조직에서 BitLocker 준비: 계획 및 정책
IT 전문가를 위해 작성된 이 항목에서는 BitLocker 배포를 계획하는 방법을 설명합니다.
BitLocker 배포 전략을 설계할 때 조직의 비즈니스 요구 사항에 따라 적절한 정책 및 구성 요구 사항을 정의하세요. 다음 항목은 BitLocker 시스템을 배포 및 관리하는 방법에 대한 의사 결정 프로세스의 구조를 만들기 위해 사용할 수 있는 정보 수집에 도움이 됩니다.
환경 감사
암호화 키 및 인증
TPM 하드웨어 구성
비 TPM 하드웨어 구성
디스크 구성 고려 사항
BitLocker 프로비전
사용된 디스크 공간만 암호화
Active Directory 도메인 서비스 고려 사항
복구 암호 보호기에 대한 FIPS 지원
환경 감사
BitLocker의 엔터프라이즈 배포를 계획하려면 먼저 현재 환경을 이해해야 합니다. 비공식적 감사를 수행하여 현재 정책, 절차 및 하드웨어 환경을 정의합니다. 기존 회사 보안 정책이 디스크 암호화 소프트웨어와 관련이 있으므로 먼저 보안 정책을 검토합니다. 현재 조직이 디스크 암호화 소프트웨어를 사용하지 않는 경우 이러한 정책은 존재하지 않습니다. 디스크 암호화 소프트웨어를 사용하는 경우 BitLocker의 기능을 다루는 조직의 정책을 수정해야 할 수 있습니다.
다음 질문을 사용하면 조직의 현재 디스크 암호화 보안 정책을 문서화하는 데 도움이 됩니다.
BitLocker를 사용할 컴퓨터와 BitLocker를 사용하지 않을 컴퓨터를 다루는 정책이 있나요?
복구 암호 및 복구 키 저장소를 제어하는 정책으로는 무엇이 있나요?
BitLocker 복구를 수행해야 하는 사용자의 ID 유효성 검사 정책은 무엇인가요?
조직에서 복구 데이터에 액세스할 수 있는 사용자를 제어하기 위한 정책은 무엇이 있나요?
컴퓨터 폐기 또는 사용 중지를 제어하는 정책으로는 무엇이 있나요?
암호화 키 및 인증
BitLocker를 사용하면 분실하거나 도난당한 컴퓨터의 데이터에 다음과 같은 방법을 사용하여 무단으로 액세스하지 못하도록 방지할 수 있습니다.
하드 디스크의 전체 Windows 운영 체제 볼륨 암호화
부팅 프로세스 무결성 확인
TPM(신뢰할 수 있는 플랫폼 모듈)은 컴퓨터 제조업체에서 최근 출시하는 컴퓨터에 많이 설치하는 하드웨어 구성 요소입니다. 이 구성 요소는 BitLocker와 함께 작동하여 사용자 데이터를 보호하고 시스템이 오프라인 상태에 있는 동안 컴퓨터가 변조되지 않았는지 확인합니다.
또한 BitLocker는 사용자가 PIN(개인 식별 번호)을 제공하거나 시작 키가 포함된 플래시 드라이브와 같은 이동식 USB 장치를 넣을 때까지 정상적인 시작 프로세스를 잠그는 옵션을 제공합니다. 이와 같은 추가적인 보안 대책은 다단계 인증을 제공하며 올바른 PIN 또는 시작 키 없이는 컴퓨터가 시작되거나 최대 절전 모드에서 복원되지 않도록 합니다.
TPM 버전 1.2 이상이 없는 컴퓨터에서도 여전히 BitLocker를 사용하여 Windows 운영 체제 볼륨을 암호화할 수 있습니다. 그러나 이 구현 방식에서는 사용자가 USB 시작 키를 넣어야 컴퓨터가 시작되거나 최대 절전 모드에서 복원되며, TPM과 BitLocker를 함께 사용할 때 제공되는 시작 전 시스템 무결성 확인 기능이 제공되지 않습니다.
