BitLocker 그룹 정책 설정

적용 대상:

  • Windows 10, Windows 11, Windows Server 2019, Windows Server 2016, Windows 8.1 및 Windows Server 2012 R2

IT 전문가를 위한 이 항목에서는 BitLocker 드라이브 암호화를 관리하는 데 사용되는 각 그룹 정책 설정의 기능, 위치 및 효과에 대해 설명하고 있습니다.

사용자가 Windows 제어판에서 수행할 수 있는 암호화 작업을 제어하거나 기타 구성 옵션을 수정하려면 그룹 정책 관리 템플릿 또는 로컬 컴퓨터 정책 설정을 사용할 수 있습니다. 이러한 정책 설정을 구성하는 방법은 BitLocker를 구현하는 방법과 허용되는 사용자 상호 작용 수준에 따라 다를 수 있습니다.

참고

별도의 그룹 정책 설정 집합은 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용할 수 있습니다. 이러한 설정에 대한 자세한 내용은 신뢰할 수 있는 플랫폼 모듈 그룹 정책 설정을 참조하세요.

BitLocker 그룹 정책 설정은 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker드라이브 암호화에서 로컬 그룹 정책 편집기 및 GPMC(그룹 정책 관리 콘솔)를 사용하여 액세스할 수 있습니다. 대부분의 BitLocker 그룹 정책 설정은 드라이브에 대해 BitLocker가 처음 켜져 있는 경우 적용됩니다. 컴퓨터가 기존 그룹 정책 설정을 준수하지 않는 경우 컴퓨터가 호환 상태가 될 때까지 BitLocker를 켜거나 수정하지 않을 수 있습니다. 드라이브가 그룹 정책 설정을 준수하지 않은 경우(예: 조직에서 초기 BitLocker 배포 후 그룹 정책 설정을 변경한 후 이전에 암호화된 드라이브에 설정이 적용된 경우) 해당 드라이브의 BitLocker 구성을 변경할 수 없습니다.

드라이브를 준수하기 위해 여러 변경이 필요한 경우 BitLocker 보호를 일시 중단하고 필요한 변경을 한 다음 보호를 다시 시작해야 합니다. 예를 들어 이동식 드라이브를 암호로 잠금 해제하도록 처음 구성한 경우와 같은 상황이 발생할 수 있습니다. 그런 다음 암호를 사용할 수 없는 그룹 정책 설정을 변경하여 스마트 카드가 필요한 경우를 예로 들 수 있습니다. 이 경우 Manage-bde 명령줄 도구를 사용하여 BitLocker 보호를 일시 중단하고 암호 잠금 해제 방법을 삭제하고 스마트 카드 메서드를 추가해야 합니다. 이 작업을 완료하면 BitLocker는 그룹 정책 설정을 준수하며 드라이브의 BitLocker 보호를 다시 시작할 수 있습니다.

참고

BitLocker 사용 설정과 관련된 Active Directory 구성에 대한 자세한 내용은 BitLocker에 대한 MDT 설정을 참조하시기 바랍니다.

BitLocker 그룹 정책 설정

다음 섹션에서는 사용 현황별로 구성한 포괄적인 BitLocker 그룹 정책 설정 목록을 제공합니다. BitLocker 그룹 정책 설정에는 특정 드라이브 유형(운영 체제 드라이브, 고정 데이터 드라이브 및 이동식 데이터 드라이브)에 대한 설정과 모든 드라이브에 적용되는 설정이 포함됩니다.

다음 정책 설정을 사용하여 BitLocker로 보호되는 드라이브의 잠금을 해제할 수 있는 방법을 결정할 수 있습니다.

다음 정책 설정은 사용자가 드라이브에 액세스하는 방법과 컴퓨터에서 BitLocker를 사용하는 방법을 제어하는 데 사용됩니다.

다음 정책 설정에 따라 BitLocker에서 사용되는 암호화 방법 및 암호화 유형이 결정됩니다.

다음 정책 설정은 인증 방법이 실패하거나 사용할 수 없는 경우 BitLocker로 보호되는 드라이브에 대한 액세스를 복원하는 데 사용할 수 있는 복구 방법을 정의합니다.

다음 정책은 조직에서 사용자 지정된 배포 시나리오를 지원하는 데 사용됩니다.

보안 부팅 및 보호된 DMA 포트가 있는 장치가 사전 부팅 PIN을 옵트아웃하도록 허용

이 정책 설정을 통해 최신 대기 시간 또는 Microsoft HSTI(하드웨어 보안 테스트 인터페이스)를 준수하는 장치의 사용자는 사전 부트 인증을 위한 PIN을 사용할 수 없습니다.

 
정책 설명 이 정책 설정을 사용하면 이전 디바이스에 PIN을 요구하면서 최신 대기 또는 HSTI를 지원하는 장치와 같은 더 안전한 최신 장치에 대해 TPM 전용 보호를 허용할 수 있습니다.
소개 Windows 10 버전 1703 또는 Windows 11
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 이 설정은 규격 하드웨어에서 시작 시 추가 인증 필요 정책의 TPM을 사용하여 시작 PIN 필요 옵션보다 다시 설정됩니다.
활성화된 경우 최신 대기 상태 및 HSTI 호환 장치의 사용자는 사전 부트 인증 없이 BitLocker를 켜는 방법을 선택할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 시작 시 추가 인증 필요 정책의 옵션이 적용됩니다.

참고자료

The preboot authentication option Require startup PIN with TPM of the Require additional authentication at startup policy is often enabled to help ensure security for older devices that do not support Modern Standby. 그러나 시각 장애가 있는 사용자는 PIN을 입력할 때를 알 수 있는 들은 방법이 없습니다. 이 설정은 보안 하드웨어의 PIN 필수 정책에 대한 예외를 사용할 수 있도록 합니다.

시작 시 네트워크 잠금 해제 허용

이 정책은 BitLocker에서 네트워크 잠금 해제 기능의 동작 일부를 제어합니다. 이 정책은 BitLocker를 실행하는 클라이언트가 암호화 중에 필요한 네트워크 키 보호기 만들기를 허용하기 때문에 네트워크에서 BitLocker 네트워크 잠금 해제를 사용하도록 설정하는 데 필요합니다.

이 정책은 신뢰할 수 있는 네트워크에 연결된 시스템이 네트워크 잠금 해제 **** 기능을 제대로 활용할 수 있도록 BitLocker 드라이브 암호화 네트워크 잠금 해제 인증서 보안 정책(로컬 컴퓨터 정책의 공개 키 정책 폴더에 위치) 외에 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 신뢰할 수 있는 로컬 영역 네트워크에 연결되고 도메인에 가입된 BitLocker로 보호된 컴퓨터가 TPM 사용이 가능한 컴퓨터에서 네트워크 키 보호를 만들고 사용하여 컴퓨터가 시작될 때 운영 체제 드라이브의 잠금을 자동으로 해제할 수 있는지 여부를 제어할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 BitLocker 네트워크 잠금 해제 인증서로 구성된 클라이언트는 네트워크 키 보호 기능을 만들고 사용할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 클라이언트가 네트워크 키 보호 기능을 만들고 사용할 수 없습니다.

참고자료

네트워크 키 보호기에서 컴퓨터 잠금을 해제하려면 BitLocker 드라이브 암호화 네트워크 잠금 해제를 호스트하는 컴퓨터와 서버를 네트워크 잠금 해제 인증서로 프로비전해야 합니다. 네트워크 잠금 해제 인증서는 네트워크 키 보호 기능을 만들고 서버와의 정보 교환을 보호하여 컴퓨터 잠금을 해제하는 데 사용됩니다. 도메인 컨트롤러에서 컴퓨터 구성\Windows 설정\Security 설정\Public Key Policies\BitLocker 드라이브 암호화 네트워크 잠금 해제 인증서를 사용하여 이 인증서를 조직의 컴퓨터에 배포할 수 있습니다. 이 잠금 해제 방법은 컴퓨터에서 TPM을 사용 하여 TPM이 없는 컴퓨터는 네트워크 잠금 해제를 사용하여 자동으로 잠금을 해제하는 네트워크 키 보호 기능을 만들 수 없습니다.

참고

안정성 및 보안을 위해 컴퓨터에는 컴퓨터가 유선 네트워크에서 연결이 끊어지거나 시작할 때 도메인 컨트롤러에 연결할 수 없는 경우 사용할 수 있는 TPM 시작 PIN도 필요합니다.

네트워크 잠금 해제에 대한 자세한 내용은 BitLocker: 네트워크 잠금 해제를 사용하도록 설정하는 방법을 참조하세요.

시작 시 추가 인증 필요

이 정책 설정은 운영 체제 드라이브에 사용할 수 있는 잠금 해제 옵션을 제어하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 컴퓨터가 시작될 때마다 BitLocker에 추가 인증이 필요한지 여부와 TPM(신뢰할 수 있는 플랫폼 모듈)에서 BitLocker를 사용할지 여부를 구성할 수 있습니다. 이 정책 설정은 BitLocker를 설정할 때 적용됩니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 하나의 인증 방법이 필요한 경우 다른 방법을 사용할 수 없습니다. BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부 설정을 사용하도록 설정한 경우 TPM 시작 키 또는 TPM 시작 키와 함께 BitLocker를 사용할 수 없습니다.
활성화된 경우 사용자는 BitLocker 설치 마법사에서 고급 시작 옵션을 구성할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 사용자는 TPM이 있는 컴퓨터에서만 기본 옵션만 구성할 수 있습니다.

시작할 때 추가 인증 옵션 중 하나만 필요합니다. 그렇지 않으면 정책 오류가 발생합니다.

참고자료

TPM이 없는 컴퓨터에서 BitLocker를 사용하려면 호환되는 TPM이 없는 BitLocker 허용을 선택합니다. 이 모드에서는 시작할 때 암호 또는 USB 드라이브가 필요합니다. USB 드라이브에는 드라이브를 암호화하는 데 사용되는 시작 키가 저장됩니다. USB 드라이브를 삽입하면 시작 키가 인증된 후 운영 체제 드라이브에 액세스할 수 있습니다. USB 드라이브가 분실되거나 사용할 수 없는 경우 드라이브에 액세스하려면 BitLocker 복구가 필요합니다.

호환되는 TPM이 있는 컴퓨터에서는 시작 시 추가 인증 방법을 사용하여 암호화된 데이터에 대한 보호 기능을 향상시킬 수 있습니다. 컴퓨터가 시작되면 다음을 사용할 수 있습니다.

  • TPM만
  • 시작 키가 포함된 USB 플래시 드라이브 삽입
  • 4자리에서 20자리까지의 PIN(개인 식별 번호) 항목
  • PIN과 USB 플래시 드라이브의 조합

TPM 사용이 가능한 컴퓨터 또는 장치에는 다음과 같은 네 가지 옵션이 있습니다.

  • TPM 시작 구성

    • TPM 허용
    • TPM 필요
    • TPM 허용 안 하도록 허용
  • TPM 시작 PIN 구성

    • TPM을 사용하여 시작 PIN 허용
    • TPM을 통해 시작 PIN 필요
    • TPM을 사용하여 시작 PIN 허용 안 하도록 허용
  • TPM 시작 키 구성

    • TPM을 사용하여 시작 키 허용
    • TPM을 통해 시작 키 필요
    • TPM을 사용하여 시작 키 허용 안 하도록 허용
  • TPM 시작 키 및 PIN 구성

    • PIN을 사용하여 TPM 시작 키 허용
    • TPM을 통해 시작 키 및 PIN 필요
    • PIN을 사용하여 TPM 시작 키 허용 안 하도록 허용

시작에 향상된 PINS 허용

이 정책 설정은 PIN이 포함된 잠금 해제 방법을 사용할 때 향상된 PIN을 사용할 수 있습니다.

