MBAM 2.5 정보
Microsoft MBAM(BitLocker 관리 및 모니터링) 2.5는 BitLocker 드라이브 암호화를 위한 간소화된 관리 인터페이스를 제공합니다. BitLocker는 분실하거나 도난당한 컴퓨터에 대한 데이터 도난 또는 데이터 노출에 대한 향상된 보호를 제공합니다. BitLocker는 Windows 운영 체제 볼륨 및 드라이브 및 구성된 데이터 드라이브에 저장된 모든 데이터를 암호화합니다.
MBAM 개요
MBAM 2.5에는 다음과 같은 기능이 있습니다.
관리자는 엔터프라이즈 전체의 클라이언트 컴퓨터에서 볼륨을 암호화하는 프로세스를 자동화할 수 있습니다.
보안 담당자가 개별 컴퓨터 또는 기업 자체의 규정 준수 상태를 신속하게 확인할 수 있습니다.
Microsoft System Center Configuration Manager 중앙 집중식 보고 및 하드웨어 관리를 제공합니다.
BitLocker PIN 및 복구 키 요청을 사용하여 최종 사용자를 지원하기 위해 지원 센터에서 워크로드를 줄입니다.
최종 사용자가 Self-Service 포털을 사용하여 암호화된 디바이스를 독립적으로 복구할 수 있습니다.
보안 담당자가 액세스 권한을 쉽게 감사하여 주요 정보를 복구할 수 있습니다.
Windows Enterprise 사용자는 회사 데이터가 보호된다는 확신을 가지고 어디서나 계속 작업할 수 있습니다.
MBAM은 엔터프라이즈에 대해 설정한 BitLocker 암호화 정책 옵션을 적용하고, 해당 정책을 사용하여 클라이언트 컴퓨터의 규정 준수를 모니터링하며, 엔터프라이즈 및 개인 컴퓨터의 암호화 상태에 대해 보고합니다. 또한 MBAM을 사용하면 사용자가 PIN 또는 암호를 잊어버리거나 BIOS 또는 부팅 레코드가 변경되는 경우 복구 키 정보에 액세스할 수 있습니다.
다음 그룹은 MBAM을 사용하여 BitLocker를 관리하는 데 관심이 있을 수 있습니다.
기밀 데이터가 권한 없이 공개되지 않도록 보장할 책임이 있는 관리자, IT 보안 전문가 및 규정 준수 책임자
원격 또는 지점의 컴퓨터 보안을 담당하는 관리자
Windows를 실행하는 클라이언트 컴퓨터를 담당하는 관리자
참고 BitLocker는 이 MBAM 설명서에 자세히 설명되어 있지 않습니다. 자세한 내용은 BitLocker 드라이브 암호화 개요를 참조하세요.
MBAM 2.5의 새로운 기능
이 섹션에서는 MBAM 2.5의 새로운 기능에 대해 설명합니다.
Microsoft SQL Server 2014 지원
MBAM은 이전 버전의 MBAM에서 지원되는 것과 동일한 소프트웨어 외에도 Microsoft SQL Server 2014에 대한 지원을 추가합니다.
별도로 다운로드된 MBAM 그룹 정책 템플릿
MBAM 그룹 정책 템플릿은 MBAM 설치와 별도로 다운로드해야 합니다. 이전 버전의 MBAM 설치 관리자에는 BitLocker 드라이브 암호화에 대한 MBAM 구현 설정을 정의하는 필수 MBAM 관련 GPO(그룹 정책 개체)가 포함된 MBAM 정책 템플릿이 포함되어 있습니다. 이러한 GPO는 MBAM 설치 관리자에서 제거되었습니다. 이제 MDOP 그룹 정책(.admx) 템플릿을 다운로드 및 배포하는 방법에서 GPO를 다운로드하고 MBAM 클라이언트 설치를 시작하기 전에 서버 또는 워크스테이션에 복사합니다. 지원되는 버전의 Windows Server 또는 Windows 운영 체제를 실행하는 모든 서버 또는 워크스테이션에 그룹 정책 템플릿을 복사할 수 있습니다.
중요BitLocker 드라이브 암호화 노드에서 그룹 정책 설정을 변경하지 마세요. 그렇지 않으면 MBAM이 제대로 작동하지 않습니다. MDOP MBAM(BitLocker Management) 노드에서 그룹 정책 설정을 구성하면 MBAM에서 자동으로 BitLocker 드라이브 암호화 설정을 구성합니다.