BitLocker 키 보호기
| 키 보호기 | 설명 |
|---|---|
TPM |
안전하고 신뢰할 수 있는 루트를 구축하는 데 사용되는 하드웨어 장치입니다. BitLocker는 TPM 버전 1.2 이상만 지원합니다. |
PIN |
TPM 사용 시에만 함께 사용할 수 있는 숫자 키 보호기로, 사용자가 입력합니다. |
강화된 PIN |
TPM 사용 시에만 함께 사용할 수 있는 영숫자 키 보호기로, 사용자가 입력합니다. |
시작 키 |
대부분의 이동식 미디어에 저장할 수 있는 암호화 키입니다. 이 키 보호기는 비 TPM 컴퓨터에서 단독으로 사용하거나 추가 보안을 위해 TPM과 함께 사용할 수 있습니다. |
복구 암호 |
복구 모드에 있을 때 볼륨의 잠금을 해제하는 데 사용되는 48자리 숫자입니다. 보통은 일반 키보드에서 숫자를 입력할 수 있습니다. 표준 키보드에서 숫자가 응답하지 않을 경우 항상 기능 키(F1-F10)를 사용하면 숫자를 입력할 수 있습니다. |
복구 키 |
이동식 미디어에 저장된 암호화 키로, BitLocker 볼륨의 암호화된 데이터를 복구하는 데 사용할 수 있습니다. |
BitLocker 인증 방법
| 인증 방법 | 사용자 조작 필요 | 설명 |
|---|---|---|
TPM만 |
아니요 |
TPM에서 초기 부팅 구성 요소를 확인합니다. |
TPM + PIN |
예 |
TPM에서 초기 부팅 구성 요소를 확인합니다. 사용자가 올바른 PIN을 입력한 후에야 시작 프로세스를 계속 진행하고 드라이브 잠금을 해제할 수 있습니다. 잘못된 PIN이 반복하여 입력된 경우 무차별 암호 대입 공격(brute force attack)으로부터 PIN을 보호하기 위해 TPM이 잠금 상태로 전환됩니다. 잠금을 트리거하는 반복된 시도 횟수는 가변적입니다. |
TPM + 네트워크 키 |
아니요 |
TPM에서 초기 부팅 구성 요소를 확인하고 WDS 서버에서 제공한 올바른 암호화된 네트워크 키를 확인합니다. 이 인증 방법은 다단계 인증을 계속 유지 관리하면서 시스템을 다시 부팅할 때 운영 체제 볼륨을 자동으로 잠금 해제합니다. |
TPM + 시작 키 |
예 |
TPM에서 초기 부팅 구성 요소를 확인합니다. 그리고 시작 키가 포함된 USB 플래시 드라이브를 삽입합니다. |
시작 키만 |
예 |
복구 키 및/또는 시작 키를 보유한 USB 플래시 드라이브를 넣고 컴퓨터를 다시 부팅하라는 메시지가 표시됩니다. |
TPM 버전 1.2 이상이 설치되지 않은 컴퓨터를 지원하나요?
환경에 TPM 버전 1.2 이상이 설치되어 있지 않은 컴퓨터를 지원할지 여부를 결정합니다. 이 유형의 컴퓨터에서 BitLocker를 지원하도록 선택하는 경우 사용자는 USB 시작 키를 사용하여 시스템을 부팅해야 합니다. 이렇게 하려면 다단계 인증과 유사한 추가 지원 프로세스가 필요합니다.
조직의 어떤 영역이 기본 수준의 데이터 보호를 필요로 하나요?
TPM 전용 인증 방법이 기본 수준의 데이터 보호만으로 보안 정책을 충족할 수 있는 조직에 가장 확인하기 쉬운 사용자 환경을 제공합니다. 그리고 총 소유 비용이 가장 낮습니다. 또한 TPM 전용은 무인 컴퓨터 또는 무인으로 다시 부팅되어야 하는 컴퓨터에 더 적합할 수 있습니다.
