TPM 그룹 정책 설정
IT 전문가를 위한 이 항목에서는 그룹 정책 설정을 사용하여 중앙에서 제어할 수 있는 TPM(신뢰할 수 있는 플랫폼 모듈) 서비스에 대해 설명합니다.
TPM 서비스 그룹 정책 설정은 다음 위치에 있습니다.
컴퓨터 구성\관리 템플릿\시스템\신뢰할 수 있는 플랫폼 모듈 서비스\
| 설정 | Windows 10 | Windows Server 2012 R2, Windows 8.1 및 Windows RT | Windows Server 2012, Windows 8 및 Windows RT | Windows Server 2008 R2 및 Windows 7 | Windows Server 2008 및 Windows Vista |
|---|---|---|---|---|---|
Active Directory 도메인 서비스에 TPM 백업 사용 |
X |
X |
X |
X |
X |
차단된 TPM 명령 목록 구성 |
X |
X |
X |
X |
X |
차단된 TPM 명령의 기본 목록 무시 |
X |
X |
X |
X |
X |
차단된 TPM 명령의 로컬 목록 무시 |
X |
X |
X |
X |
X |
운영 체제에서 사용할 수 있는 TPM 소유자 권한 부여 정보 수준 구성 |
X |
X |
X |
||
표준 사용자 잠금 기간 |
X |
X |
X |
||
표준 사용자 개별 잠금 임계값 |
X |
X |
X |
||
표준 사용자 전체 잠금 임계값 |
X |
X |
X |
Active Directory 도메인 서비스에 TPM 백업 사용
이 정책 설정을 사용하면 TPM 소유자 정보의 AD DS(Active Directory 도메인 서비스) 백업을 관리할 수 있습니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
TPM 소유자 정보에는 TPM 소유자 암호의 암호화 해시가 포함됩니다. 특정 TPM 명령은 TPM 소유자만 실행할 수 있습니다. 이 해시는 TPM에 이 명령을 실행할 수 있는 권한을 부여합니다.
중요
Windows 10, Windows 8.1 또는 Windows 8을 실행하는 컴퓨터에서 TPM 소유자 정보를 백업하려면 AD DS 백업에 성공할 수 있도록 먼저 도메인에서 적절한 스키마 확장 및 액세스 제어 설정을 지정해야 할 수도 있습니다. Windows Server 2012 R2 및 Windows Server 2012에는 기본적으로 필요한 스키마 확장이 포함되어 있습니다. 자세한 내용은 TPM 백업을 지원하는 AD DS 스키마 확장을 참조하세요.
소유자를 먼저 설정하지 않으면 TPM을 사용하여 BitLocker 드라이브 암호화 및 기타 응용 프로그램에 대한 향상된 보안 기능을 제공할 수 없습니다. 로컬 컴퓨터의 명령 프롬프트에서 소유자 암호를 사용하여 TPM의 소유권을 얻으려면 tpm.msc를 입력하여 TPM 관리 콘솔을 열고 TPM 초기화 작업을 선택합니다. TPM 소유자 정보가 손실되었거나 사용할 수 없는 경우 tpm.msc을 실행하여 제한된 TPM 관리가 가능합니다.
이 정책 설정을 사용하도록 설정하면 Windows를 사용하여 TPM 소유자 암호를 설정하거나 변경할 때 TPM 소유자 정보가 자동으로 AD DS에 백업됩니다. 이 정책 설정을 사용하도록 설정하면 컴퓨터가 도메인에 연결되고 AD DS 백업에 성공하지 않을 경우 TPM 소유자 암호를 설정하거나 변경할 수 없습니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 TPM 소유자 정보가 AD DS에 백업되지 않습니다.