서버 또는 워크스테이션에 복사해야 하는 템플릿 파일은 다음과 같습니다.
BitLockerManagement.adml
BitLockerManagement.admx
BitLockerUserManagement.adml
BitLockerUserManagement.admx
템플릿 파일을 요구 사항에 가장 적합한 위치에 복사합니다. 언어별 폴더에 복사해야 하는 언어별 파일의 경우 파일을 보려면 그룹 정책 관리 콘솔이 필요합니다.
템플릿 파일을 서버 또는 워크스테이션에 로컬로 설치하려면 다음 위치 중 하나에 파일을 복사합니다.
파일 형식 파일 위치 언어 중립(.admx)
%systemroot%\policyDefinitions
언어별(.adml)
%systemroot%\policyDefinitions[MUIculture](예: 미국 영어 관련 파일은 %systemroot%</em>policyDefinitions\en-us에 저장됩니다.)
도메인의 모든 그룹 정책 관리자가 템플릿을 사용할 수 있도록 하려면 도메인 컨트롤러의 다음 위치 중 하나에 파일을 복사합니다.
파일 형식 도메인 컨트롤러 파일 위치 언어 중립(.admx)
%systemroot%sysvol\domain\policies\PolicyDefinitions
언어별(.adml)
%systemroot%\sysvol\domain\policies\PolicyDefinitions[MUIculture] (예를 들어 미국 영어 관련 파일은 %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us)에 저장됩니다.
템플릿 파일에 대한 자세한 내용은 ADMX 파일 관리 그룹 정책 단계별 가이드를 참조하세요.
운영 체제 및 고정 데이터 드라이브에 암호화 정책을 적용하는 기능
MBAM 2.5를 사용하면 조직의 컴퓨터에 대해 운영 체제 및 고정 데이터 드라이브에 암호화 정책을 적용하고 최종 사용자가 MBAM 암호화 정책을 준수하기 위한 요구 사항 연기를 요청할 수 있는 일 수를 제한할 수 있습니다.
암호화 정책 적용을 구성할 수 있도록 운영 체제 드라이브 및 고정 데이터 드라이브에 대해 암호화 정책 적용 설정이라는 새로운 그룹 정책 설정이 추가되었습니다. 이 정책은 다음 표에 설명되어 있습니다.
| 그룹 정책 설정 | 설명 | 이 설정을 구성하는 데 사용되는 그룹 정책 노드 |
|---|---|---|
암호화 정책 적용 설정(운영 체제 드라이브) |
이 설정의 경우 운영 체제 드라이브에 대한 비준수 유예 기간 일 수 구성 옵션을 사용하여 유예 기간을 구성합니다. 유예 기간은 드라이브가 비규격으로 처음 검색된 후 최종 사용자가 운영 체제 드라이브에 대한 MBAM 정책 준수를 연기할 수 있는 일 수를 지정합니다. 구성된 유예 기간이 만료되면 사용자는 필요한 작업을 연기하거나 예외를 요청할 수 없습니다. 사용자 상호 작용이 필요한 경우(예: TPM(신뢰할 수 있는 플랫폼 모듈) + PIN을 사용하거나 암호 보호기를 사용하는 경우) 대화 상자가 나타나고 사용자가 필요한 정보를 제공할 때까지 닫을 수 없습니다. 보호기가 TPM 전용인 경우 사용자 입력 없이 백그라운드에서 암호화가 즉시 시작됩니다. 사용자는 BitLocker 암호화 마법사를 통해 예외를 요청할 수 없습니다. 대신 지원 센터에 문의하거나 조직에서 예외 요청에 사용하는 모든 프로세스를 사용해야 합니다. |
컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > MDOP MBAM(BitLocker Management) > 운영 체제 드라이브 |
암호화 정책 적용 설정(고정 데이터 드라이브) |
이 설정의 경우 고정 드라이브에 대한 비준수 유예 기간 일 수 구성 옵션을 사용하여 유예 기간을 구성합니다. 유예 기간은 드라이브가 비규격으로 처음 검색된 후 최종 사용자가 고정 드라이브에 대한 MBAM 정책 준수를 연기할 수 있는 일 수를 지정합니다. 유예 기간은 고정 드라이브가 비준수로 결정될 때 시작됩니다. 자동 잠금 해제를 사용하는 경우 운영 체제 드라이브가 준수될 때까지 정책이 적용되지 않습니다. 그러나 자동 잠금 해제를 사용하지 않는 경우 운영 체제 드라이브가 완전히 암호화되기 전에 고정 데이터 드라이브의 암호화를 시작할 수 있습니다. 구성된 유예 기간이 만료되면 사용자는 필요한 작업을 연기하거나 예외를 요청할 수 없습니다. 사용자 상호 작용이 필요한 경우 대화 상자가 나타나고 사용자가 필요한 정보를 제공할 때까지 대화 상자를 닫을 수 없습니다. |
컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > MDOP MBAM(BitLocker Management) > 고정 드라이브 |
BitLocker 드라이브 암호화 마법사에서 보안 정책을 가리키는 URL을 제공하는 기능
새 그룹 정책 설정인 보안 정책 링크에 대한 URL을 제공하면 최종 사용자에게 회사 보안 정책이라는 링크로 표시되는 URL을 구성할 수 있습니다. 이 링크는 MBAM이 사용자에게 볼륨을 암호화하라는 메시지를 표시할 때 표시됩니다.