그러나 TPM 전용 인증 방법은 가장 낮은 수준의 데이터 보호를 제공합니다. 이 인증 방법은 초기 부팅 구성 요소를 수정하는 공격으로부터 보호하지만, 하드웨어의 또는 초기 부팅 구성 요소의 잠재적인 취약성에 영향을 받을 수 있는 보호 수준입니다. BitLocker의 다단계 인증 방법은 전반적인 데이터 보호 수준을 크게 향상시킵니다.
조직의 어떤 영역이 보다 안전한 수준의 데이터 보호를 필요로 하나요?
사용자 컴퓨터에 있는 데이터가 매우 중요한 것으로 평가되는 조직의 영역이 있는 경우 해당 시스템에서 다단계 인증을 사용하여 BitLocker를 배포하는 최선의 보안 구현 방법을 고려하세요. 사용자에게 PIN을 입력하도록 요구하면 시스템에 대한 보호 수준이 크게 향상됩니다. 또한 BitLocker 네트워크 잠금 해제를 사용하여, 이러한 컴퓨터가 네트워크 잠금 해제 키를 제공할 수 있는 신뢰할 수 있는 유선 네트워크에 연결되면 자동으로 잠금을 해제하도록 설정할 수도 있습니다.
조직에서 선호하는 다단계 인증 방법은 무엇인가요?
다단계 인증 방법에서 제공하는 보호의 차이점을 쉽게 계량화할 수는 없습니다. 따라서 기술 지원팀 지원, 사용자 교육, 사용자 생산성 및 자동화된 시스템 관리 프로세스에 대한 각 인증 방법의 영향을 고려하세요.
TPM 하드웨어 구성
배포 계획 시 지원할 TPM 기반 하드웨어 플랫폼을 확인합니다. 해당 구성을 테스트하고 지원할 수 있도록 선택한 OEM의 하드웨어 모델을 문서화합니다. TPM 하드웨어는 계획 및 배포의 모든 측면에서 특별한 주의가 필요합니다.
TPM 상태
각 TPM 상태에 대해 TPM이 다른 상태로 전환될 수 있습니다(예: 사용 안 함에서 사용으로 전환). 상태는 다른 어떤 상태로든 전환될 수 있습니다.
| 상태 | 설명 |
|---|---|
사용 |
TPM의 대부분 기능을 사용할 수 있습니다. 소유권이 있는 경우 부팅 기간 내에 여러 번 TPM을 사용하거나 사용하지 않도록 설정할 수 있습니다. |
사용 안 함 |
TPM이 대부분의 작업을 제한합니다. TPM 기능을 보고하고, PCR(플랫폼 구성 레지스터) 기능을 확장하고 재설정하며, 해시 및 기본 초기화를 수행하는 기능은 예외입니다. 부팅 기간 내에 여러 번 TPM을 사용하거나 사용하지 않도록 설정할 수 있습니다. |
활성화됨 |
TPM의 대부분 기능을 사용할 수 있습니다. TPM은 다시 부팅해야 하는 실제 존재 인터페이스를 통해서만 활성화되고 비활성화될 수 있습니다. |
비활성화됨 |
사용 안 함과 마찬가지로, 비활성화됨 및 사용 상태인 동안 소유권을 가져올 수 있는 예외가 있습니다. TPM은 다시 부팅해야 하는 실제 존재 인터페이스를 통해서만 활성화되고 비활성화될 수 있습니다. |
소유함 |
TPM의 대부분 기능을 사용할 수 있습니다. TPM에 인증 키 및 저장소 루트 키가 있으며, 소유자가 소유자 권한 부여 데이터에 관한 정보를 알고 있습니다. |
소유하지 않음 |
TPM에 저장소 루트 키가 없으며 인증 키는 있거나 없을 수 있습니다. |
중요
TPM이 사용, 활성화됨 및 소유함 상태가 될 때까지 BitLocker는 TPM을 사용할 수 없습니다. TPM이 이 상태일 때와 이 상태에 있을 때만 모든 작업을 사용할 수 있습니다.
TPM의 상태는 컴퓨터의 운영 체제와 독립적입니다. TPM이 사용, 활성화됨 및 소유함 상태이면 운영 체제가 다시 설치되는 경우 TPM의 상태가 유지됩니다.