 
정책 설명 이 정책 설정을 사용하여 향상된 시작 PINS를 BitLocker와 함께 사용할지 여부를 구성할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 설정된 모든 새 BitLocker 시작 PI은 향상된 PI으로 설정됩니다. 표준 시작 PI을 사용하여 보호된 기존 드라이브는 영향을 받지 않습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 향상된 PINS는 사용되지 않습니다.

참고자료

향상된 시작 PINS를 사용하면 대문자 및 소문자, 기호, 숫자 및 공백을 비롯한 문자를 사용할 수 있습니다. 이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

중요

모든 컴퓨터가 사전 부트 환경에서 향상된 PIN 문자를 지원하지는 않습니다. BitLocker 설치 중에 시스템 검사를 수행하여 향상된 PIN 문자를 사용할 수 있는지 확인하는 것이 좋습니다.

시작을 위한 최소 PIN 길이 구성

이 정책 설정은 PIN이 포함된 잠금 해제 방법을 사용할 때 최소 PIN 길이를 설정하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 TPM 시작 PIN에 대한 최소 길이를 구성할 수 있습니다. 이 정책 설정은 BitLocker를 설정할 때 적용됩니다. 시작 PIN의 최소 길이는 4자릿수로, 최대 길이는 20자릿수입니다. 기본적으로 최소 PIN 길이는 6입니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 사용자가 설정한 시작 PI의 길이가 4-20자리 사이인 최소 길이를 선택해야 할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 사용자는 6-20자리의 모든 길이의 시작 PIN을 구성할 수 있습니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다. 시작 PIN의 최소 길이는 4자릿수로, 최대 길이는 20자릿수입니다.

원래 BitLocker는 PIN에 대해 4-20자까지 허용됩니다. Windows Hello 로그온에 사용할 수 있는 PIN은 4~127자입니다. BitLocker 및 Windows Hello TPM을 사용하여 PIN 무차별 공격을 방지합니다.

TPM은 사전 공격 방지 매개 변수(잠금임계값 및 잠금 기간)를 사용하여 TPM이 잠기기 전에 허용되는 실패한 권한 부여 시도 수와 다른 시도를 하기 전에 경과해야 하는 시간을 제어하도록 구성할 수 있습니다.

사전 공격 방지 매개 변수는 보안 요구와 사용성의 균형을 조정하는 방법을 제공합니다. 예를 들어 BitLocker를 TPM + PIN 구성과 함께 사용하는 경우 PIN 추측 수는 시간이 지날 때 제한됩니다. 이 예제의 TPM 2.0은 PIN 추측을 32개만 즉시 허용하도록 구성한 다음 2시간마다 한 번 더 추측하도록 구성할 수 있습니다. 이는 1년에 최대 4415개 추측값을 합한 것입니다. PIN이 4자리인 경우 2년이 지난 후 9999개의 가능한 모든 PIN 조합을 시도할 수 있습니다.

PIN 길이를 늘리려면 공격자에 대해 더 많은 추측이 필요합니다. 이 경우 적법한 사용자가 유사한 수준의 보호를 유지하면서 실패한 시도를 더 빨리 다시 시도할 수 있도록 각 추측 사이의 잠금 기간을 단축할 수 있습니다.

Windows 10 버전 1703 또는 Windows 11부터 BitLocker PIN의 최소 길이가 6자까지 증가하여 TPM 2.0을 활용하는 다른 Windows 기능에 보다 잘 맞게 Windows Hello. 2017년 10월이 설치된 Windows 10 버전 1709 및 Windows 10 버전 1703 또는 Windows 11 누적 업데이트부터 시작하여 조직의 전환을 지원하기 위해 BitLocker PIN 길이는 기본적으로 6자이지만 4자로 줄일 수 있습니다. 최소 PIN 길이가 기본값인 6자에서 줄어든 경우 TPM 2.0 잠금 기간이 연장됩니다.

이 컴퓨터가 잠겨 있는 경우 새 DMA 장치를 사용하지 않도록 설정

이 정책 설정을 통해 사용자가 컴퓨터에 로그인할 때까지 모든 핫 플러그형 PCI 포트에 대한 DMA(직접 메모리 액세스)를 차단할 Windows.

 
정책 설명 이 설정은 외부 PCI 기반 장치를 사용하여 BitLocker 키에 액세스하는 공격을 방지하는 데 도움이 됩니다.
소개 Windows 10 버전 1703 또는 Windows 11
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 없음
활성화된 경우 사용자가 스크리를 잠글 때마다 사용자가 다시 로그인할 때까지 핫 플러그형 PCI 포트에서 DMA가 차단됩니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 DMA는 사용자가 로그인되어 있는지 여부에 관계없이 장치가 켜져 있는 경우 핫 플러그 가능한 PCI 장치에서 사용할 수 있습니다.

참고자료

이 정책 설정은 BitLocker 또는 장치 암호화를 사용하는 경우만 적용됩니다. Microsoft 보안지침 블로그 에 설명된 경우 이 설정을 사용하도록 설정하면 무선 네트워크 드라이버와 입력 및 오디오 주변 장치를 포함하여 내부 PCI 기반 주변 장치를 사용할 수 없는 경우도 있습니다. 이 문제는 2018년 4월 품질 업데이트에서 해결되었습니다.

표준 사용자가 PIN 또는 암호를 변경하지 수 없습니다.

이 정책 설정을 통해 표준 사용자가 운영 체제 드라이브를 보호하는 데 사용되는 PIN 또는 암호를 변경할 수 있는지 여부를 구성할 수 있습니다.

 
정책 설명 이 정책 설정을 사용하여 표준 사용자가 운영 체제 드라이브를 보호하는 데 사용되는 PIN 또는 암호를 변경할 수 있는지 여부를 구성할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 표준 사용자는 BitLocker PINS 또는 암호를 변경할 수 없습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 표준 사용자는 BitLocker PINS 또는 암호를 변경할 수 있습니다.

참고자료

PIN 또는 암호를 변경하려면 사용자가 현재 PIN 또는 암호를 제공할 수 있어야 합니다. 이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

운영 체제 드라이브에 대한 암호 사용 구성

이 정책은 TPM 기반이 아닌 시스템이 암호 보호 기능을 사용하는 방법을 제어합니다. Password와 함께 사용되는 암호는 복잡성 요구 사항 정책을 충족해야 합니다. 이 정책을 통해 관리자는 암호 보호기 사용을 위해 암호 길이 및 복잡성을 요구할 수 있습니다. 기본적으로 암호는 8자까지 입력해야 합니다. 복잡성 구성 옵션에 따라 클라이언트에 대한 도메인 연결이 얼마나 중요한지 결정됩니다. 가장 강력한 암호 보안을 위해 관리자는 **** 도메인 연결이 필요하기 때문에 암호 복잡성 요구를 선택해야 합니다. BitLocker 암호는 도메인 로그인 암호와 동일한 암호 복잡성 요구 사항을 충족해야 합니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker로 보호되는 운영 체제 드라이브의 잠금을 해제하는 데 사용되는 암호에 대한 제약 조건을 지정할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 FIPS 준수를 사용하도록 설정한 경우 암호를 사용할 수 없습니다.


참고: 시스템 암호화: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에 있는 암호화, 해시 및 서명 정책 설정에 FIPS 호환 알고리즘을 사용합니다.

활성화된 경우 사용자는 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호에 대한 복잡성 요구 사항을 적용하려면 복잡성 필요 를 선택합니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 기본 길이 제약 조건인 8자는 운영 체제 드라이브 암호에 적용되어 복잡도 검사가 발생하지 않습니다.

참고자료

TPM이 아닌 보호기에서 운영 체제 드라이브를 사용할 수 있는 경우 암호를 프로비전하고, 암호에 복잡성 요구 사항을 적용하고, 암호에 대한 최소 길이를 구성할 수 있습니다. 복잡성 요구 사항 설정을 적용하려면 그룹 정책 설정 Password가복잡성 요구 사항을 충족해야 합니다. 이 요구 사항은 컴퓨터 구성\Windows 설정\Security 설정\Account Policies\Password Policy\\Password Policy\에도 있어야 합니다.

참고

이러한 설정은 볼륨 잠금을 해제할 때가 아니라 BitLocker를 설정할 때 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호 기능을 사용하여 드라이브 잠금을 해제할 수 있습니다.

복잡성 필요로 설정하면 BitLocker를 사용하도록 설정하여 암호의 복잡성을 검사할 때 도메인 컨트롤러에 대한 연결이 필요합니다. **** 복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결을 시도하여 복잡성이 정책에 설정된 규칙을 준수하는지 확인합니다. **** 도메인 컨트롤러가 발견되지 않으면 실제 암호 복잡성에 관계없이 암호가 수락되고 드라이브는 해당 암호를 보호기로 사용하여 암호화됩니다. 복잡성 허용 안 으로설정하면 암호 복잡성 유효성 검사가 없습니다. 암호는 8자 이상을 입력해야 합니다. 암호에 대한 최소 길이를 구성하기 위해 최소 암호 길이 상자에 원하는 수의 문자를 입력합니다.

이 정책 설정을 사용하도록 설정하면 운영 체제 드라이브의 암호 복잡성 구성 옵션을 다음으로 설정할 수 있습니다.

  • 암호 복잡성 허용
  • 암호 복잡성을 허용하지 않습니다.
  • 암호 복잡성 필요

시작 시 추가 인증 필요(Windows Server 2008 및 Windows Vista)

이 정책 설정은 Windows Server 2008 또는 Vista를 실행하는 컴퓨터에서 사용할 수 있는 잠금 해제 옵션을 Windows 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 Windows Vista 또는 Windows Server 2008을 실행하는 컴퓨터의 BitLocker 설치 마법사가 컴퓨터를 시작할 때마다 필요한 추가 인증 방법을 설정할 수 있는지 여부를 제어할 수 있습니다.
소개 Windows Server 2008 및 Windows Vista
드라이브 유형 운영 체제 드라이브(Windows Server 2008 및 Windows Vista)
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 추가 인증 방법을 사용하려면 다른 인증 방법을 사용할 수 없습니다.
활성화된 경우 BitLocker 설치 마법사에는 사용자가 BitLocker에 대한 고급 시작 옵션을 구성할 수 있는 페이지가 표시됩니다. TPM을 사용하는 컴퓨터 또는 TPM이 없는 컴퓨터의 설정 옵션을 추가로 구성할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 설치 마법사에는 사용자가 TPM이 있는 컴퓨터에서 BitLocker를 사용하도록 설정할 수 있는 기본 단계가 표시됩니다. 이 기본 마법사에서는 추가 시작 키 또는 시작 PIN을 구성할 수 없습니다.

참고자료

호환되는 TPM이 있는 컴퓨터에서는 시작 시 두 가지 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호 기능을 제공할 수 있습니다. 컴퓨터가 시작되면 사용자가 시작 키가 포함된 USB 드라이브를 삽입해야 할 수 있습니다. 또한 사용자에게 6자리에서 20자리 시작 PIN을 입력해야 할 수도 있습니다.

호환되는 TPM이 없는 컴퓨터에서는 시작 키가 포함된 USB 드라이브가 필요합니다. TPM이 없는 경우 BitLocker로 암호화된 데이터는 이 USB 드라이브에 있는 키 자료로만 보호됩니다.

TPM 사용이 가능한 컴퓨터 또는 장치에는 두 가지 옵션이 있습니다.

  • TPM 시작 PIN 구성

    • TPM을 사용하여 시작 PIN 허용
    • TPM을 통해 시작 PIN 필요
    • TPM을 사용하여 시작 PIN 허용 안 하도록 허용
  • TPM 시작 키 구성

    • TPM을 사용하여 시작 키 허용
    • TPM을 통해 시작 키 필요
    • TPM을 사용하여 시작 키 허용 안 하도록 허용

이러한 옵션은 함께 사용할 수 없습니다. 시작 키가 필요한 경우 시작 PIN을 허용하지 말아야 합니다. 시작 PIN이 필요한 경우 시작 키를 허용하지 말아야 합니다. 그렇지 않으면 정책 오류가 발생합니다.