차단된 TPM 명령 목록 구성
이 정책 설정을 사용하면 Windows에서 차단되는 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 그룹 정책 목록을 관리할 수 있습니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
이 정책 설정을 사용하도록 설정하면 Windows에서 지정된 명령이 컴퓨터의 TPM에 전송되지 않도록 차단합니다. TPM 명령은 명령 번호로 참조됩니다. 예를 들어 명령 번호 129는 TPM_OwnerReadInternalPub이고 명령 번호 170은 TPM_FieldUpgrade입니다. 각 TPM 명령과 연결된 명령 번호를 찾으려면 명령 프롬프트에서 tpm.msc을 입력하여 TPM 관리 콘솔을 열고 명령 관리 섹션으로 이동합니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않을 경우 기본 또는 로컬 목록을 통해 지정된 TPM 명령만 Windows에서 차단할 수 있습니다. 차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다.
명령 프롬프트에서 tpm.msc을 입력하고 명령 관리 섹션으로 이동한 다음 기본 차단 목록에서 열을 노출하면 기본 목록을 볼 수 있습니다.
차단된 TPM 명령의 로컬 목록은 TPM 관리 콘솔을 실행하거나 Win32_Tpm 인터페이스를 통해 스크립팅하여 그룹 정책 외부에서 구성됩니다.
차단된 TPM 명령의 기본 및 로컬 목록을 적용하거나 무시하는 방법에 대한 자세한 내용은 다음을 참조하세요.
차단된 TPM 명령의 기본 목록 무시
차단된 TPM 명령의 로컬 목록 무시
차단된 TPM 명령의 기본 목록 무시
이 정책 설정을 사용하면 차단된 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 컴퓨터 기본 목록을 적용하거나 무시할 수 있습니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다. 명령 프롬프트에서 tpm.msc을 입력하여 TPM 관리 콘솔을 열고 명령 관리 섹션으로 이동한 다음 기본 차단 목록에서 열을 노출하면 기본 목록을 볼 수 있습니다. 또한 관련 정책 설정인 차단된 TPM 명령 목록 구성을 참조하세요.
이 정책 설정을 사용하도록 설정하면 Windows 운영 체제에서 차단된 TPM 명령의 컴퓨터 기본 목록을 무시하고 그룹 정책 또는 로컬 목록에 지정된 TPM 명령만 차단합니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않을 경우 Windows에서 그룹 정책 및 차단된 TPM 명령의 로컬 목록에 지정된 명령 외에도 기본 목록의 TPM 명령을 차단합니다.
차단된 TPM 명령의 로컬 목록 무시
이 정책 설정을 사용하면 차단된 TPM(신뢰할 수 있는 플랫폼 모듈) 명령의 컴퓨터 로컬 목록을 적용하거나 무시할 수 있습니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
차단된 TPM 명령의 로컬 목록은 명령 프롬프트에서 tpm.msc을 입력하여 TPM 관리 콘솔을 열거나 Win32_Tpm 인터페이스를 통해 스크립팅하여 그룹 정책 외부에서 구성됩니다. 차단된 TPM 명령의 기본 목록은 Windows에서 미리 구성됩니다. 또한 관련 정책 설정인 차단된 TPM 명령 목록 구성을 참조하세요.
이 정책 설정을 사용하도록 설정하면 Windows 운영 체제에서 차단된 TPM 명령의 컴퓨터 로컬 목록을 무시하고 그룹 정책 또는 기본 목록에 지정된 TPM 명령만 차단합니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않을 경우 Windows에서 그룹 정책 및 차단된 TPM 명령의 기본 목록에 지정된 명령 외에도 로컬 목록의 TPM 명령을 차단합니다.
운영 체제에서 사용할 수 있는 TPM 소유자 권한 부여 정보 수준 구성
이 정책 설정은 로컬 컴퓨터의 레지스트리에 저장되는 TPM 소유자 권한 부여 정보량을 구성합니다. 로컬에 저장된 TPM 소유자 권한 부여 정보량에 따라 Windows 운영 체제 및 TPM 기반 응용 프로그램은 사용자가 TPM 소유자 암호를 입력할 필요 없이 TPM 소유자 권한 부여를 필요로 하는 TPM의 특정 작업을 수행할 수 있습니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
Windows 운영 체제에서 관리하는 세 가지 TPM 소유자 인증 설정이 있습니다. 전체, 위임 또는 없음 값을 선택할 수 있습니다.