인증 키
BitLocker에서 TPM을 사용할 수 있으려면 TPM에 RSA 키 쌍인 인증 키가 포함되어 있어야 합니다. 개인 키 쌍의 절반은 TPM 내부에 보유되며, TPM 외부에 노출되거나 외부에서 액세스할 수 없습니다. TPM에 인증 키가 포함되어 있지 않으면 BitLocker 설치 과정에서 BitLocker가 TPM에서 인증키를 하나 자동으로 생성하도록 합니다.
인증 키는 TPM 수명 주기의 다양한 시점에서 만들 수 있지만 TPM의 수명 동안 한 번만 만들어야 합니다. TPM에 대한 인증 키가 없는 경우 먼저 인증 키를 만들어야 TPM 소유권을 가져올 수 있습니다.
TPM 및 TCG에 관한 자세한 내용은 신뢰할 수 있는 컴퓨팅 그룹: TPM(신뢰할 수 있는 플랫폼 모듈) 사양(https://go.microsoft.com/fwlink/p/?linkid=69584)을 참조하세요.
비 TPM 하드웨어 구성
TPM이 포함되지 않은 장치는 여전히 드라이브 암호화로 보호할 수 있습니다. Windows To Go 작업 영역은 시작 암호를 사용하여 보호된 BitLocker일 수 있으며, TPM이 없는 PC는 시작 키를 사용할 수 있습니다.
다음 질문을 사용하여 TPM이 아닌 구성에서 배포에 영향을 줄 수 있는 문제를 확인하세요.
암호 복잡성 규칙이 있나요?
이러한 각 컴퓨터에 대한 USB 플래시 드라이브 예산이 있나요?
기존의 비 TPM 장치가 부팅 시 USB 장치를 지원하나요?
BitLocker를 사용하는 동안 BitLocker 시스템 검사 옵션을 사용하여 개별 하드웨어 플랫폼을 테스트합니다. 시스템 검사는 BitLocker에서 볼륨을 암호화하기 전에 USB 장치의 복구 정보 및 암호화 키를 올바르게 읽을 수 있는지 확인합니다. CD 및 DVD 드라이브는 블록 저장 장치의 역할을 할 수 없으며 BitLocker 복구 자료를 저장하는 데 사용할 수 없습니다.
디스크 구성 고려 사항
BitLocker가 제대로 작동하려면 특정 디스크 구성이 필요합니다. BitLocker에는 다음 요구 사항을 충족하는 두 개의 파티션이 필요합니다.
운영 체제 파티션에는 운영 체제 및 해당 지원 파일이 포함됩니다. 이 파티션은 NTFS 파일 시스템으로 포맷해야 합니다.
시스템 파티션(또는 부팅 파티션)에는 BIOS 또는 UEFI 펌웨어가 시스템 하드웨어를 준비한 후 Windows를 로드하는 데 필요한 파일이 포함됩니다. BitLocker는 이 파티션에서 사용할 수 없습니다. BitLocker가 작동하려면 시스템 파티션이 암호화되지 않아야 하며 운영 체제가 아닌 다른 파티션에 있어야 합니다. UEFI 플랫폼에서 시스템 파티션은 FAT 32 파일 시스템으로 포맷해야 합니다. BIOS 플랫폼에서 시스템 파티션은 NTFS 파일 시스템으로 포맷해야 합니다. 이 파티션은 크기가 350MB 이상이어야 합니다.
Windows 설치 프로그램은 BitLocker 암호화를 지원하도록 컴퓨터의 디스크 드라이브를 자동으로 구성합니다.
Windows RE(Windows 복구 환경)는 Windows PE(Windows 사전 설치 환경)를 기반으로 한 확장 가능한 복구 플랫폼입니다. 컴퓨터가 시작되지 않는 경우 Windows는 이 환경으로 자동으로 전환되며, Windows RE의 시동 복구 도구가 부팅할 수 없는 Windows 설치의 진단 및 복구를 자동화합니다. 또한 Windows RE에는 복구 키 또는 복구 암호를 제공하여 BitLocker로 보호된 볼륨의 잠금을 해제하는 데 필요한 도구 및 드라이버가 포함되어 있습니다. BitLocker와 함께 Windows RE를 사용하려면 Windows RE 부팅 이미지가 BitLocker로 보호되지 않은 볼륨에 있어야 합니다.