TPM 사용이 가능한 컴퓨터 또는 장치에서 고급 페이지를 숨기기 위해 이러한 옵션을 시작 키 및 시작 PIN에 허용 안 하도록 설정합니다. ****

고정 데이터 드라이브에서 스마트 카드 사용 구성

이 정책 설정은 고정 데이터 드라이브에서 스마트 카드 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 컴퓨터에서 BitLocker로 보호되는 고정 데이터 드라이브에 대한 사용자 액세스를 인증하는 데 스마트 카드를 사용할 수 있는지 여부를 지정할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\고정 데이터 드라이브
충돌 BitLocker에서 스마트 카드를 사용하려면 컴퓨터 구성\관리 템플릿\BitLocker 드라이브 암호화\스마트 카드 인증서 사용 규칙 준수 정책 설정에서 개체 식별자 설정을 수정하여 스마트 카드 인증서의 개체 식별자와 일치하도록 해야 할 수도 있습니다.
활성화된 경우 스마트 카드를 사용하여 드라이브에 대한 사용자 액세스를 인증할 수 있습니다. 고정된 데이터 드라이브에서 스마트 카드 사용 필요 확인란을 선택하여 스마트 카드 인증을 요구할 수 있습니다.
사용하지 않도록 설정한 경우 사용자는 스마트 카드를 사용하여 BitLocker로 보호되는 고정 데이터 드라이브에 대한 액세스를 인증할 수 없습니다.
구성되지 않은 경우 스마트 카드를 사용하여 BitLocker로 보호되는 드라이브에 대한 사용자 액세스를 인증할 수 있습니다.

참고자료

참고

이러한 설정은 드라이브 잠금을 해제할 때가 아니라 BitLocker를 설정할 때 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호 기능을 사용하여 드라이브 잠금을 해제할 수 있습니다.

고정 데이터 드라이브에서 암호 사용 구성

이 정책 설정은 고정 데이터 드라이브에서 암호 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker로 보호되는 고정 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\고정 데이터 드라이브
충돌 암호 복잡성을 사용하려면 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책\암호가 복잡성 요구 사항 정책 설정을 충족해야 합니다.
활성화된 경우 사용자는 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호를 사용하려면 고정 데이터 드라이브에 암호 필요 를 선택합니다. 암호에 대한 복잡성 요구 사항을 적용하려면 복잡성 필요 를 선택합니다.
사용하지 않도록 설정한 경우 사용자가 암호를 사용할 수 없습니다.
구성되지 않은 경우 암호는 암호 복잡성 요구 사항을 포함하지 않을 뿐 아니라 8자만 요구하는 기본 설정으로 지원됩니다.

참고자료

복잡성 요구로 설정된 경우BitLocker를 사용할 때 암호의 복잡성을 검사하려면 도메인 컨트롤러에 대한 연결이 필요합니다.

복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결을 시도하여 복잡성이 정책에 설정된 규칙을 준수하는지 확인합니다. **** 그러나 도메인 컨트롤러가 발견되지 않으면 실제 암호 복잡성에 관계없이 암호가 수락되고 드라이브는 해당 암호를 보호기로 사용하여 암호화됩니다.

복잡성 허용 안 함을로 설정하면 암호 복잡성 유효성 검사가 수행되지 않습니다.

암호는 8자 이상을 입력해야 합니다. 암호에 대한 최소 길이를 구성하기 위해 최소 암호 길이 상자에 원하는 수의 문자를 입력합니다.

참고

이러한 설정은 드라이브 잠금을 해제할 때가 아니라 BitLocker를 설정할 때 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호 기능을 사용하여 드라이브 잠금을 해제할 수 있습니다.

복잡성 요구 사항 설정을 적용하려면 그룹 정책 설정 컴퓨터 구성\Windows 설정\Security 설정\Account Policies\Password Policy\Password도 복잡성 요구 사항을 충족해야 합니다. 이 정책 설정은 컴퓨터당 구성됩니다. 즉, 로컬 사용자 계정 및 도메인 사용자 계정에 적용됩니다. 암호 복잡성의 유효성을 검사하는 데 사용되는 암호 필터는 도메인 컨트롤러에 있기 때문에 로컬 사용자 계정은 도메인 액세스에 대해 인증되지 않은 암호 필터에 액세스할 수 없습니다. 이 정책 설정을 사용하도록 설정하면 로컬 사용자 계정으로 로그인하고 드라이브를 암호화하거나 기존 BitLocker로 보호되는 드라이브의 암호를 변경하려고 시도하면 "액세스 거부" 오류 메시지가 표시됩니다. 이 경우 암호 키 보호기 를 드라이브에 추가할 수 없습니다.

이 정책 설정을 사용하도록 설정하려면 BitLocker로 보호되는 드라이브에 암호 키 보호 기능을 추가하기 전에 도메인에 대한 연결을 설정해야 합니다. 원격으로 작업하며 도메인에 연결할 수 없는 기간이 있는 사용자는 이러한 요구 사항을 인식하여 도메인에 연결하여 BitLocker를 켜거나 BitLocker로 보호되는 데이터 드라이브의 암호를 변경하는 시간을 예약할 수 있습니다.

중요

FIPS 준수를 사용하도록 설정한 경우 암호를 사용할 수 없습니다. 시스템 암호화: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 암호화, 해시 및 서명에 FIPS 호환 알고리즘을 사용합니다.

이동식 데이터 드라이브에서 스마트 카드 사용 구성

이 정책 설정은 이동식 데이터 드라이브에서 스마트 카드 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 스마트 카드를 사용하여 컴퓨터에서 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 사용자 액세스를 인증할 수 있는지 여부를 지정할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 BitLocker에서 스마트 카드를 사용하려면 컴퓨터 구성\관리 템플릿\BitLocker 드라이브 암호화\스마트 카드 인증서 사용 규칙 준수 정책 설정에서 개체 식별자 설정을 수정하여 스마트 카드 인증서의 개체 식별자와 일치하도록 해야 할 수도 있습니다.
활성화된 경우 스마트 카드를 사용하여 드라이브에 대한 사용자 액세스를 인증할 수 있습니다. 이동식 데이터 드라이브에서 스마트 카드 사용 필요 확인란을 선택하여 스마트 카드 인증을 요구할 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 사용자는 스마트 카드를 사용하여 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 액세스를 인증할 수 없습니다.
구성되지 않은 경우 스마트 카드는 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 사용자 액세스를 인증하는 데 사용할 수 있습니다.

참고자료

참고

이러한 설정은 드라이브 잠금을 해제할 때가 아니라 BitLocker를 설정할 때 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호 기능을 사용하여 드라이브 잠금을 해제할 수 있습니다.

이동식 데이터 드라이브에서 암호 사용 구성

이 정책 설정은 이동식 데이터 드라이브에서 암호 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker로 보호되는 이동식 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 암호 복잡성을 사용하려면 Password는 Computer Configuration\Windows 설정\Security 설정\Account Policies\Password Policy에도 있는 복잡성 요구 사항 정책 설정을 충족해야 합니다.
활성화된 경우 사용자는 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호를 사용하려면 이동식 데이터 드라이브에 암호 필요 를 선택합니다. 암호에 대한 복잡성 요구 사항을 적용하려면 복잡성 필요 를 선택합니다.
사용하지 않도록 설정한 경우 사용자가 암호를 사용할 수 없습니다.
구성되지 않은 경우 암호는 암호 복잡성 요구 사항을 포함하지 않을 뿐 아니라 8자만 요구하는 기본 설정으로 지원됩니다.

참고자료

암호 사용을 허용하도록 선택한 경우 암호를 사용하도록 요구하고, 복잡성 요구 사항을 적용하고, 최소 길이를 구성할 수 있습니다. 복잡성 요구 사항 설정을 적용하려면 그룹 정책 설정 Password가복잡성 요구 사항을 충족해야 합니다. 이 요구 사항은 컴퓨터 구성\Windows 설정\Security 설정\Account Policies\Password Policy도 사용하도록 설정해야 합니다.

참고

이러한 설정은 드라이브 잠금을 해제할 때가 아니라 BitLocker를 설정할 때 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호 기능을 사용하여 드라이브 잠금을 해제할 수 있습니다.

암호는 8자 이상을 입력해야 합니다. 암호에 대한 최소 길이를 구성하기 위해 최소 암호 길이 상자에 원하는 수의 문자를 입력합니다.

복잡성 필요로 설정하면 BitLocker를 사용하도록 설정하여 암호의 복잡성을 검사할 때 도메인 컨트롤러에 대한 연결이 필요합니다. ****

복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결을 시도하여 복잡성이 정책에 설정된 규칙을 준수하는지 확인합니다. **** 그러나 도메인 컨트롤러가 없는 경우 실제 암호 복잡성에 관계없이 암호가 계속 수락되며 드라이브는 해당 암호를 보호기로 사용하여 암호화됩니다.

복잡성 허용 안 함을설정하면 암호 복잡성 유효성 검사가 수행되지 않습니다.

참고

FIPS 준수를 사용하도록 설정한 경우 암호를 사용할 수 없습니다. 시스템 암호화: 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책\보안 옵션에서 암호화, 해시 및 서명에 FIPS 호환 알고리즘을 사용합니다.

이 설정에 대한 자세한 내용은 시스템 암호화: 암호화, 해시 및 서명에 FIPS 호환 알고리즘 사용을 참조하세요.

스마트 카드 인증서 사용 규칙 준수 유효성 검사

이 정책 설정은 BitLocker와 함께 사용할 인증서를 결정하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 스마트 카드 인증서의 개체 식별자를 BitLocker로 보호된 드라이브에 연결할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 고정 및 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 없음
활성화된 경우 개체 식별자 설정에 지정된 개체 식별자는 스마트 카드 인증서의 개체 식별자와 일치해야 합니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 기본 개체 식별자가 사용됩니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

개체 식별자는 인증서의 EKU(확장된 키 사용)에 지정됩니다. BitLocker는 인증서의 개체 식별자를 이 정책 설정으로 정의된 개체 식별자와 일치하여 사용자 인증서를 BitLocker로 보호되는 드라이브에 인증하는 데 사용할 수 있는 인증서를 식별할 수 있습니다.

기본 개체 식별자는 1.3.6.1.4.1.311.67.1.1입니다.

참고

BitLocker에서는 인증서에 EKU 특성이 필요하지 않습니다. 그러나 인증서에 대해 구성된 인증서는 BitLocker에 대해 구성된 개체 식별자와 일치하는 개체 식별자로 설정해야 합니다.

슬레이트에서 사전 부트 키보드 입력이 필요한 BitLocker 인증 사용

이 정책 설정을 사용하면 플랫폼에 사전 부트 입력 기능이 부족한 경우에도 사용자가 사전 부트 환경에서 사용자 입력이 필요한 인증 옵션을 사용하도록 설정할 수 있습니다.

 
정책 설명 이 정책 설정을 사용하면 플랫폼에 사전 부트 입력 기능이 부족한 경우에도 사용자가 사전 부트 환경의 사용자 입력이 필요한 인증 옵션을 사용하도록 설정할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 디바이스에는 사전 부트 입력(예: 연결된 USB 키보드)의 대체 수단이 있어야 합니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker Windows 암호 입력을 지원하려면 태블릿에서 복구 환경을 사용하도록 설정해야 합니다.

참고자료

태블릿에서 Windows 터치 키보드는 BitLocker에 PIN 또는 암호와 같은 추가 정보가 필요한 사전 부트 환경에서 사용할 수 없습니다.