전체 이 설정은 전체 TPM 소유자 권한 부여, TPM 관리 위임 blob 및 TPM 사용자 위임 blob을 로컬 레지스트리에 저장합니다. 이 설정을 사용할 경우 TPM 소유자 권한 부여 값의 원격 또는 외부 저장소 없이 TPM을 사용할 수 있습니다. 이 설정은 TPM 해머링 방지 논리를 다시 설정하거나 TPM 소유자 권한 부여 값을 변경할 필요가 없는 시나리오에 적합합니다. 일부 TPM 기반 응용 프로그램에서는 TPM 해머링 방지 논리에 종속된 기능을 사용하기 전에 이 설정을 변경해야 할 수도 있습니다.
위임 이 설정은 TPM 관리 위임 blob 및 TPM 사용자 위임 blob만 로컬 레지스트리에 저장합니다. 이 설정은 TPM 해머링 방지 논리에 종속된 TPM 기반 응용 프로그램에 사용하기에 적합합니다. 이 설정을 사용할 경우 전체 TPM 소유자 권한 부여 값에 외부 또는 원격 저장소를 사용하는 것이 좋습니다. 예를 들어 AD DS(Active Directory 도메인 서비스)에 값을 백업합니다.
없음 이 설정은 이전 운영 체제 및 응용 프로그램과의 호환성을 제공합니다. TPM 소유자 권한 부여를 로컬에 저장할 수 없는 시나리오에 사용할 수도 있습니다. 이 설정을 사용할 때 일부 TPM 기반 응용 프로그램에서 문제가 발생할 수도 있습니다.
참고
운영 체제 관리 TPM 인증 설정이 전체에서 위임으로 변경되는 경우 전체 TPM 소유자 권한 부여 값이 다시 생성되고 이전에 설정한 TPM 소유자 권한 부여 값의 복사본이 모두 유효하지 않게 됩니다. TPM 소유자 권한 부여 값을 AD DS에 백업하는 경우 변경 시 새 소유자 권한 부여 값이 자동으로 AD DS에 백업됩니다.
레지스트리 정보
레지스트리 키: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
다음 표에서는 레지스트리의 TPM 소유자 권한 부여 값을 보여 줍니다.
| 값 데이터 | 설정 |
|---|---|
0 |
없음 |
2 |
위임 |
4 |
전체 |
이 정책 설정을 사용하도록 설정하면 Windows 운영 체제에서 선택한 TPM 인증 설정에 따라 TPM 소유자 권한 부여를 로컬 컴퓨터의 레지스트리에 저장합니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않고 TPM Active Directory 도메인 서비스에 백업 켜기 정책 설정도 사용하지 않도록 설정하거나 구성하지 않을 경우 기본 설정은 전체 TPM 권한 부여 값을 로컬 레지스트리에 저장하는 것입니다. 이 정책을 사용하지 않도록 설정하거나 구성하지 않고 TPM Active Directory 도메인 서비스에 백업 켜기 정책 설정을 사용하도록 설정할 경우 관리 위임 및 사용자 위임 blob만 로컬 레지스트리에 저장됩니다.
표준 사용자 잠금 기간
이 정책 설정을 사용하면 권한 부여를 필요로 하는 TPM(신뢰할 수 있는 플랫폼 모듈) 명령에 대한 표준 사용자 권한 부여 실패 횟수 계산 기간(분)을 관리할 수 있습니다. 표준 사용자가 명령을 TPM으로 보낼 때마다 권한 부여 실패가 발생하고 권한 부여 실패가 발생했음을 나타내는 오류 응답이 수신됩니다. 설정한 기간 이전에 발생한 권한 부여 실패는 무시됩니다. 이 잠금 기간 동안 권한 부여에 실패한 TPM 명령 수가 임계값과 같으면 표준 사용자는 권한 부여가 필요한 명령을 TPM에 보낼 수 없게 됩니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
TPM은 잘못된 권한 부여 값과 함께 너무 많은 명령을 받을 경우 하드웨어 잠금 모드로 전환하여 암호 추측 공격으로부터 보호하도록 설계되었습니다. TPM이 잠금 모드로 전환되면 모든 사용자(관리자 포함) 및 BitLocker 드라이브 암호화와 같은 Windows 기능에 대해 전역입니다.
