니다.

이동식 드라이브 정책 정의

이 섹션에서는 컴퓨터 구성관리 템플릿\Windows 구성\ 요소 \MDOP MBAM(BitLocker Management) \ 이동식 드라이브의 GPO 노드에 있는 MBAM에 대한 이동식 드라이브 정책 정의에 대해 설명합니다.

정책 이름 개요 및 제안된 정책 설정

이동식 드라이브에서 BitLocker 사용 제어

권장 구성: 사용

이 정책은 이동식 데이터 드라이브에서 BitLocker 사용을 제어합니다.

사용자가 이동식 데이터 드라이브에서 BitLocker 설정 마법사를 실행할 수 있도록 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용 옵션을 사용하도록 설정합니다.

사용자가 이동식 데이터 드라이브에서 BitLocker 드라이브 암호화를 제거하거나 유지 관리가 수행되는 동안 암호화를 일시 중단할 수 있도록 하려면 사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독하도록 허용 옵션을 사용하도록 설정합니다.

이 정책을 사용하도록 설정하고 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용 옵션을 선택하면 MBAM 클라이언트는 이동식 드라이브에 대한 복구 정보를 MBAM 키 복구 서버에 저장하고 암호가 손실된 경우 사용자가 드라이브를 복구할 수 있도록 합니다.

BitLocker로 보호되지 않는 이동식 드라이브에 대한 "쓰기" 권한 거부

제안된 구성: 구성되지 않음

BitLocker로 보호된 드라이브에 대한 쓰기 전용 권한을 허용하려면 이 정책을 사용하도록 설정합니다.

이 정책을 사용하도록 설정하면 쓰기 권한이 허용되기 전에 컴퓨터의 모든 이동식 데이터 드라이브에 암호화가 필요합니다.

이전 버전의 Windows에서 BitLocker로 보호된 이동식 드라이브에 대한 액세스 허용

제안된 구성: 구성되지 않음

이 정책을 사용하여 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 FAT(파일 시스템)로 포맷된 고정 드라이브의 잠금을 해제하고 볼 수 있습니다.

이러한 운영 체제에는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 권한이 있습니다.

정책을 사용하지 않도록 설정하면 FAT 파일 시스템으로 포맷된 이동식 드라이브의 잠금을 해제할 수 없으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 해당 콘텐츠를 볼 수 없습니다.

이동식 데이터 드라이브에 대한 암호 사용 구성

제안된 구성: 구성되지 않음

이동식 데이터 드라이브에서 암호 보호를 구성하려면 이 정책을 사용하도록 설정합니다.

이 정책을 구성하지 않으면 암호 복잡성 요구 사항이 포함되지 않고 8자만 필요한 기본 설정에서 암호가 지원됩니다.

보안을 강화하려면 이 정책을 사용하도록 설정하고 이동식 데이터 드라이브에 암호 필요를 선택하고 암호 복잡성 필요를 선택한 다음 기본 설정 최소 암호 길이를 설정할 수 있습니다.

BitLocker로 보호되는 이동식 드라이브를 복구하는 방법 선택

제안된 구성: 구성되지 않음

BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성할 수 있습니다.

정책이 구성되지 않음으로 설정되면 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다.

MBAM 작업은 복구 정보를 AD DS에 백업할 필요가 없습니다.

MBAM 1.0용 환경 준비