관리자가 USB 키보드 연결과 같은 사전 부트 입력의 대체 수단이 있는 것으로 확인된 장치에만 이 정책을 사용하는 것이 좋습니다.

Windows 복구 환경을 사용하도록 설정하지 않고 이 정책을 사용하도록 설정하지 않은 경우 터치 키보드를 사용하는 장치에서 BitLocker를 Windows 수 없습니다.

이 정책 설정을 사용하도록 설정하지 않은 경우 **** 시작 시 추가 인증 필요 정책의 다음 옵션을 사용할 수 없습니다.

  • TPM 시작 PIN 구성: 필수 및 허용
  • TPM 시작 키 및 PIN 구성: 필수 및 허용
  • 운영 체제 드라이브에 대한 암호 사용 구성

BitLocker에 의해 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부

이 정책 설정은 쓰기 액세스 권한을 부여하기 전에 고정 드라이브의 암호화를 요구하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 컴퓨터에서 고정 데이터 드라이브를 쓰는 데 BitLocker 보호가 필요한지 여부를 설정할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\고정 데이터 드라이브
충돌 충돌에 대한 설명은 참조 섹션을 참조하세요.
활성화된 경우 BitLocker로 보호되지 않는 모든 고정 데이터 드라이브는 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스가 함께 탑재됩니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 컴퓨터의 모든 고정 데이터 드라이브는 읽기 및 쓰기 액세스와 함께 탑재됩니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

충돌 고려 사항은 다음과 같습니다.

  1. 이 정책 설정을 사용하도록 설정하면 사용자가 암호화되지 않은 고정 데이터 드라이브에 데이터를 저장하려고 할 때 "액세스 거부" 오류 메시지가 표시됩니다. 추가 충돌은 참조 섹션을 참조하세요.

  2. 이 BdeHdCfg.exe 설정된 경우 컴퓨터에서 실행되는 경우 다음과 같은 문제가 발생할 수 있습니다.

    • 드라이브를 축소하고 시스템 드라이브를 만들면 드라이브 크기가 성공적으로 줄어들고 원시 파티션이 만들어집니다. 그러나 원시 파티션의 형식이 지정되지는 않습니다. "새 활성 드라이브를 포맷할 수 없습니다. BitLocker를 위해 드라이브를 수동으로 준비해야 할 수 있습니다."
    • 분할되지 않은 공간을 사용하여 시스템 드라이브를 만들면 원시 파티션이 만들어집니다. 그러나 원시 파티션의 형식은 지정되지 않습니다. "새 활성 드라이브를 포맷할 수 없습니다. BitLocker를 위해 드라이브를 수동으로 준비해야 할 수 있습니다."
    • 기존 드라이브를 시스템 드라이브에 병합하려고 시도하면 도구에서 필요한 부팅 파일을 대상 드라이브에 복사하여 시스템 드라이브를 만들지 못합니다. "BitLocker 설치 프로그램이 부팅 파일을 복사하지 못했습니다. BitLocker를 위해 드라이브를 수동으로 준비해야 할 수 있습니다."
  3. 이 정책 설정이 적용된 경우 드라이브가 보호되어 있기 때문에 하드 드라이브를 다시할 수 없습니다. 조직의 컴퓨터를 이전 버전의 Windows 컴퓨터로 업그레이드하는 경우 해당 컴퓨터가 단일 파티션으로 구성된 경우 이 정책 설정을 컴퓨터에 적용하기 전에 필요한 BitLocker 시스템 파티션을 만들어야 합니다.

BitLocker에 의해 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부

이 정책 설정은 쓰기 권한을 부여하기 전에 이동식 드라이브를 암호화하도록 요구하고 다른 조직에 구성된 BitLocker로 보호되는 이동식 드라이브를 쓰기 액세스 권한으로 열 수 있는지 여부를 제어하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 컴퓨터에서 이동식 데이터 드라이브에 데이터를 쓸 수 있도록 BitLocker 보호가 필요한지 여부를 구성할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 충돌에 대한 설명은 참조 섹션을 참조하세요.
활성화된 경우 BitLocker로 보호되지 않는 모든 이동식 데이터 드라이브는 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스가 함께 탑재됩니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 컴퓨터의 모든 이동식 데이터 드라이브는 읽기 및 쓰기 액세스와 함께 탑재됩니다.

참고자료

다른 조직에 구성된 장치에 대한 쓰기 액세스 거부 옵션을 선택하면 컴퓨터의 ID 필드와 일치하는 ID 필드가 있는 드라이브에만 쓰기 액세스 권한이 부여됩니다. 이동식 데이터 드라이브에 액세스하면 유효한 ID 필드와 허용되는 ID 필드가 확인됩니다. 이러한 필드는 조직 정책에 대한 고유 식별자 제공 설정에 의해 정의됩니다.

참고

이 정책 설정은 사용자 구성\관리 템플릿\시스템\이동식액세스에서 정책 설정을 Storage 있습니다. 이동식 디스크: 쓰기 액세스 거부 정책 설정을 사용하도록 설정하면 이 정책 설정이 무시됩니다.

충돌 고려 사항은 다음과 같습니다.

  1. BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 액세스 거부 설정을 사용하도록 설정한 경우 TPM 및 시작 키와 함께 또는 TPM과 함께 BitLocker를 사용할 수 없습니다.
  2. BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 정책 설정을 사용하도록 설정한 경우 복구 키를 사용할 수 없습니다.
  3. 다른 조직에 **** 구성된 드라이브에 대한 쓰기 액세스를 거부하려면 조직 정책의 고유 식별자 제공 설정을 사용하도록 설정해야 합니다.

이동식 드라이브에서 BitLocker 사용 제어

이 정책 설정은 사용자가 이동식 데이터 드라이브에서 BitLocker를 켜거나 끄지 못하게 하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 이동식 데이터 드라이브에서 BitLocker 사용을 제어할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 없음
활성화된 경우 사용자가 BitLocker를 구성하는 방법을 제어하는 속성 설정을 선택할 수 있습니다.
사용하지 않도록 설정한 경우 이동식 데이터 드라이브에서는 BitLocker를 사용할 수 없습니다.
구성되지 않은 경우 사용자는 이동식 데이터 드라이브에서 BitLocker를 사용할 수 있습니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

BitLocker 보호 일시 중단에 대한 자세한 내용은 BitLocker Basic Deployment 을 참조하세요.

사용자가 BitLocker를 구성하는 방법을 제어하는 속성 설정을 선택하는 옵션은 다음과 같습니다.

  • 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용 이동식 데이터 드라이브에서 BitLocker 설치 마법사를 실행할 수 있습니다.
  • 이동식 데이터 드라이브에서 BitLocker 일시 중단 및 암호 해독 허용 사용자가 유지 관리 작업을 수행하는 동안 드라이브에서 BitLocker를 제거하거나 암호화를 일시 중단할 수 있습니다.

드라이브 암호화 방법 및 암호화 강도 선택

이 정책 설정은 암호화 방법 및 암호화 강도를 제어하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 드라이브의 암호화 방법 및 강도를 제어할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 없음
활성화된 경우 BitLocker에서 드라이브를 암호화하는 데 사용할 암호화 알고리즘 및 키 암호화 강도를 선택할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 Windows 10 버전 1511 또는 Windows 11부터 BitLocker는 XTS-AES 128비트의 기본 암호화 방법 또는 설치 스크립트에 지정된 암호화 방법을 사용합니다. Windows Phone XTS를 지원하지 않습니다. 기본적으로 AES-CBC 128비트를 사용하며 정책에 따라 AES-CBC 256비트가 지원됩니다.

참고자료

이 정책의 값에 따라 BitLocker가 암호화에 사용하는 암호화의 강도가 결정됩니다. 기업에서는 보안 강화를 위해 암호화 수준을 제어할 수 있습니다(AES-256은 AES-128보다 강력).

이 설정을 사용하면 고정 데이터 드라이브, 운영 체제 드라이브 및 이동식 데이터 드라이브에 대해 암호화 알고리즘과 키 암호화 강도를 개별적으로 구성할 수 있습니다. 고정 및 운영 체제 드라이브의 경우 XTS-AES 알고리즘을 사용하는 것이 좋습니다. 이동식 드라이브의 경우 드라이브가 Windows 10 버전 1511 이상 또는 11 이상을 실행하지 않는 다른 장치에서 사용될 경우 AES-CBC 128비트 또는 AES-CBC 256비트를 Windows 합니다.

드라이브가 이미 암호화되어 있는 경우나 암호화가 진행 중이면 암호화 방법을 변경하지 않습니다. 이러한 경우 이 정책 설정은 무시됩니다.

경고

이 정책은 암호화된 드라이브에는 적용되지 않습니다. 암호화된 드라이브는 분할 중에 드라이브에 의해 설정된 자체 알고리즘을 사용합니다.

이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 BitLocker는 XTS-AES 128비트의 기본 암호화 방법 또는 설치 스크립트에 지정된 암호화 방법을 사용합니다.

고정 데이터 드라이브에 하드웨어 기반 암호화 사용 구성

이 정책은 BitLocker가 고정 데이터 볼륨으로 사용될 때 암호화된 드라이브가 탑재된 시스템에 반응하는 방법을 제어합니다. 하드웨어 기반 암호화를 사용하여 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.

 
정책 설명 이 정책 설정을 사용하면 고정 데이터 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리하고 BitLocker가 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\고정 데이터 드라이브
충돌 없음
활성화된 경우 하드웨어 기반 암호화를 지원하지 않는 컴퓨터에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화를 사용할지 여부를 제어하는 추가 옵션을 지정할 수 있습니다. 또한 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호화 제품군을 제한할지 여부를 지정할 수 있습니다.
사용하지 않도록 설정한 경우 BitLocker는 고정 데이터 드라이브와 함께 하드웨어 기반 암호화를 사용할 수 없습니다. 기본적으로 BitLocker 소프트웨어 기반 암호화는 드라이브가 암호화된 경우 사용됩니다.
구성되지 않은 경우 BitLocker 소프트웨어 기반 암호화는 하드웨어 기반 암호화 기능과는 무관하게 사용됩니다.

참고자료

참고

드라이브 암호화 방법 및 암호화 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.

하드웨어 기반 암호화에 사용되는 암호화 알고리즘은 드라이브를 분할할 때 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다. 이 설정의 하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호화 제품군 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 비활성화합니다. 암호화 알고리즘은 다음과 같은 OID(개체 식별자)에 의해 지정됩니다.

  • CBC(암호화 블록 체인) 모드 OID의 AES(고급 암호화 표준) 128: 2.16.840.1.101.3.4.1.2
  • CBC 모드 OID의 AES 256: 2.16.840.1.101.3.4.1.42

운영 체제 드라이브에 하드웨어 기반 암호화 사용 구성

이 정책은 암호화된 드라이브를 운영 체제 드라이브로 사용할 때 BitLocker의 반응 방법을 제어합니다. 하드웨어 기반 암호화를 사용하여 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.

 
정책 설명 이 정책 설정을 사용하여 운영 체제 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리하고 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 하드웨어 기반 암호화를 지원하지 않는 컴퓨터에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화를 사용할지 여부를 제어하는 추가 옵션을 지정할 수 있습니다. 또한 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호화 제품군을 제한할지 여부를 지정할 수 있습니다.
사용하지 않도록 설정한 경우 BitLocker는 운영 체제 드라이브에서 하드웨어 기반 암호화를 사용할 수 없습니다. 드라이브가 암호화된 경우 BitLocker 소프트웨어 기반 암호화가 기본적으로 사용됩니다.
구성되지 않은 경우 BitLocker 소프트웨어 기반 암호화는 하드웨어 기반 암호화 기능과는 무관하게 사용됩니다.