TPM에서 허용하는 권한 부여 실패 횟수 및 잠금 상태로 유지되는 기간은 TPM 제조업체에 따라 다릅니다. 일부 TPM은 과거 실패에 따라 더 적은 권한 부여 실패 횟수에서도 연속해서 더 오랜 기간 동안 잠금 모드를 유지할 수도 있습니다. 일부 TPM은 잠금 모드를 종료하기 위해 시스템을 다시 시작하도록 요구할 수 있습니다. 다른 TPM은 TPM이 잠금 모드를 종료하기 전에 시스템이 충분한 클록 주기 동안 켜져 있도록 요구할 수도 있습니다.
이 설정은 표준 사용자가 권한 부여가 필요한 명령을 TPM에 보낼 수 있는 속도를 느리게 하므로 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지하는 데 도움이 됩니다.
각 표준 사용자에 대해 두 개의 임계값이 적용됩니다. 두 임계값 중 하나를 초과하면 사용자가 권한 부여가 필요한 명령을 TPM에 보낼 수 없습니다. 다음 정책 설정을 사용하여 잠금 기간을 설정합니다.
표준 사용자 개별 잠금 임계값 이 값은 권한 부여가 필요한 명령을 TPM에 보내지 못하도록 사용자를 제한하기 전에 각 표준 사용자에게 허용되는 최대 권한 부여 실패 횟수입니다.
표준 사용자 전체 잠금 임계값 이 값은 권한 부여가 필요한 명령을 TPM에 보내지 못하도록 모든 표준 사용자를 제한하기 전에 모든 표준 사용자에게 허용되는 최대 총 권한 부여 실패 횟수입니다.
TPM 소유자 암호가 있는 관리자는 TPM 관리 콘솔(tpm.msc)을 사용하여 TPM의 하드웨어 잠금 논리를 완전히 다시 설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패가 무시됩니다. 이렇게 하면 표준 사용자가 즉시 TPM을 정상적으로 사용할 수 있습니다.
이 정책 설정을 구성하지 않을 경우 기본값인 480분(8시간)이 사용됩니다.
표준 사용자 개별 잠금 임계값
이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)에 대한 각 표준 사용자의 최대 권한 부여 실패 횟수를 관리할 수 있습니다. 이 값은 권한 부여가 필요한 명령을 TPM에 보내지 못하도록 사용자를 제한하기 전에 각 표준 사용자에게 허용되는 최대 권한 부여 실패 횟수입니다. 표준 사용자 잠금 기간 정책 설정에 대해 설정된 기간 내의 사용자 권한 부여 실패 횟수가 이 값과 같으면 표준 사용자가 권한 부여가 필요한 명령을 TPM(신뢰할 수 있는 플랫폼 모듈)에 보낼 수 없게 됩니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
이 설정은 표준 사용자가 권한 부여가 필요한 명령을 TPM에 보낼 수 있는 속도를 느리게 하므로 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지하는 데 도움이 됩니다.
표준 사용자가 명령을 TPM으로 보낼 때마다 권한 부여 실패가 발생하고 권한 부여 실패가 발생했음을 나타내는 오류 응답이 수신됩니다. 기간 이전에 발생한 권한 부여 실패는 무시됩니다.
TPM 소유자 암호가 있는 관리자는 TPM 관리 콘솔(tpm.msc)을 사용하여 TPM의 하드웨어 잠금 논리를 완전히 다시 설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패가 무시됩니다. 이렇게 하면 표준 사용자가 즉시 TPM을 정상적으로 사용할 수 있습니다.