Windows RE는 로컬 하드 디스크가 아닌 부팅 미디어에서도 사용할 수 있습니다. BitLocker 사용 컴퓨터의 로컬 하드 디스크에 Windows RE를 설치하지 않도록 선택한 경우 Windows 배포 서비스, CD-ROM 또는 USB 플래시 드라이브와 같은 대안적인 부팅 방법을 복구에 사용할 수 있습니다.
BitLocker 프로비전
Windows Vista 및 Windows 7에서 BitLocker는 manage-bde 명령줄 인터페이스 또는 제어판 사용자 인터페이스를 통해 시스템 및 데이터 볼륨이 설치된 후에 프로비전되었습니다. 최신 운영 체제에서는 운영 체제가 설치되기 전에 BitLocker를 쉽게 프로비전할 수 있습니다. 사전 프로비전하려면 컴퓨터에 TPM이 있어야 합니다.
특정 볼륨의 BitLocker 상태를 확인하려면 관리자가 BitLocker 제어판 애플릿 또는 Windows 탐색기에서 드라이브의 상태를 확인하면 됩니다. 노란색 느낌표 아이콘이 있는 "활성화 대기 중" 상태는 드라이브가 BitLocker에 대해 사전 프로비전되었음을 의미합니다. 이 상태는 볼륨을 암호화할 때 암호화되지 않은 보호기만 사용되었음을 나타냅니다. 이 경우 볼륨은 보호되지 않으며, 보안 키를 볼륨에 추가해야 드라이브가 완전히 보호된 것으로 간주됩니다. 관리자는 제어판 옵션, manage-bde 도구 또는 WMI API를 사용하여 적절한 키 보호기를 추가할 수 있습니다. 그러면 볼륨 상태가 업데이트됩니다.
제어판 옵션을 사용할 경우 관리자는 BitLocker 켜기를 선택하여 마법사의 단계에 따라 운영 체제 볼륨의 PIN(또는 TPM이 존재하지 않는 경우 암호)과 같은 보호기나 암호 또는 스마트 카드 보호기를 데이터 볼륨에 추가할 수 있습니다. 그러면 볼륨 상태를 변경하기 전에 드라이브 보안 창이 표시됩니다.
관리자는 WinPE(Windows 사전 설치 환경)에서 운영 체제 배포 이전에 BitLocker를 사용하도록 설정할 수 있습니다. Windows 설치 프로세스를 실행하기 전에 포맷된 볼륨에 임의로 생성한 암호화되지 않은 키 보호기를 적용하고 볼륨을 암호화하여 이 작업을 수행할 수 있습니다. 사용된 디스크 공간만 옵션으로 암호화하는 경우 이 단계는 몇 초밖에 걸리지 않으며 일반 배포 프로세스와 잘 통합됩니다.
사용된 디스크 공간만 암호화
BitLocker 설치 마법사는 볼륨에 대해 BitLocker를 사용하도록 설정하는 경우 사용된 디스크 공간만 또는 전체 암호화 방법을 선택하는 기능을 관리자에게 제공합니다. 관리자는 새 BitLocker 그룹 정책 설정을 사용하여 사용된 디스크 공간만 암호화 또는 전체 디스크 암호화를 적용할 수 있습니다.
BitLocker 설치 마법사를 시작하면 사용할 인증 방법에 대한 메시지가 표시됩니다(데이터 볼륨에서 암호 및 스마트 카드를 사용할 수 있음). 인증 방법을 선택하고 복구 키를 저장하면 드라이브 암호화 종류 즉, 사용된 디스크 공간만 암호화 또는 전체 드라이브 암호화를 선택하라는 메시지가 표시됩니다.