참고자료

하드웨어 기반 암호화를 사용할 수 없는 경우 BitLocker 소프트웨어 기반 암호화가 대신 사용됩니다.

참고

드라이브 암호화 방법 및 암호화 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.

하드웨어 기반 암호화에 사용되는 암호화 알고리즘은 드라이브를 분할할 때 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다. 이 설정의 하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호화 제품군 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 비활성화합니다. 암호화 알고리즘은 다음과 같은 OID(개체 식별자)에 의해 지정됩니다.

  • CBC(암호화 블록 체인) 모드 OID의 AES(고급 암호화 표준) 128: 2.16.840.1.101.3.4.1.2
  • CBC 모드 OID의 AES 256: 2.16.840.1.101.3.4.1.42

이동식 데이터 드라이브에 하드웨어 기반 암호화 사용 구성

이 정책은 BitLocker가 이동식 데이터 드라이브로 사용될 때 암호화된 드라이브에 반응하는 방법을 제어합니다. 하드웨어 기반 암호화를 사용하여 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.

 
정책 설명 이 정책 설정을 사용하여 이동식 데이터 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리하고 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 없음
활성화된 경우 하드웨어 기반 암호화를 지원하지 않는 컴퓨터에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화를 사용할지 여부를 제어하는 추가 옵션을 지정할 수 있습니다. 또한 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호화 제품군을 제한할지 여부를 지정할 수 있습니다.
사용하지 않도록 설정한 경우 BitLocker는 이동식 데이터 드라이브와 함께 하드웨어 기반 암호화를 사용할 수 없습니다. 드라이브가 암호화된 경우 BitLocker 소프트웨어 기반 암호화가 기본적으로 사용됩니다.
구성되지 않은 경우 BitLocker 소프트웨어 기반 암호화는 하드웨어 기반 암호화 기능과는 무관하게 사용됩니다.

참고자료

하드웨어 기반 암호화를 사용할 수 없는 경우 BitLocker 소프트웨어 기반 암호화가 대신 사용됩니다.

참고

드라이브 암호화 방법 및 암호화 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.

하드웨어 기반 암호화에 사용되는 암호화 알고리즘은 드라이브를 분할할 때 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다. 이 설정의 하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호화 제품군 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 비활성화합니다. 암호화 알고리즘은 다음과 같은 OID(개체 식별자)에 의해 지정됩니다.

  • CBC(암호화 블록 체인) 모드 OID의 AES(고급 암호화 표준) 128: 2.16.840.1.101.3.4.1.2
  • CBC 모드 OID의 AES 256: 2.16.840.1.101.3.4.1.42

고정 데이터 드라이브에 드라이브 암호화 유형 적용

이 정책은 고정 데이터 드라이브가 사용된 공간 전용 암호화 또는 전체 암호화를 사용할지 여부를 제어합니다. 이 정책을 설정하면 BitLocker 설치 마법사가 암호화 옵션 페이지를 건너뛰어 사용자에게 암호화 선택이 표시되지 않습니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker에서 사용하는 암호화 유형을 구성할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\고정 데이터 드라이브
충돌 없음
활성화된 경우 이 정책은 BitLocker가 드라이브를 암호화하는 데 사용하는 암호화 유형을 정의하며, BitLocker 설치 마법사에는 암호화 유형 옵션이 제공되지 않습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 설치 마법사는 BitLocker를 켜기 전에 암호화 유형을 선택하도록 사용자에게 요청합니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다. 드라이브가 이미 암호화되어 있는 경우나 암호화가 진행 중이면 암호화 유형을 변경하지 않습니다. BitLocker가 켜져 있을 때 전체 드라이브를 암호화해야 하려면 전체 암호화를 선택하세요. BitLocker가 켜져 있는 경우 데이터를 저장하는 데 사용되는 드라이브의 일부만 암호화해야 하려면 사용된 공간만 암호화를 선택하십시오.

참고

볼륨을 축소하거나 확장하는 경우 BitLocker 드라이버에서 현재 암호화 방법을 사용하는 경우 이 정책은 무시됩니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브를 확장하면 전체 암호화를 사용하는 드라이브의 경우처럼 새 사용 공간이 지워지지 않습니다. 사용자는 manage-bde -w명령을 사용하여 사용된 공간 전용 드라이브의 사용 공간 지우기를 할 수 있습니다. 볼륨이 감소하면 새 사용 공간에 대해 아무 작업도 수행하지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde 를 참조하세요.

운영 체제 드라이브에 드라이브 암호화 유형 적용

이 정책은 운영 체제 드라이브가 전체 암호화를 사용할지 또는 공간 전용 암호화를 사용하는지 여부를 제어합니다. 이 정책을 설정하면 BitLocker 설치 마법사에서 암호화 옵션 페이지를 건너뛰기 때문에 암호화 선택이 사용자에게 표시되지 않습니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker에서 사용하는 암호화 유형을 구성할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 BitLocker가 드라이브를 암호화하는 데 사용하는 암호화 유형은 이 정책에 따라 정의되며 암호화 유형 옵션은 BitLocker 설치 마법사에서 제공되지 않습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 설치 마법사는 BitLocker를 켜기 전에 암호화 유형을 선택하도록 사용자에게 요청합니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다. 드라이브가 이미 암호화되어 있는 경우나 암호화가 진행 중이면 암호화 유형을 변경하지 않습니다. BitLocker가 켜져 있을 때 전체 드라이브를 암호화해야 하려면 전체 암호화를 선택하세요. BitLocker가 켜져 있는 경우 데이터를 저장하는 데 사용되는 드라이브의 일부만 암호화해야 하려면 사용된 공간만 암호화를 선택하십시오.

참고

이 정책은 볼륨을 축소하거나 확장할 때 무시되고 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브를 확장하면 전체 암호화를 사용하는 드라이브의 경우처럼 새 사용 공간이 지워지지 않습니다. 사용자는 manage-bde -w명령을 사용하여 사용된 공간 전용 드라이브의 사용 공간 지우기를 할 수 있습니다. 볼륨이 감소하면 새 사용 공간에 대해 아무 작업도 수행하지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde 를 참조하세요.

이동식 데이터 드라이브에 드라이브 암호화 유형 적용

이 정책은 고정 데이터 드라이브가 전체 암호화를 사용할지 또는 공간 전용 암호화를 사용하는지 여부를 제어합니다. 이 정책을 설정하면 BitLocker 설치 마법사에서 암호화 옵션 페이지를 건너뛰기 때문에 암호화 선택이 사용자에게 표시되지 않습니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker에서 사용하는 암호화 유형을 구성할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 없음
활성화된 경우 BitLocker가 드라이브를 암호화하는 데 사용하는 암호화 유형은 이 정책에 따라 정의되며 암호화 유형 옵션은 BitLocker 설치 마법사에서 제공되지 않습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 설치 마법사는 BitLocker를 켜기 전에 암호화 유형을 선택하도록 사용자에게 요청합니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다. 드라이브가 이미 암호화되어 있는 경우나 암호화가 진행 중이면 암호화 유형을 변경하지 않습니다. BitLocker가 켜져 있을 때 전체 드라이브를 암호화해야 하려면 전체 암호화를 선택하세요. BitLocker가 켜져 있는 경우 데이터를 저장하는 데 사용되는 드라이브의 일부만 암호화해야 하려면 사용된 공간만 암호화를 선택하십시오.

참고

이 정책은 볼륨을 축소하거나 확장할 때 무시되고 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브를 확장하면 전체 암호화를 사용하는 드라이브의 경우처럼 새 사용 공간이 지워지지 않습니다. 사용자는 manage-bde -w명령을 사용하여 사용된 공간 전용 드라이브의 사용 공간 지우기를 할 수 있습니다. 볼륨이 감소하면 새 사용 공간에 대해 아무 작업도 수행하지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde 를 참조하세요.

BitLocker로 보호되는 운영 체제 드라이브를 복구할 수 있는 방법 선택

이 정책 설정은 운영 체제 드라이브에 대한 복구 방법을 구성하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하면 필요한 시작 키 정보가 없는 경우 BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법을 제어할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부 정책 설정을 사용하도록 설정한 경우 복구 키를 사용하지 못하게 해야 합니다.

데이터 복구 에이전트를 사용할 때 조직 정책에 대한 고유 식별자 제공 설정을 사용하도록 설정해야 합니다.
활성화된 경우 사용자가 BitLocker로 보호되는 운영 체제 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 기본 복구 옵션은 BitLocker 복구에 지원됩니다. 기본적으로는 데이터 복구 에이전트가 허용되어 있으며 복구 옵션(복구 암호 및 복구 키 포함)을 사용자가 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

데이터 복구 에이전트 허용 확인란은 BitLocker로 보호되는 운영 체제 드라이브에서 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 GPMC(그룹 정책 관리 콘솔) 또는 로컬 그룹 정책 편집기에 있는 공개 키 정책에서 에이전트를 추가해야 합니다. ****

데이터 복구 에이전트를 추가하는 데 대한 자세한 내용은 BitLocker 기본 배포를 참조하세요.

BitLocker복구 정보의 사용자 저장소 구성에서 사용자가 48자리 복구 암호를 생성하도록 허용할지, 필요한지 또는 생성할 수 없는지 선택합니다.

사용자가 드라이브에서 BitLocker를 사용하도록 설정할 때 복구 옵션을 지정하지 못하도록 BitLocker 설정 마법사에서 복구 옵션 생략을 선택합니다. 즉, BitLocker를 사용하도록 설정할 때 사용할 복구 옵션을 지정할 수 없습니다. 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

BitLocker복구 정보를 Active Directory 도메인 서비스에 저장에서 운영 체제 드라이브의 AD DS(Active Directory 도메인 서비스)에 저장할 BitLocker 복구 정보를 선택하십시오. 복구 암호 및 키 패키지 저장을선택하면 BitLocker 복구 암호 및 키 패키지가 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다. 복구 암호만 저장을 선택하면복구 암호만 AD DS에 저장됩니다.

컴퓨터가 도메인에 연결되어 있으며 BitLocker 복구 정보를 AD DS에 백업하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 방지하려면 운영 체제 드라이브에 복구 정보가 AD DS에 저장될 때까지 BitLocker 사용 안 함 확인란을 선택합니다.

참고

운영 체제 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 확인란을 선택하면 복구 암호가 자동으로 생성됩니다.

사용자가 BitLocker로 보호되는 드라이브를 복구하는 방법 선택(Windows Server 2008 및 Windows Vista)

이 정책 설정은 Windows Server 2008 또는 Vista를 실행하는 컴퓨터에서 BitLocker로 보호되는 드라이브에 대한 복구 Windows 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker 설치 마법사가 BitLocker 복구 옵션을 표시하고 지정할 수 있는지 여부를 제어할 수 있습니다.
소개 Windows Server 2008 및 Windows Vista
드라이브 유형 Server 2008 및 Windows Vista를 실행하는 컴퓨터의 운영 체제 드라이브 및 Windows 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 이 정책 설정은 키 정보 부족으로 인한 데이터 손실을 방지하기 위해 BitLocker에서 암호화된 데이터를 복구하는 관리 방법을 제공합니다. 두 사용자 **** 복구 옵션 모두에 대해 허용 안 하도록 옵션을 선택하는 경우 Active Directory 도메인 서비스(Windows Server 2008 및 Windows Vista) 정책 설정에서 BitLocker 복구 정보 저장을 사용하도록 설정하여 정책 오류를 방지해야 합니다.
활성화된 경우 BitLocker 암호화된 데이터를 복구하기 위해 Bitlocker 설치 마법사가 사용자에게 표시하는 옵션을 구성할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 설치 마법사는 복구 옵션을 저장하는 방법을 사용자에게 제공합니다.