이 정책 설정을 사용하도록 설정하면 회사 보안 정책 링크에 대한 URL을 구성할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 회사 보안 정책 링크가 사용자에게 표시되지 않습니다.
새 그룹 정책 설정은 컴퓨터 구성정책>관리 템플릿>Windows 구성> 요소 >MDOP MBAM(BitLocker Management) > 클라이언트 관리 GPO 노드에 있습니다.
FIPS 규격 복구 키 지원
MBAM 2.5는 Windows 8.1 운영 체제를 실행하는 디바이스에서 FIPS(Federal Information Processing Standard) 규격 BitLocker 복구 키를 지원합니다. 복구 키가 이전 버전의 Windows에서 FIPS를 준수하지 않았습니다. 이 향상된 기능은 최종 사용자가 Self-Service 포털 또는 관리 및 모니터링 웹 사이트(지원 센터)를 사용하여 PIN 또는 암호를 잊어버리거나 컴퓨터에서 잠긴 경우 드라이브를 복구할 수 있으므로 FIPS 규정 준수가 필요한 조직의 드라이브 복구 프로세스를 개선합니다. 새 FIPS 규정 준수 기능은 암호 보호기로 확장되지 않습니다.
조직에서 FIPS 규정 준수를 사용하도록 설정하려면 FIPS(Federal Information Processing Standard) 그룹 정책 설정을 구성해야 합니다. 구성 지침은 BitLocker 그룹 정책 설정을 참조하세요.
설치된 BitLocker 핫픽스 없이 Windows 8 또는 Windows 7 운영 체제를 실행하는 클라이언트 컴퓨터의 경우 IT 관리자는 FIPS 규격 환경에서 DRA(데이터 복구 에이전트) 보호기를 계속 사용합니다. DRA에 대한 자세한 내용은 BitLocker에서 데이터 복구 에이전트 사용을 참조하세요.
Windows 7 및 Windows 8 컴퓨터용 BitLocker 핫픽스를 다운로드하고 설치하려면 BitLocker 관리 및 모니터링 2.5용 핫픽스 패키지 2를 참조하세요.
고가용성 배포 지원
MBAM은 표준 두 서버 및 Configuration Manager 통합 토폴로지 외에도 다음과 같은 고가용성 시나리오를 지원합니다.
SQL Server AlwaysOn 가용성 그룹
SQL Server 클러스터링
NLB(네트워크 부하 분산)
SQL Server 미러링
VSS(볼륨 섀도 복사본 서비스) 백업
이러한 기능에 대한 자세한 내용은 MBAM 2.5 고가용성 계획을 참조하세요.
관리 및 모니터링 웹 사이트에 대한 역할 관리가 변경됨
MBAM 2.5에서는 관리 및 모니터링 웹 사이트에 대한 액세스 권한을 제공하는 역할을 관리하기 위해 AD DS(Active Directory Domain Services 보안 그룹을 만들어야 합니다. 역할을 통해 특정 보안 그룹에 속한 사용자는 보고서 보기 또는 최종 사용자가 암호화된 드라이브를 복구하는 등의 다양한 작업을 웹 사이트에서 수행할 수 있습니다. 이전 버전의 MBAM에서는 로컬 그룹을 사용하여 역할을 관리했습니다.