사용된 디스크 공간만 암호화는 데이터가 포함된 드라이브 부분만 암호화되며 사용되지 않은 공간은 암호화되지 않은 상태로 유지됨을 의미합니다. 이렇게 하면 특히 새 PC 및 데이터 드라이브의 경우 암호화 프로세스가 훨씬 더 빨라집니다. BitLocker가 이 방법으로 사용하도록 설정된 경우 데이터가 드라이브에 추가되면 사용된 드라이브 부분이 암호화되므로, 암호화되지 않고 드라이브에 저장되는 데이터는 없습니다.
전체 드라이브 암호화는 데이터가 드라이브에 저장되는지 여부와 관계없이 전체 드라이브가 암호화됨을 의미합니다. 이 방법은 용도가 변경되었으며 이전에 사용하고 남은 데이터가 포함될 수 있는 드라이브에 유용합니다.
Active Directory 도메인 서비스 고려 사항
BitLocker는 AD DS(Active Directory 도메인 서비스)와 통합되어 중앙 키 관리를 제공합니다. 기본적으로 Active Directory에 백업되는 복구 정보는 없습니다. 관리자는 그룹 정책 설정을 구성하여 BitLocker 또는 TPM 복구 정보의 백업을 사용하도록 설정할 수 있습니다. 이러한 설정을 구성하기 전에 백업을 수행하도록 액세스 권한이 부여되었는지 확인합니다.
기본적으로 도메인 관리자만 BitLocker 복구 정보에 액세스할 수 있는 사용자입니다. 지원 프로세스를 계획할 때 BitLocker 복구 정보에 액세스해야 하는 조직 부문을 정의합니다. 이 정보를 사용하여 AD DS 환경에서 적절한 권한을 위임하는 방식을 정의합니다.
AD DS에 TPM과 BitLocker의 복구 정보를 모두 백업하도록 요구하는 것이 좋습니다. BitLocker로 보호된 컴퓨터에 대해 아래의 그룹 정책 설정을 구성하여 이 보안 방법을 구현할 수 있습니다.
| BitLocker 그룹 정책 설정 | 구성 |
|---|---|
BitLocker 드라이브 암호화: Active Directory 도메인 서비스에 대한 BitLocker 백업 켜기 |
AD DS에 BitLocker 백업 필요(암호 및 키 패키지) |
신뢰할 수 있는 플랫폼 모듈 서비스: Active Directory 도메인 서비스에 대한 TPM 백업 켜기 |
AD DS에 TPM 백업 필요 |
각 컴퓨터 개체에 대해 다음 복구 데이터가 저장됩니다.
복구 암호
BitLocker로 보호된 볼륨을 복구하는 데 사용하는 48자 복구 암호입니다. BitLocker가 복구 모드로 전환될 때 사용자는 이 암호를 입력하여 볼륨의 잠금을 해제합니다.
키 패키지 데이터
이 키 패키지와 복구 암호를 사용하면 디스크가 심각하게 손상된 경우 BitLocker로 보호된 볼륨의 일부를 암호 해독할 수 있습니다. 각 키 패키지는 생성된 볼륨(해당 볼륨 ID로 식별할 수 있음)에서만 작동합니다.
TPM 소유자 권한 부여 암호 해시
TPM의 소유권을 가져온 경우 소유권 암호의 해시를 가져오고 AD DS에 저장할 수 있습니다. 그러면 이 정보는 TPM의 소유권을 초기화하는 데 사용할 수 있습니다.
Windows 8부터 AD DS 스키마에서, TPM 소유자 권한 부여 값을 AD DS에 저장하는 방법이 변경되었습니다. 이제 TPM 소유자 권한 부여 값은 컴퓨터 개체에 연결된 별도의 개체에 저장됩니다. 이 값은 기본 Windows Server 2008 R2 이상 스키마에 대한 컴퓨터 개체 자체의 속성으로 저장되었습니다.
이 통합을 이용하려면 도메인 컨트롤러를 Windows Server 2012로 업그레이드하거나 Active Directory 스키마를 확장하고 BitLocker 관련 그룹 정책 개체를 구성해야 합니다.
참고
Active Directory 스키마를 업데이트하는 데 사용하는 계정은 Schema Admins 그룹의 구성원이어야 합니다.