참고자료

이 정책은 Windows Server 2008 또는 Vista를 실행하는 컴퓨터에만 Windows 있습니다. 이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

필요한 시작 키 정보가 없는 경우 두 가지 복구 옵션을 사용하여 BitLocker로 암호화된 데이터를 잠금 해제할 수 있습니다. 사용자는 48자리 숫자 복구 암호를 입력하거나 256비트 복구 키가 포함된 USB 드라이브를 삽입할 수 있습니다.

복구 암호를 USB 드라이브에 저장하면 48자리 복구 암호를 텍스트 파일로 저장하고 256비트 복구 키를 숨겨진 파일로 저장합니다. 폴더에 저장하면 48자리 복구 암호가 텍스트 파일로 저장됩니다. 인쇄하면 기본 프린터로 48자리 복구 암호를 전송합니다. 예를 들어 48자리 복구 암호를 허용하지 않는 경우 사용자가 복구 정보를 폴더에 인쇄하거나 저장하지 못합니다.

중요

BitLocker 설치 중에 TPM 초기화를 수행하면 TPM 소유자 정보가 BitLocker 복구 정보와 함께 저장되거나 인쇄됩니다. FIPS 준수 모드에서는 48자리 복구 암호를 사용할 수 없습니다.

중요

데이터 손실을 방지하려면 BitLocker 암호화 키를 복구할 방법이 있어야 합니다. 두 복구 옵션을 모두 허용하지 않는 경우 BitLocker 복구 정보를 AD DS에 백업하도록 설정해야 합니다. 그렇지 않으면 정책 오류가 발생합니다.

Active Directory 도메인 서비스(Windows Server 2008 및 Windows Vista)에 BitLocker 복구 정보 저장

이 정책 설정은 AD DS에서 BitLocker 복구 정보의 저장소를 구성하는 데 사용됩니다. 이를 통해 핵심 정보가 부족하여 데이터 손실을 방지하기 위해 BitLocker에서 암호화된 데이터를 복구하는 관리 방법을 제공합니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker 드라이브 암호화 복구 정보의 AD DS 백업을 관리할 수 있습니다.
소개 Windows Server 2008 및 Windows Vista
드라이브 유형 Server 2008 및 Windows Vista를 실행하는 컴퓨터의 운영 체제 드라이브 및 Windows 드라이브.
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 없음
활성화된 경우 컴퓨터에 대해 BitLocker가 켜져 있는 경우 BitLocker 복구 정보는 자동으로 AD DS에 백업됩니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 복구 정보는 AD DS에 백업되지 않습니다.

참고자료

이 정책은 Windows Server 2008 또는 Vista를 실행하는 컴퓨터에만 Windows 있습니다.

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

BitLocker 복구 정보에는 복구 암호 및 고유 식별자 데이터가 포함됩니다. BitLocker로 보호되는 드라이브의 암호화 키가 포함된 패키지를 포함할 수 있습니다. 이 키 패키지는 하나 이상의 복구 암호로 보호되어 디스크가 손상되거나 손상된 경우 특수 복구를 수행하는 데 도움이 될 수 있습니다.

AD DS에 BitLocker백업 필요를 선택하면 컴퓨터가 도메인에 연결되어 있으며 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않으면 BitLocker를 사용할 수 없습니다. 이 옵션은 BitLocker 복구가 가능하도록 기본적으로 선택되어 있습니다.

복구 암호는 BitLocker로 보호되는 드라이브에 대한 액세스를 잠금 해제하는 48자리 숫자입니다. 키 패키지에는 하나 이상의 복구 암호로 보호되는 드라이브의 BitLocker 암호화 키가 포함되어 있습니다. 키 패키지는 디스크가 손상되거나 손상된 경우 특수 복구를 수행하는 데 도움이 될 수 있습니다.

AD DS에 BitLocker 백업 필요 옵션을 선택하지 않은 경우 AD DS 백업을 시도하지만 네트워크 또는 기타 백업 실패로 인해 BitLocker 설정이 차단되지는 않습니다. 백업 프로세스가 자동으로 다시 시작되지 않고 BitLocker 설치 중에 복구 암호가 AD DS에 저장되지 않을 수 있습니다. BitLocker 설치 중에 TPM 초기화가 필요할 수 있습니다. TPM 정보도 백업할 수 있도록 컴퓨터 구성\관리 템플릿\시스템\신뢰할 수 있는 플랫폼 모듈 서비스의 Active Directory 도메인 서비스에 TPM 백업 켜기 정책 설정을 사용하도록 설정하십시오.

이 설정에 대한 자세한 내용은 TPM 그룹 정책 설정 을 참조하세요.

복구 암호에 대한 기본 폴더 선택

이 정책 설정은 복구 암호에 대한 기본 폴더를 구성하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하면 BitLocker 설치 마법사에서 복구 암호를 저장할 폴더의 위치를 입력하라는 메시지가 표시될 때 표시되는 기본 경로를 지정할 수 있습니다.
소개 Windows Vista
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 없음
활성화된 경우 사용자가 복구 암호를 폴더에 저장하는 옵션을 선택할 때 기본 폴더 위치로 사용할 경로를 지정할 수 있습니다. 정식 경로를 지정하거나 경로에 대상 컴퓨터의 환경 변수를 포함할 수 있습니다. 경로가 유효하지 않은 경우 BitLocker 설치 마법사에 컴퓨터의 최상위 폴더 보기가 표시됩니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 설치 마법사는 사용자가 복구 암호를 폴더에 저장하는 옵션을 선택하면 컴퓨터의 최상위 폴더 보기를 표시됩니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

참고

이 정책 설정은 사용자가 복구 암호를 다른 폴더에 저장하는 것을 방지하지 않습니다.

BitLocker로 보호되는 고정 드라이브를 복구할 수 있는 방법 선택

이 정책 설정은 고정 데이터 드라이브에 대한 복구 방법을 구성하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하면 필요한 자격 증명이 없는 경우 BitLocker로 보호되는 고정 데이터 드라이브를 복구하는 방법을 제어할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\고정 데이터 드라이브
충돌 BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부 정책 설정을 사용하도록 설정한 경우 복구 키를 사용하지 못하게 해야 합니다.

데이터 복구 에이전트를 사용할 때 조직 정책에 대한 고유 식별자 제공 설정을 사용하도록 설정하고 구성해야 합니다.
활성화된 경우 사용자가 BitLocker로 보호되는 고정 데이터 드라이브에서 데이터를 복구하는 데 사용할 수 있는 방법을 제어할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 기본 복구 옵션은 BitLocker 복구에 지원됩니다. 기본적으로는 데이터 복구 에이전트가 허용되어 있으며 복구 옵션(복구 암호 및 복구 키 포함)을 사용자가 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

데이터 복구 에이전트 허용 확인란은 BitLocker로 보호되는 고정 데이터 드라이브에서 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 GPMC(그룹 정책 관리 콘솔) 또는 로컬 그룹 정책 편집기에 있는 공개 키 정책에서 에이전트를 추가해야 합니다. ****

BitLocker복구 정보의 사용자 저장소 구성에서 사용자가 48자리 복구 암호 또는 256비트 복구 키를 생성할 수 있도록 허용할지, 필요한지 또는 생성할 수 없는지 선택합니다.

사용자가 드라이브에서 BitLocker를 사용하도록 설정할 때 복구 옵션을 지정하지 못하도록 BitLocker 설정 마법사에서 복구 옵션 생략을 선택합니다. 즉, BitLocker를 사용하도록 설정할 때 사용할 복구 옵션을 지정할 수 없습니다. 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

Active Directory 도메인 서비스에 BitLocker복구 정보 저장에서 고정 데이터 드라이브에 대해 AD DS에 저장할 BitLocker 복구 정보를 선택하십시오. 백업 복구 암호및 키 패키지를 선택하면 BitLocker 복구 암호 및 키 패키지가 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다. 이 데이터를 복구하려면 Repair-bde 명령줄 도구를 사용할 수 있습니다. 복구 암호만 백업을 선택하면복구 암호만 AD DS에 저장됩니다.

BitLocker 복구 도구에 대한 자세한 내용은 Repair-bde를 참조하세요.

컴퓨터가 도메인에 연결되어 있으며 BitLocker 복구 정보를 AD DS에 백업하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 설정하려면 복구 정보가 고정 데이터 드라이브에 대해 AD DS에 저장될 때까지 BitLocker 사용 안 함 확인란을 선택합니다.

참고

고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 확인란을 선택하면 복구 암호가 자동으로 생성됩니다.

BitLocker로 보호되는 이동식 드라이브를 복구할 수 있는 방법 선택

이 정책 설정은 이동식 데이터 드라이브에 대한 복구 방법을 구성하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하면 필요한 자격 증명이 없는 경우 BitLocker로 보호되는 이동식 데이터 드라이브를 복구하는 방법을 제어할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부 정책 설정을 사용하도록 설정한 경우 복구 키를 사용하지 못하게 해야 합니다.

데이터 복구 에이전트를 사용할 때 조직 정책에 대한 고유 식별자 제공 설정을 사용하도록 설정하고 구성해야 합니다.
활성화된 경우 사용자가 BitLocker로 보호되는 이동식 데이터 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 기본 복구 옵션은 BitLocker 복구에 지원됩니다. 기본적으로는 데이터 복구 에이전트가 허용되어 있으며 복구 옵션(복구 암호 및 복구 키 포함)을 사용자가 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다.

데이터 복구 에이전트 허용 확인란은 BitLocker로 보호되는 이동식 데이터 드라이브에서 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 GPMC 또는 로컬 그룹 정책 편집기를 사용하여 액세스하는 공개 키 정책에서 에이전트를 추가해야 합니다. ****

BitLocker복구 정보의 사용자 저장소 구성에서 사용자가 48자리 복구 암호를 생성하도록 허용할지, 필요한지 또는 생성할 수 없는지 선택합니다.

사용자가 드라이브에서 BitLocker를 사용하도록 설정할 때 복구 옵션을 지정하지 못하도록 BitLocker 설정 마법사에서 복구 옵션 생략을 선택합니다. 즉, BitLocker를 사용하도록 설정할 때 사용할 복구 옵션을 지정할 수 없습니다. 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

Active Directory 도메인 서비스에 BitLocker복구 정보 저장에서 이동식 데이터 드라이브에 대해 AD DS에 저장할 BitLocker 복구 정보를 선택하십시오. 백업 복구 암호및 키 패키지를 선택하면 BitLocker 복구 암호 및 키 패키지가 AD DS에 저장됩니다. 복구 암호만 백업을 선택하면복구 암호만 AD DS에 저장됩니다.

컴퓨터가 도메인에 연결되어 있으며 BitLocker 복구 정보를 AD DS에 백업하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 방지하려면 복구 정보가 이동식 데이터 드라이브에 대해 AD DS에 저장될 때까지 BitLocker 사용 안 함 확인란을 선택합니다.

참고

고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 확인란을 선택하면 복구 암호가 자동으로 생성됩니다.

사전 부팅 복구 메시지 및 URL 구성

이 정책 설정은 전체 복구 메시지를 구성하고 운영 체제 드라이브가 잠겨 있는 경우 사전 부팅 복구 화면에 표시되는 기존 URL을 바꾸는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 사용자 지정된 메시지와 URL을 표시하도록 BitLocker 복구 화면을 구성할 수 있습니다.
소개 Windows
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성 \ 관리 템플릿 \ Windows 구성 요소 \ BitLocker 드라이브 암호화 \ 운영 체제 드라이브 \ 사전 부팅 복구 메시지 및 URL 구성
충돌 없음
활성화된 경우 사용자 지정된 메시지와 URL이 사전 부팅 복구 화면에 표시됩니다. 이전에 사용자 지정 복구 메시지와 URL을 사용하도록 설정하고 기본 메시지와 URL로 되전하려면 정책 설정을 사용하도록 설정하고 기본 복구 메시지 및 URL 사용 옵션을 선택해야 합니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 설정이 이전에 사용하도록 설정되지 않은 경우 BitLocker 복구를 위한 기본 사전 부팅 복구 화면이 표시됩니다. 이전에 설정을 사용하도록 설정한 경우 BCD(부팅 구성 데이터)의 마지막 메시지가 기본 복구 메시지인지 사용자 지정 메시지인지에 따라 표시됩니다.

