BitLocker FAQ(질문과 대답)

적용 대상

  • Windows10

엔터프라이즈 환경에서 BitLocker 배포를 자동화할 수 있나요?

예, WMI 또는 Windows PowerShell 스크립트를 사용하여 BitLocker 및 TPM 배포와 구성을 자동화할 수 있습니다. 스크립트 구현 방법은 환경에 따라 달라집니다. Manage-bde.exe를 사용하여 BitLocker를 로컬 또는 원격으로 구성할 수도 있습니다. BitLocker WMI 공급자를 사용하는 스크립트 작성에 대한 자세한 내용은 BitLocker 드라이브 암호화 공급자를 참조하세요. Windows PowerShell cmdlet을 BitLocker 드라이브 암호화와 함께 사용하는 방법에 대한 추가 정보는 Windows PowerShell의 BitLocker Cmdlet을 참조하세요.

BitLocker가 둘 이상의 운영 체제 드라이브를 암호화할 수 있나요?

예.

컴퓨터에서 BitLocker를 사용하도록 설정하는 경우 성능에 대해 눈에 띄는 영향이 있나요?

일반적으로 성능 오버헤드가 적습니다. 일반적으로 한 자릿수 백분율에서는 작동해야 하는 저장소 작업의 성능에 대한 상대적인 비율이 있습니다.

BitLocker를 설정하는 경우 초기 암호화 시간은 어느 정도 걸리나요?

BitLocker 암호화는 작업을 계속하는 동안 백그라운드에서 수행되며 시스템을 계속 사용할 수 있지만, 암호화 시간은 암호화하는 드라이브의 유형, 드라이브 크기 및 드라이브 속도에 따라 달라집니다. 큰 드라이브를 암호화하는 경우 드라이브를 사용하지 않을 때 암호화가 발생하게 설정할 수 있습니다.

BitLocker로 전체 드라이브를 암호화할지, BitLocker 설정 시 드라이브에서 사용된 공간만 암호화할지 선택할 수 있습니다. 새 하드 드라이브에서는 전체 드라이브를 암호화하는 것보다 사용된 공간만 암호화하면 속도가 훨씬 빠를 수 있습니다. 이 암호화 옵션을 선택하면 BitLocker는 저장되는 데이터를 자동으로 암호화하여 암호화되지 않은 상태로 저장되는 데이터가 없도록 합니다.

암호화 또는 암호 해독 중에 컴퓨터를 끄면 어떻게 되나요?

컴퓨터가 꺼지거나 최대 절전 모드로 설정되는 경우 BitLocker 암호화 및 암호 해독 프로세스는 다음번에 Windows를 시작하면 중지된 지점부터 다시 시작됩니다. 갑자기 정전이 되는 등의 경우에도 마찬가지입니다.

BitLocker는 데이터를 읽고 쓸 때 전체 드라이브를 한 번에 암호화하고 암호 해독하나요?

아니요, BitLocker는 데이터를 읽고 쓸 때 전체 드라이브를 암호화하고 암호 해독하지 않습니다. BitLocker로 보호되는 드라이브의 암호화된 섹터는 시스템 읽기 작업에서 요청이 있을 때만 암호 해독됩니다. 드라이브에 기록된 블록의 경우 시스템에서 실제 디스크에 해당 블록을 쓰기 전에 암호화됩니다. BitLocker로 보호되는 드라이브에서는 암호화되지 않은 상태의 데이터가 저장되지 않습니다.

네트워크 사용자가 암호화되지 않은 드라이브에서 데이터를 공유하지 못하도록 하려면 어떻게 해야 하나요?

BitLocker로 보호되는 컴퓨터가 데이터를 쓰기 전에 데이터 드라이브를 BitLocker로 보호하도록 그룹 정책 설정을 구성할 수 있습니다. 자세한 내용은 BitLocker 그룹 정책 설정을 참조하세요. 이러한 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 운영 체제에서 BitLocker로 보호되지 않은 데이터 드라이브를 읽기 전용으로 탑재합니다.

사용되는 디스크 공간 전용 암호화란?

Windows 10의 BitLocker를 사용하면 데이터만 암호화할 수 있습니다. 드라이브를 암호화하는 가장 안전한 방법은 아니며 암호화해야 하는 데이터의 양에 따라 암호화 시간을 99% 이상 줄일 수 있습니다. 자세한 내용은 Used Disk Space Only encryption을 참조하십시오.

운영 체제 드라이브의 무결성 검사에 실패하도록 하는 시스템 변경에는 어떤 것이 있나요?

다음과 같은 유형의 시스템 변경은 무결성 검사에 실패하는 원인이 되고 TPM이 보호된 운영 체제 드라이브의 암호를 해독하기 위해 BitLocker 키를 해제하지 못하도록 할 수 있습니다.