Windows Server 2012 도메인 컨트롤러의 기본 스키마는 별도의 개체에서 TPM 소유자 권한 부여 정보를 백업합니다. 도메인 컨트롤러를 Windows Server 2012로 업그레이드하지 않은 경우 이 변경을 지원하도록 스키마를 확장해야 합니다.
Windows Server 2003 또는 Windows 2008 도메인 컨트롤러에서 관리하는 Windows 8 이상 컴퓨터를 지원하려면
AD DS 스키마로 복사하고 추가할 수 있는 두 가지 스키마 확장은 다음과 같습니다.
TpmSchemaExtension.ldf
이 스키마 확장은 Windows Server 2012 스키마와의 패리티를 제공합니다. 이 변경으로 TPM 소유자 권한 부여 정보는 해당 컴퓨터 개체에 연결된 별도의 TPM 개체에 저장됩니다. TPM 개체를 생성한 컴퓨터 개체만 해당 정보를 업데이트할 수 있습니다. 즉, 컴퓨터가 다시 이미징되어 새 AD 컴퓨터 개체가 만들어지는 이중 부팅 시나리오에서 TPM 개체에 대한 후속 업데이트가 성공하지 못합니다. 이러한 시나리오를 지원하기 위해 스키마에 대한 업데이트를 만들었습니다.
TpmSchemaExtensionACLChanges.ldf
이 스키마 업데이트는 컴퓨터 개체의 소유권을 가져온 모든 후속 운영 체제가 AD DS에서 소유자 권한 부여 값을 업데이트할 수 있도록 TPM 개체의 ACL을 덜 제한적인 방식으로 수정합니다. 그러나 도메인의 컴퓨터에서 이제 TPM 개체의 OwnerAuth를 읽을 수는 없지만 OwnerAuth를 업데이트할 수 있으며 엔터프라이즈 내에서 DOS 공격을 가할 수 있으므로 보안 수준이 낮습니다. 이러한 시나리오에서 권장되는 완화 조치는 TPM 개체의 정기적인 백업을 수행하는 것과 이러한 개체에 대한 변경을 추적하도록 감사를 사용 설정하는 것입니다.
스키마 확장을 다운로드하려면 TPM 백업을 지원하는 AD DS 스키마 확장을 참조하세요.
환경에 Windows Server 2012 도메인 컨트롤러가 있는 경우 스키마 확장이 이미 있으므로 업데이트할 필요가 없습니다.
주의
AD DS에 TPM 및 BitLocker 정보를 백업하도록 그룹 정책 개체를 구성하려면 포리스트의 도메인 컨트롤러 중 하나 이상에서 Windows Server 2008 R2 이상을 실행하고 있어야 합니다.
TPM 소유자 권한 부여 값의 Active Directory 백업이 필수 스키마 확장이 없는 환경에서 사용하도록 설정된 경우 TPM 프로비전이 실패하고 TPM이 Windows 8 이상을 실행하는 컴퓨터에 대해 준비 안 됨 상태로 유지됩니다.
AD DS에서 올바른 권한 설정
BitLocker를 켤 수 있도록 TPM을 초기화하려면 AD DS에서 ms-TPMOwnerInformation 특성에 대해 SELF 계정에 대한 올바른 사용 권한을 설정해야 합니다. 다음 단계에서는 BitLocker에 필요한 사용 권한을 설정하는 절차를 자세히 설명합니다.
Active Directory 사용자 및 컴퓨터를 엽니다.
BitLocker를 켤 컴퓨터 계정이 포함된 OU(조직 구성 단위)를 선택합니다.
OU를 마우스 오른쪽 단추로 클릭하고 제어 위임을 클릭하여 제어 위임 마법사를 엽니다.
다음을 클릭하여 사용자 또는 그룹 페이지로 이동한 다음 추가를 클릭합니다.
사용자, 컴퓨터 또는 그룹 선택 대화 상자에서 개체 이름으로 SELF를 입력하고 확인을 클릭합니다. 개체가 확인되면 사용자 또는 그룹 마법사 페이지가 다시 표시되며 SELF 계정이 나열됩니다. 다음을 클릭합니다.