이 정책 설정을 구성하지 않을 경우 기본값 4가 사용됩니다. 값이 0이면 운영 체제에서 표준 사용자가 TPM에 명령을 보내는 것을 허용하지 않으며, 이로 인해 권한 부여 실패가 발생할 수 있습니다.
표준 사용자 전체 잠금 임계값
이 정책 설정을 사용하면 TPM(신뢰할 수 있는 플랫폼 모듈)에 대한 모든 표준 사용자의 최대 권한 부여 실패 횟수를 관리할 수 있습니다. 표준 사용자 잠금 기간 정책에 대해 설정된 기간 내의 모든 표준 사용자 총 권한 부여 실패 횟수가 이 값과 같으면 모든 표준 사용자가 권한 부여가 필요한 명령을 TPM(신뢰할 수 있는 플랫폼 모듈)에 보낼 수 없게 됩니다.
참고
이 정책 설정은 버전 표에 나열된 Windows 운영 체제에 적용됩니다.
이 설정은 표준 사용자가 권한 부여가 필요한 명령을 TPM에 보낼 수 있는 속도를 느리게 하기 때문에 관리자가 TPM 하드웨어가 잠금 모드로 전환되지 않도록 방지하는 데 도움이 됩니다.
표준 사용자가 명령을 TPM으로 보낼 때마다 권한 부여 실패가 발생하고 권한 부여 실패가 발생했음을 나타내는 오류 응답이 수신됩니다. 기간 이전에 발생한 권한 부여 실패는 무시됩니다.
각 표준 사용자에 대해 두 개의 임계값이 적용됩니다. 두 임계값 중 하나를 초과하면 표준 사용자가 권한 부여가 필요한 명령을 TPM에 보낼 수 없습니다.
표준 사용자 개별 잠금 값은 권한 부여가 필요한 명령을 TPM에 보내지 못하도록 사용자를 제한하기 전에 각 표준 사용자에게 허용되는 최대 권한 부여 실패 횟수입니다.
표준 사용자 전체 잠금 임계값은 권한 부여가 필요한 명령을 TPM에 보내지 못하도록 모든 표준 사용자를 제한하기 전에 모든 표준 사용자에게 허용되는 최대 총 권한 부여 실패 횟수입니다.
TPM은 잘못된 권한 부여 값과 함께 너무 많은 명령을 받을 경우 하드웨어 잠금 모드로 전환하여 암호 추측 공격으로부터 보호하도록 설계되었습니다. TPM이 잠금 모드로 전환되면 모든 사용자(관리자 포함) 및 BitLocker 드라이브 암호화와 같은 Windows 기능에 대해 전역입니다.
TPM에서 허용하는 권한 부여 실패 횟수 및 잠금 상태로 유지되는 기간은 TPM 제조업체에 따라 다릅니다. 일부 TPM은 과거 실패에 따라 더 적은 권한 부여 실패 횟수에서도 연속해서 더 오랜 기간 동안 잠금 모드를 유지할 수도 있습니다. 일부 TPM은 잠금 모드를 종료하기 위해 시스템을 다시 시작하도록 요구할 수 있습니다. 다른 TPM은 TPM이 잠금 모드를 종료하기 전에 시스템이 충분한 클록 주기 동안 켜져 있도록 요구할 수도 있습니다.
TPM 소유자 암호가 있는 관리자는 TPM 관리 콘솔(tpm.msc)을 사용하여 TPM의 하드웨어 잠금 논리를 완전히 다시 설정할 수 있습니다. 관리자가 TPM의 하드웨어 잠금 논리를 다시 설정할 때마다 모든 이전 표준 사용자 TPM 권한 부여 실패가 무시됩니다. 이렇게 하면 표준 사용자가 즉시 TPM을 정상적으로 사용할 수 있습니다.
이 정책 설정을 구성하지 않을 경우 기본값 9가 사용됩니다. 값이 0이면 운영 체제에서 표준 사용자가 TPM에 명령을 보내는 것을 허용하지 않으며, 이로 인해 권한 부여 실패가 발생할 수 있습니다.