참고자료

사전 부팅 복구 메시지 구성 및 URL 정책 설정을 사용하도록 설정하면 고객이 키를 복구할 수 있도록 기본 복구 화면 메시지와 URL을 사용자 지정할 수 있습니다.

설정을 사용하도록 설정하면 다음 세 가지 옵션이 있습니다.

  • 기본 복구 메시지 및 URL 사용 옵션을 선택하면 기본 BitLocker 복구 메시지와 URL이 사전 부팅 복구 화면에 표시됩니다.
  • 사용자 지정 복구 메시지 사용 옵션을 선택하는 경우 사용자 지정 복구 메시지 옵션 텍스트 상자에 사용자 지정 메시지를 입력합니다. 사용자 지정 복구 메시지 **** 옵션 텍스트 상자에 입력한 메시지가 사전 부팅 복구 화면에 표시됩니다. 복구 URL을 사용할 수 있는 경우 메시지에 포함합니다.
  • 사용자 지정 복구 URL 사용 옵션을 선택하는 경우 사용자 지정 복구 URL 옵션 텍스트 상자에 사용자 지정 메시지 URL을 입력합니다. 사용자 지정 복구 URL 옵션 텍스트 상자에 입력하는 URL은 기본 복구 메시지의 기본 URL을 대체합니다. 이 URL은 사전 부팅 복구 화면에 표시됩니다.

중요

모든 문자 및 언어가 사전 부팅 환경에서 지원되지는 않습니다. 사전 부팅 복구 화면에서 사용자 지정 메시지 및 URL에 사용하는 문자의 올바른 모양을 확인하는 것이 좋습니다.

중요

그룹 정책 설정을 설정하기 전에 BCDEdit 명령을 수동으로 변경할 수 있기 때문에 이 정책 설정을 구성한 후 구성되지 않은 옵션을 선택하여 정책 설정을 기본 설정으로 반환할 수 없습니다. **** 기본 사전 부팅 복구 화면으로 돌아가기 위해 정책 **** 설정을 사용하도록 설정하고 **** 사전 부팅 복구 메시지에 대한 옵션 선택 드롭다운 목록 상자에서 기본 메시지 사용 옵션을 선택합니다.

무결성 유효성 검사에 보안 부팅 허용

이 정책은 보안 부팅 기능과 함께 BitLocker 사용 시스템 볼륨을 처리하는 방법을 제어합니다. 이 기능을 사용하도록 설정하면 부팅 프로세스 중에 보안 부팅 유효성 검사가 적용되어 보안 부팅 정책에 따라 BCD(부팅 구성 데이터) 설정을 확인합니다.

 
정책 설명 이 정책 설정을 사용하여 BitLocker 운영 체제 드라이브에 대한 플랫폼 무결성 공급자로 보안 부팅을 허용할지 여부를 구성할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 무결성 유효성 **** 검사에 보안 부팅 허용을 사용하도록 설정한 경우 기본 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 그룹 정책 설정이 사용되지 않는지 확인하거나 BitLocker가 플랫폼 또는 BCD 무결성 유효성 검사에 보안 부팅을 사용할 수 있도록 PCR 7을 포함하십시오.

PCR 7에 대한 자세한 내용은 이 항목의 PCR(플랫폼 구성 등록)을 참조하세요.

사용하도록 설정되거나 구성되지 않은 경우 플랫폼이 보안 부팅 기반 무결성 유효성 검사를 할 수 있는 경우 BitLocker는 플랫폼 무결성을 위해 보안 부팅을 사용 합니다.
사용하지 않도록 설정한 경우 BitLocker는 보안 부팅 기반 무결성 유효성 검사가 가능한 시스템에서도 레거시 플랫폼 무결성 유효성 검사를 사용 합니다.

참고자료

보안 부팅을 사용하면 컴퓨터의 사전 부팅 환경에서 승인된 소프트웨어 게시자가 디지털 서명한 펌웨어만 로드할 수 있습니다. 또한 보안 부팅은 부팅 및 업데이트하기 전에 BitLocker 무결성 검사보다 사전 부팅 구성을 보다 Windows Server 2012 Windows 8. 해당 정책을 사용하도록 설정하고 하드웨어가 BitLocker 시나리오에 보안 **** 부팅을 사용할 수 있는 경우 향상된 부팅 구성 데이터 유효성 검사 프로필 사용 그룹 정책 설정은 무시되고 보안 부팅은 BitLocker와 별도로 구성된 보안 부팅 정책 설정에 따라 BCD 설정을 확인합니다.

경고

이 정책을 해제하면 제조업체별 펌웨어가 업데이트될 때 BitLocker가 복구될 수 있습니다. 해당 정책을 사용하지 않도록 설정하면 펌웨어 업데이트를 적용하기 전에 BitLocker를 일시 중단합니다.

조직의 고유 식별자 제공

이 정책 설정은 조직에서 암호화된 모든 드라이브에 적용되는 식별자를 설정하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 고유한 조직 식별자를 BitLocker와 함께 사용하도록 설정된 새 드라이브에 연결할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 BitLocker로 보호되는 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하려면 식별 필드가 필요합니다. BitLocker는 ID 필드가 드라이브에 있으며 컴퓨터에 구성된 값과 동일한 경우 인증서 기반 데이터 복구 에이전트를 관리하고 업데이트합니다.
활성화된 경우 BitLocker로 보호되는 드라이브 및 조직에서 사용하는 모든 허용되는 ID 필드에 ID 필드를 구성할 수 있습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 ID 필드는 필요하지 않습니다.

참고자료

이러한 식별자는 식별 필드 및 허용되는 식별 필드로 저장됩니다. ID 필드를 사용하면 고유한 조직 식별자를 BitLocker로 보호되는 드라이브에 연결합니다. 이 식별자는 자동으로 새 BitLocker로 보호되는 드라이브에 추가되며 Manage-bde 명령줄 도구를 사용하여 기존 BitLocker로 보호되는 드라이브에서 업데이트할 수 있습니다.

Id 필드는 BitLocker로 보호되는 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하고 BitLocker To Go Reader에 대한 잠재적인 업데이트를 위해 필요합니다. BitLocker는 드라이브의 ID 필드가 식별 필드에 구성된 값과 일치하는 경우 데이터 복구 에이전트를 관리하고 업데이트합니다. 이와 비슷한 방식으로 BitLocker는 드라이브의 ID 필드가 ID 필드에 대해 구성된 값과 일치하는 경우 BitLocker To Go Reader를 업데이트합니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde 를 참조하세요.

허용되는 ID 필드는 조직에서 이동식 드라이브 사용을 제어하는 데 도움이 하도록 BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 정책 설정과 함께 사용됩니다. 이 목록은 조직 또는 외부 조직의 ID 필드에 대한 콤보로 구분된 목록입니다.

Manage-bde 명령줄 도구를 사용하여 기존 드라이브에서 ID 필드를 구성할 수 있습니다.

BitLocker로 보호되는 드라이브가 다른 BitLocker 사용이 가능한 컴퓨터에 탑재된 경우 ID 필드와 허용되는 ID 필드를 사용하여 드라이브가 외부 조직에서 실행되어 있는지 여부를 확인합니다.

ID 및 허용되는 ID 필드에 각 값을 각 콤보로 구분하여 입력할 수 있습니다. ID 필드는 최대 260자까지 사용할 수 있습니다.

다시 시작 시 메모리 덮어 사용 방지

이 정책 설정은 다음에 컴퓨터를 다시 시작할 때 컴퓨터의 메모리를 덮어 쓰는지 여부를 제어하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하면 BitLocker 비밀이 노출될 위험이 있는 컴퓨터 다시 시작 성능을 제어할 수 있습니다.
소개 Windows Vista
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화
충돌 없음
활성화된 경우 컴퓨터가 다시 시작될 때 메모리를 덮어치지 않습니다. 메모리 덮어 쓰는 것을 방지하면 다시 시작 성능이 향상되지만 BitLocker 비밀이 노출될 위험이 높아집니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 컴퓨터를 다시 시작하면 BitLocker 비밀이 메모리에서 제거됩니다.

참고자료

이 정책 설정은 BitLocker를 설정할 때 적용됩니다. BitLocker 암호에는 데이터를 암호화하는 데 사용되는 주요 자료가 포함되어 있습니다. 이 정책 설정은 BitLocker 보호를 사용하는 경우만 적용됩니다.

BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정은 BIOS 구성이 있는 컴퓨터에서 운영 체제 드라이브의 잠금을 해제하거나 CSM(호환성 지원 모듈)이 설정된 UEFI 펌웨어를 사용하여 초기 부팅 구성 요소의 유효성을 검사할 때 TPM이 측정하는 값을 확인합니다.

 
정책 설명 이 정책 설정을 사용하여 컴퓨터의 TPM 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 BitLocker로 암호화된 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM에서 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용된 동안 이러한 구성 요소가 변경되는 경우 TPM은 드라이브의 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 대신 컴퓨터가 BitLocker 복구 콘솔을 표시하며 드라이브의 잠금을 해제하려면 복구 암호 또는 복구 키를 제공해야 합니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에서 지정한 플랫폼 유효성 검사 프로필을 사용 합니다.

참고자료

컴퓨터에 호환되는 TPM이 없는 경우 또는 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 이 정책 설정이 적용되지 않습니다.

중요

이 그룹 정책 설정은 BIOS 구성이 있는 컴퓨터 또는 CSM이 설정된 UEFI 펌웨어가 있는 컴퓨터에만 적용됩니다. 네이티브 UEFI 펌웨어 구성을 사용하는 컴퓨터는 PCRS(플랫폼 구성 레지스터)에 서로 다른 값을 저장합니다. 네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 그룹 정책 설정을 사용하여 네이티브 UEFI 펌웨어를 사용하는 컴퓨터의 TPM PCR 프로필을 구성합니다.

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 지수 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 다음과 같은 변경 내용에 대해 암호화 키를 보호합니다.

  • CRTM(핵심 측정 신뢰 루트), BIOS 및 플랫폼 확장(PCR 0)
  • 옵션 ROM 코드(PCR 2)
  • MBR(마스터 부트 레코드) 코드(PCR 4)
  • NTFS 부트 섹터(PCR 8)
  • NTFS 부팅 블록(PCR 9)
  • 부팅 관리자(PCR 10)
  • BitLocker 액세스 제어(PCR 11)

참고

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리성에 영향을 미치게 됩니다. 플랫폼 수정에 대한 BitLocker의 민감도(악성 또는 권한이 부여)는 PCRS의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

다음 목록에서는 사용 가능한 모든 PC를 식별합니다.

  • PCR 0: 측정, BIOS 및 플랫폼 확장을 위한 핵심 신뢰 루트
  • PCR 1: 플랫폼 및 마더보드 구성 및 데이터.
  • PCR 2: 옵션 ROM 코드
  • PCR 3: 옵션 ROM 데이터 및 구성
  • PCR 4: MBR(마스터 부트 레코드) 코드
  • PCR 5: MBR(마스터 부트 레코드) 파티션 테이블
  • PCR 6: 상태 전환 및 절전 모드 해제 이벤트
  • PCR 7: 컴퓨터 제조업체별
  • PCR 8: NTFS 부팅 섹터
  • PCR 9: NTFS 부팅 블록
  • PCR 10: 부팅 관리자
  • PCR 11: BitLocker 액세스 제어
  • PCR 12-23: 향후 사용을 위해 예약

TPM 플랫폼 유효성 검사 프로필(Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2) 구성

이 정책 설정은 Vista, Windows Server 2008 또는 Windows 7을 실행하는 컴퓨터에서 드라이브 잠금을 해제하기 전에 초기 부팅 구성 요소의 유효성을 검사할 때 T Windows PM이 측정하는 값을 확인합니다.