위임할 작업 페이지에서 위임할 사용자 지정 작업 만들기를 선택하고 다음을 클릭합니다.
Active Directory 개체 유형 페이지에서 폴더에 있는 다음 개체만을 선택하고 컴퓨터 개체 확인란을 선택하고 다음을 클릭합니다.
사용 권한 페이지에서 다음 사용 권한 표시에 대해 일반, 속성별 및 특정 자식 개체 만들기/삭제 확인란을 선택합니다. 사용 권한 목록을 아래로 스크롤하여 msTPM-OwnerInformation 쓰기 및 msTPM-TpmInformationForComputer 쓰기 확인란을 모두 선택하고 다음을 클릭합니다.
Finish을 클릭하여 사용 권한 설정을 적용합니다.
복구 암호 보호기에 대한 FIPS 지원
Windows Server 2012 R2 및 Windows 8.1에서 도입된 기능으로 BitLocker가 FIPS 모드에서 완벽하게 작동하도록 합니다.
참고
미국 FIPS(Federal Information Processing Standard)는 미국 연방 정부에서 사용하는 컴퓨터 시스템에 대한 보안 및 상호 운용성 요구 사항을 정의합니다. FIPS 140 표준은 승인된 암호화 알고리즘을 정의합니다. 또한 FIPS 140 표준은 키 생성 및 키 관리에 대한 요구 사항도 규정합니다. NIST(National Institute of Standards and Technology)는 암호화 알고리즘의 특정 구현이 FIPS 140 표준을 준수하는지 확인하는 데 CMVP(Cryptographic Module Validation Program)를 사용합니다. 암호화 알고리즘의 구현은 제출되어 NIST 유효성 검사를 통과한 경우에만 FIPS 140 규격인 것으로 간주됩니다. 제출되지 않은 알고리즘은 해당 구현이 같은 알고리즘의 확인된 구현과 동일한 데이터를 생성하는 경우에도 FIPS 규격으로 간주될 수 없습니다.
이처럼 FIPS 모드를 지원하는 Windows 버전 이전에는 Windows가 FIPS 모드에 있을 때 BitLocker는 복구 암호의 생성 또는 사용을 방지했으며 대신 사용자에게 복구 키를 사용하도록 했습니다. 이러한 문제에 관한 자세한 내용은 지원 문서 kb947249를 참조하세요.
그러나 이러한 지원 시스템을 실행하고 BitLocker를 사용하도록 설정한 컴퓨터에서
FIPS 규격 복구 암호 보호기는 Windows가 FIPS 모드에 있을 때 만들 수 있습니다. 이러한 보호기는 FIPS 140 NIST SP800-132 알고리즘을 사용합니다.
Windows 8.1의 FIPS 모드에서 만든 복구 암호는 다른 시스템에서 만든 복구 암호와 구별할 수 있습니다.
현재 복구 암호를 사용하는 모든 경우에 FIPS 규격 알고리즘 기반 복구 암호 보호기를 사용하여 복구를 잠금 해제할 수 있습니다.
FIPS 규격 복구 암호가 볼륨의 잠금을 해제할 때 볼륨은 FIPS 모드에 있는 동안에도 읽기/쓰기 권한을 허용하도록 잠금이 해제됩니다.
FIPS 규격 복구 암호 보호기는 내보낼 수 있으며 FIPS 모드에 있는 동안 AD에 저장할 수 있습니다.
복구 암호에 대한 BitLocker 그룹 정책 설정은 FIP 모드에 있는지 여부와 상관없이 BitLocker를 지원하는 모든 Windows 버전에서 동일하게 작동합니다.
그러나 FIPS 모드에 있을 때 시스템에서 생성된 복구 암호는 Windows Server 2012 R2 및 Windows 8.1보다 이전 시스템에 사용할 수 없습니다. Windows Server 2012 R2 및 Windows 8.1에서 생성된 복구 암호는 Windows Server 2012 R2 및 Windows 8.1 이전 운영 체제의 BitLocker와 호환되지 않습니다. 따라서 복구 키를 대신 사용해야 합니다.