  • BitLocker로 보호되는 드라이브를 새 컴퓨터로 이동하는 경우
  • 새 TPM이 설치된 새 마더보드를 설치하는 경우
  • TPM을 끄거나 사용하지 않도록 설정하거나 제거한 경우
  • 부팅 구성 설정을 변경하는 경우
  • BIOS, UEFI 펌웨어, 마스터 부트 레코드, 부팅 섹터, 부팅 관리자, 옵션 ROM 또는 기타 초기 부팅 구성 요소나 부팅 구성 데이터를 변경하는 경우

운영 체제 드라이브를 시작할 때 BitLocker에서 복구 모드를 시작하도록 하는 원인은 무엇인가요?

BitLocker는 다양한 공격으로부터 컴퓨터를 보호하기 위해 설계되었기 때문에 BitLocker가 복구 모드에서 시작할 수 있는 이유는 다양합니다. 예:

  • 하드 드라이브보다 먼저 다른 드라이브를 부팅하도록 BIOS 부팅 순서를 변경하는 경우
  • 일부 PCMIA 무선 카드를 비롯한 새 카드를 컴퓨터에 삽입하는 등 하드웨어를 추가하거나 제거하는 경우
  • 휴대용 컴퓨터의 스마트 배터리를 제거 또는 삽입하거나 배터리가 완전 방전되는 경우

BitLocker에서 복구는 USB 플래시 드라이브에 저장된 복구 키를 사용하여 볼륨 마스터 키 복사본의 암호를 해독하는 것과 복구 암호에서 파생된 암호화 키를 사용하여 볼륨 마스터 키 복사본의 암호를 해독하는 것으로 구성되어 있습니다. 어떤 복구 시나리오도 TPM이 관련되어 있지 않으므로, TPM이 부팅 구성 요소 유효성 검사에 실패하거나 오작동 또는 제거되는 경우에도 여전히 복구가 가능합니다.

BitLocker가 PCR 7에 바인딩되지 못하게 하는 이유는 무엇입니까?

BitLocker는 비 Windows OS가 Windows 이전에 부팅된 경우 또는 사용하지 않도록 설정되거나 하드웨어에서 지원하지 않는 장치로 보안 부팅을 사용할 수 없는 경우 PCR 7에 바인딩하지 못하게 할 수 있습니다.

운영 체제 드라이브에서 BitLocker가 사용하도록 설정되어 있는 경우 같은 컴퓨터에서 하드 디스크를 스왑할 수 있나요?

예, BitLocker가 사용하도록 설정된 경우에는 같은 컴퓨터에서 여러 하드 디스크를 스왑할 수 있습니다. 단, 같은 컴퓨터에서 하드 디스크가 BitLocker로 보호되는 상태여야 합니다. BitLocker 키는 TPM 및 운영 체제 드라이브에서 고유합니다. 따라서 디스크에 오류가 발생 하는 경우에 대비하여 백업 운영 체제 또는 데이터 드라이브를 준비하려는 경우 올바른 TPM과 일치해야 합니다. 각 운영 체제에 다른 하드 드라이브를 구성한 다음 서로 다른 인증 방법을 사용(예: 한 드라이브에서는 TPM만 사용하도록 설정하고 다른 드라이브에서는 TPM+PIN을 사용하도록 설정)하여 각 드라이브에서 충돌 없이 BitLocker를 사용하도록 설정할 수도 있습니다.

하드 디스크를 다른 컴퓨터에 삽입하는 경우 BitLocker로 보호되는 드라이브에 액세스할 수 있나요?

예, 드라이브가 데이터 드라이브인 경우 암호나 스마트 카드를 사용하여 다른 데이터 드라이브와 같은 방법으로 BitLocker 드라이브 암호화 제어판 항목에서 잠금 해제할 수 있습니다. 데이터 드라이브가 자동 잠금 해제만 사용할 수 있도록 구성되어 있으면 복구 키를 사용하여 잠금을 해제해야 합니다. 암호화된 하드 디스크는 데이터 복구 에이전트(구성된 경우)로 잠금을 해제하거나 복구 키를 사용하여 잠금을 해제할 수 있습니다.

드라이브를 마우스 오른쪽 단추로 클릭할 때 "BitLocker 켜기"를 사용할 수 없는 이유는 무엇인가요?

일부 드라이브에서는 BitLocker로 암호화할 수 없습니다. 예를 들어 디스크 크기가 부족하거나 파일 시스템이 호환되지 않거나 드라이브가 동적 디스크이거나 드라이브가 시스템 파티션으로 지정되어 있으면 드라이브를 암호화할 수 없습니다. 시스템 드라이브 또는 시스템 파티션은 기본적으로 컴퓨터 창에서 표시되지 않도록 숨겨집니다. 그러나 사용자 지정 설치 프로세스로 인해 운영 체제를 설치할 때 드라이브가 숨겨진 드라이브로 작성되지 않은 경우에는 해당 드라이브가 표시되기는 하지만 암호화할 수는 없습니다.

BitLocker에서 지원되는 디스크 구성 유형은 무엇인가요?

BitLocker를 사용하여 개수에 관계없이 내부 고정 데이터 드라이브를 보호할 수 있습니다. 일부 버전에서는 ATA 및 SATA 기반의 직접 연결 저장 장치도 지원됩니다.