MBAM 2.5에서 "역할"이라는 용어는 이전 버전의 MBAM에서 사용된 "관리자 역할"이라는 용어를 대체합니다. 또한 MBAM 2.5에서는 "MBAM 시스템 관리자" 역할이 제거되었습니다.
다음 표에서는 AD DS에서 만들어야 하는 보안 그룹을 나열합니다. 보안 그룹의 이름을 사용할 수 있습니다.
| 역할 | 관리 및 모니터링 웹 사이트에서 이 역할에 대한 액세스 권한 |
|---|---|
MBAM 기술 지원팀 사용자 |
MBAM 관리 및 모니터링 웹 사이트의 TPM 관리 및 드라이브 복구 영역에 대한 액세스를 제공합니다. 이러한 영역에 액세스할 수 있는 사용자는 두 영역 중 하나를 사용할 때 모든 필드를 입력해야 합니다. |
MBAM 보고서 사용자 |
관리 및 모니터링 웹 사이트의 보고서에 대한 액세스를 제공합니다. |
MBAM 고급 기술 지원팀 사용자 |
관리 및 모니터링 웹 사이트의 모든 영역에 대한 액세스를 제공합니다. 이 그룹의 사용자는 최종 사용자가 드라이브를 복구하도록 도울 때 최종 사용자의 도메인 및 사용자 이름이 아닌 복구 키만 입력해야 합니다. 사용자가 MBAM 기술 지원팀 사용자 그룹 및 MBAM 고급 기술 지원팀 사용자 그룹의 구성원인 경우 MBAM 고급 기술 지원팀 사용자 그룹 권한은 MBAM 기술 지원팀 사용자 그룹 권한을 재정의합니다. |
AD DS에서 보안 그룹을 만든 후 적절한 보안 그룹에 사용자 및/또는 그룹을 할당하여 관리 및 모니터링 웹 사이트에 대한 해당 수준의 액세스를 사용하도록 설정합니다. 각 역할을 가진 개인이 관리 및 모니터링 웹 사이트에 액세스할 수 있도록 하려면 관리 및 모니터링 웹 사이트를 구성할 때 각 보안 그룹도 지정해야 합니다.
MBAM 서버 기능을 구성하기 위한 cmdlet Windows PowerShell
MBAM 2.5용 Windows PowerShell cmdlet을 사용하면 MBAM Server 기능을 구성하고 관리할 수 있습니다. 각 기능에는 기능을 사용하거나 사용하지 않도록 설정하거나 기능에 대한 정보를 가져오는 데 사용할 수 있는 해당 Windows PowerShell cmdlet이 있습니다.
Windows PowerShell 사용하기 위한 필수 구성 요소 및 필수 구성 요소는 Windows PowerShell 사용하여 MBAM 2.5 서버 기능 구성을 참조하세요.
MBAM Server 소프트웨어를 설치한 후 Windows PowerShell cmdlet에 대한 MBAM 2.5 도움말을 로드하려면
Windows PowerShell 열거나 ISE(통합 스크립팅 환경)를 Windows PowerShell.
Update-Help –Module Microsoft 입력합니다. MBAM.
MBAM에 대한 Windows PowerShell 도움말은 다음 형식으로 제공됩니다.
| Windows PowerShell 도움말 형식 | 추가 정보 |
|---|---|
Windows PowerShell 명령 프롬프트에서 Get-Help<cmdlet을 입력합니다.> |
최신 Windows PowerShell cmdlet을 업로드하려면 MBAM에 대한 Windows PowerShell 도움말을 로드하는 방법에 대한 이전 섹션의 지침을 따릅니다. |
TechNet에서 웹 페이지로 |
|
Word .docx 파일로 다운로드 센터 |
|
다운로드 센터에서 .pdf 파일로 |
ASCII 전용 및 향상된 PIN 지원 및 순차 및 반복 문자를 방지하는 기능
시작 그룹 정책 설정에 대해 향상된 PIN 허용
그룹 정책 설정인 시작에 향상된 PIN 허용을 사용하면 향상된 시작 PIN이 BitLocker와 함께 사용되는지 여부를 구성할 수 있습니다. 향상된 시작 PIN을 사용하면 대문자와 소문자, 기호, 숫자 및 공백을 비롯한 모든 키를 전체 키보드에 입력할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 설정된 모든 새 BitLocker 시작 PIN이 향상된 PIN이 됩니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 향상된 PIN을 사용할 수 없습니다.
모든 컴퓨터가 PXE(부팅 전 실행 환경)에서 향상된 PIN의 입력을 지원하는 것은 아닙니다. 조직에 대해 이 그룹 정책 설정을 사용하도록 설정하기 전에 BitLocker 설정 프로세스 중에 시스템 검사를 실행하여 컴퓨터의 BIOS가 PXE에서 전체 키보드 사용을 지원하는지 확인합니다. 자세한 내용은 MBAM 2.5 그룹 정책 요구 사항 계획을 참조하세요.
ASCII 전용 PIN 필요 확인란
시작 그룹 정책 향상된 PIN 허용 설정에는 ASCII 전용 PIN 필요 확인란도 포함되어 있습니다. 조직의 컴퓨터가 PXE에서 전체 키보드 사용을 지원하지 않는 경우 시작 그룹 정책 향상된 PIN 허용 설정을 사용하도록 설정한 다음, ASCII 전용 PIN 필요 확인란을 선택하여 향상된 PIN이 인쇄 가능한 ASCII 문자만 사용하도록 요구할 수 있습니다.
비사용 문자 및 비연속 문자의 강제 사용
MBAM 2.5는 최종 사용자가 반복 숫자(예: 1111) 또는 순차적 숫자(예: 1234)로 구성된 PIN을 만들지 못하도록 합니다. 최종 사용자가 3개 이상의 반복 또는 순차적 숫자가 포함된 암호를 입력하려고 하면 Bitlocker 드라이브 암호화 마법사에 오류 메시지가 표시되고 사용자가 금지된 문자로 PIN을 입력하지 못하게 됩니다.
BitLocker 컴퓨터 준수 보고서에 DRA 인증서 추가
새 보호기 유형인 DRA(데이터 복구 에이전트) 인증서가 Configuration Manager BitLocker 컴퓨터 준수 보고서에 추가되었습니다. 이 보호기 유형은 운영 체제 드라이브에 적용되며 보호기 유형 열의 컴퓨터 볼륨 섹션에 표시됩니다.
다중 포리스트 지원 배포 지원
MBAM 2.5는 다음과 같은 유형의 다중 포리스트 배포를 지원합니다.
단일 도메인이 있는 단일 포리스트
단일 트리 및 여러 도메인이 있는 단일 포리스트
여러 트리와 연결이 없는 네임스페이스가 있는 단일 포리스트
중앙 포리스트 토폴로지의 여러 포리스트
리소스 포리스트 토폴로지의 여러 포리스트
포리스트 마이그레이션(단일에서 다중, 단일, 포리스트 간 리소스 등) 또는 업그레이드 또는 다운그레이드에 대한 지원은 없습니다.
다중 포리스트 배포에서 MBAM을 배포하기 위한 필수 구성 요소는 다음과 같습니다.
포리스트는 지원되는 버전의 Windows Server에서 실행되어야 합니다.
양방향 또는 단방향 트러스트가 필요합니다. 단방향 트러스트를 사용하려면 서버의 도메인이 클라이언트의 도메인을 신뢰해야 합니다. 즉, 서버의 도메인은 클라이언트의 도메인을 가리켰습니다.
암호화된 하드 드라이브에 대한 MBAM 클라이언트 지원
MBAM은 IEEE 1667 표준뿐만 아니라 오팔에 대한 TCG 사양 요구 사항을 충족하는 암호화된 하드 드라이브의 BitLocker를 지원합니다. 이러한 디바이스에서 BitLocker를 사용하도록 설정하면 키를 생성하고 암호화된 드라이브에서 관리 기능을 수행합니다. 자세한 내용은 암호화된 하드 드라이브를 참조하세요.
MDOP 기술을 가져오는 방법
MBAM은 Microsoft 데스크톱 최적화 팩(MDOP)의 일부입니다. MDOP는 Microsoft Software Assurance 프로그램의 일부입니다. Microsoft Software Assurance 프로그램 및 MDOP를 획득하는 방법에 대한 자세한 내용은 MDOP를 가져오는 방법을 참조하세요.
MBAM 2.5 릴리스 정보
이 설명서에 포함되지 않은 자세한 내용 및 최신 속보는 MBAM 2.5 릴리스 정보를 참조하세요.
MBAM에 대한 제안이 있나요?
- 여기에 피드백을 보내주세요.
- MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.