 
정책 설명 이 정책 설정을 사용하여 컴퓨터의 TPM 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다.
소개 Windows Server 2008 및 Windows Vista
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 BitLocker로 암호화된 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM에서 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용된 동안 이러한 구성 요소가 변경되는 경우 TPM은 드라이브의 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 대신 컴퓨터가 BitLocker 복구 콘솔을 표시하며 드라이브의 잠금을 해제하려면 복구 암호 또는 복구 키를 제공해야 합니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에서 지정한 플랫폼 유효성 검사 프로필을 사용 합니다.

참고자료

컴퓨터에 호환되는 TPM이 없는 경우 또는 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 이 정책 설정이 적용되지 않습니다.

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 지수 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 다음과 같은 변경 내용에 대해 암호화 키를 보호합니다.

  • CRTM(핵심 측정 신뢰 루트), BIOS 및 플랫폼 확장(PCR 0)
  • 옵션 ROM 코드(PCR 2)
  • MBR(마스터 부트 레코드) 코드(PCR 4)
  • NTFS 부트 섹터(PCR 8)
  • NTFS 부팅 블록(PCR 9)
  • 부팅 관리자(PCR 10)
  • BitLocker 액세스 제어(PCR 11)

참고

EFI(Extensible Firmware Interface)를 사용하는 컴퓨터의 기본 TPM 유효성 검사 프로필 PCR 설정은 PCR 0, 2, 4 및 11 전용입니다.

다음 목록에서는 사용 가능한 모든 PC를 식별합니다.

  • PCR 0: 측정, EFI 부팅 및 런타임 서비스, 시스템 ROM에 포함된 EFI 드라이버, ACPI 정적 테이블, 포함된 SMM 코드 및 BIOS 코드에 대한 핵심 신뢰 루트
  • PCR 1: 플랫폼 및 마더보드 구성 및 데이터. 시스템 구성에 영향을 주는 핸드오프 테이블 및 EFI 변수
  • PCR 2: 옵션 ROM 코드
  • PCR 3: 옵션 ROM 데이터 및 구성
  • PCR 4: 다른 부팅 장치의 MBR(마스터 부트 레코드) 코드 또는 코드
  • PCR 5: MBR(마스터 부트 레코드) 파티션 테이블 다양한 EFI 변수 및 GPT 테이블
  • PCR 6: 상태 전환 및 절전 모드 해제 이벤트
  • PCR 7: 컴퓨터 제조업체별
  • PCR 8: NTFS 부팅 섹터
  • PCR 9: NTFS 부팅 블록
  • PCR 10: 부팅 관리자
  • PCR 11: BitLocker 액세스 제어
  • PCR 12 - 23: 향후 사용을 위해 예약

경고

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리성에 영향을 미치게 됩니다. 플랫폼 수정에 대한 BitLocker의 민감도(악성 또는 권한이 부여)는 PCRS의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

기본 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정은 기본 UEFI 펌웨어 구성을 사용하여 컴퓨터에서 운영 체제 드라이브의 잠금을 해제하기 전에 초기 부팅 구성 요소의 유효성을 검사할 때 TPM이 측정하는 값을 확인합니다.

 
정책 설명 이 정책 설정을 사용하여 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 PCR 7을 사용하여 이 정책을 설정하면 무결성 **** 유효성 검사에 보안 부팅 허용 그룹 정책 설정이 오버라이드됩니다. 그러면 BitLocker가 플랫폼 또는 BCD(부팅 구성 데이터) 무결성 유효성 검사에 보안 부팅을 사용하지 못하도록 방지합니다.

환경에서 플랫폼 무결성 검사를 위해 TPM 및 보안 부팅을 사용하는 경우 이 정책을 구성하지 말아야 합니다.

PCR 7에 대한 자세한 내용은 이 항목의 PCR(플랫폼 구성 등록)을 참조하세요.

활성화된 경우 BitLocker를 켜기 전에 TPM이 BitLocker로 암호화된 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM에서 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용된 동안 이러한 구성 요소가 변경되는 경우 TPM은 드라이브의 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 대신 컴퓨터가 BitLocker 복구 콘솔을 표시하며 드라이브의 잠금을 해제하려면 복구 암호 또는 복구 키를 제공해야 합니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker는 설치 스크립트에서 지정한 기본 플랫폼 유효성 검사 프로필 또는 플랫폼 유효성 검사 프로필을 사용 합니다.

참고자료

컴퓨터에 호환되는 TPM이 없는 경우 또는 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 이 정책 설정이 적용되지 않습니다.

중요

이 그룹 정책 설정은 기본 UEFI 펌웨어 구성을 사용하는 컴퓨터에만 적용됩니다. CSM(호환성 지원 모듈)이 설정된 BIOS 또는 UEFI 펌웨어가 있는 컴퓨터는 PCRS(플랫폼 구성 레지스터)에 서로 다른 값을 저장합니다. BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 그룹 정책 설정을 사용하여 BIOS 구성이 있는 컴퓨터 또는 CSM이 설정된 UEFI 펌웨어가 있는 컴퓨터의 TPM PCR 프로필을 구성합니다.

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 지수 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 핵심 시스템 펌웨어 실행 코드(PCR 0), 확장 또는 플러그형 실행 코드(PCR 2), 부팅 관리자(PCR 4) 및 BitLocker 액세스 제어(PCR 11)의 변경 내용에 대해 암호화 키를 보호합니다.

다음 목록에서는 사용 가능한 모든 PC를 식별합니다.

  • PCR 0: 핵심 시스템 펌웨어 실행 코드

  • PCR 1: 핵심 시스템 펌웨어 데이터

  • PCR 2: 확장 또는 플러그형 실행 코드

  • PCR 3: 확장 또는 플러그 가능한 펌웨어 데이터

  • PCR 4: 부팅 관리자

  • PCR 5: GPT/Partition 테이블

  • PCR 6: S4 및 S5 전원 상태 이벤트에서 다시 시작

  • PCR 7: 보안 부팅 상태

    이 PCR에 대한 자세한 내용은 이 항목의 PCR(플랫폼 구성 등록)을 참조하세요.

  • PCR 8: 확장이 없는 0으로 초기화(향후 사용 예약)

  • PCR 9: 확장이 없는 0으로 초기화(향후 사용 예약)

  • PCR 10: 확장이 없는 0으로 초기화(향후 사용 예약)

  • PCR 11: BitLocker 액세스 제어

  • PCR 12: 데이터 이벤트 및 높은 휘발성 이벤트

  • PCR 13: 부팅 모듈 세부 정보

  • PCR 14: 부팅 기관

  • PCR 15 – 23: 향후 사용을 위해 예약

경고

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리성에 영향을 미치게 됩니다. 플랫폼 수정에 대한 BitLocker의 민감도(악성 또는 권한이 부여)는 PCRS의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

BitLocker 복구 후 플랫폼 유효성 검사 데이터 다시 설정

이 정책 설정은 BitLocker 복구 후 플랫폼 유효성 검사 Windows 새로 고칠지 여부를 결정합니다. 플랫폼 유효성 검사 데이터 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 지수 집합의 값으로 구성됩니다.

 
정책 설명 이 정책 설정을 사용하면 BitLocker 복구 후 플랫폼 유효성 검사 Windows 새로 고칠지 여부를 제어할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 없음
활성화된 경우 BitLocker 복구를 Windows 플랫폼 유효성 검사 데이터가 새로 고쳐지며,
사용하지 않도록 설정한 경우 BitLocker 복구 후 플랫폼 유효성 Windows 시작하면 플랫폼 유효성 검사 데이터가 새로 고쳐지지 않습니다.
구성되지 않은 경우 BitLocker 복구를 Windows 플랫폼 유효성 검사 데이터가 새로 고쳐지며,

참고자료

복구 프로세스에 대한 자세한 내용은 BitLocker 복구 가이드 를 참조하세요.

향상된 부팅 구성 데이터 유효성 검사 프로필 사용

이 정책 설정은 플랫폼 유효성 검사 중에 확인할 특정 BCD(부팅 구성 데이터) 설정을 지정합니다. 플랫폼 유효성 검사는 0에서 23까지의 PCR(플랫폼 구성 레지스터) 지수 집합으로 구성된 플랫폼 유효성 검사 프로필의 데이터를 사용 합니다.

 
정책 설명 이 정책 설정을 사용하여 플랫폼 유효성 검사 중에 확인할 BCD(부팅 구성 데이터) 설정을 지정할 수 있습니다.
소개 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브
충돌 BitLocker가 플랫폼에 보안 부팅을 사용하고 부팅 구성 **** 데이터 무결성 유효성 검사를 사용하는 경우 향상된 부팅 구성 데이터 **** 유효성 검사 프로필 사용 그룹 정책 설정은 무시됩니다(무결성 유효성 검사에 보안 부팅 허용 그룹 정책 설정으로 정의).
활성화된 경우 추가 BCD 설정을 추가하거나, 지정한 BCD 설정을 제외하거나, 포함 및 제외 목록을 결합하여 사용자 지정된 BCD 유효성 검사 프로필을 만들 수 있습니다. 이 프로필을 통해 해당 BCD 설정을 확인할 수 있습니다.
사용하지 않도록 설정한 경우 컴퓨터가 7에 사용되는 기본 BCD 프로필과 비슷한 BCD 프로필 유효성 검사로 Windows.
구성되지 않은 경우 컴퓨터에서 컴퓨터의 기본 BCD 설정을 Windows.

참고자료

참고

부팅 디버깅(0x16000010)을 제어하는 설정은 항상 유효성을 검사하며 포함 또는 제외 목록에 포함되어 있는 경우 효과가 없습니다.

이전 버전의 2016에서 BitLocker로 보호된 고정 데이터 드라이브에 대한 액세스를 Windows

이 정책 설정은 BitLocker To Go Reader를 사용하여 드라이브에 대한 액세스를 허용할지 여부와 응용 프로그램이 드라이브에 설치되어 있는지 여부를 제어하는 데 사용됩니다.

 
정책 설명 이 정책 설정을 사용하여 FAT 파일 시스템으로 포맷된 고정 데이터 드라이브의 잠금을 해제하고 볼 수 있는지 여부Windows Vista, Windows XP SP3(서비스 팩 3) 또는 WINDOWS XP SP2(서비스 팩 2)를 실행하는 컴퓨터에서 잠금을 해제하고 볼 수 있는지 여부를 구성할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\고정 데이터 드라이브
충돌 없음
사용하도록 설정한 경우 및 구성되지 않은 경우 FAT 파일 시스템으로 포맷된 고정 데이터 드라이브는 Windows Server 2008, Windows Vista, Windows XP SP3 또는 Windows XP SP2를 실행하는 컴퓨터에서 잠금을 해제할 수 있으며 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제는 BitLocker로 보호되는 드라이브에 읽기 전용으로 액세스할 수 있습니다.
사용하지 않도록 설정한 경우 FAT 파일 시스템으로 포맷되고 BitLocker로 보호된 고정 데이터 드라이브는 Windows Vista, Windows XP sp3 또는 SP2가 있는 Windows XP를 실행하는 컴퓨터에서 잠금을 해제할 수 없습니다. BitLocker To Go Reader(bitlockertogo.exe)가 설치되어 있지 않습니다.

참고자료

참고

이 정책 설정은 NTFS 파일 시스템으로 포맷된 드라이브에는 적용되지 않습니다.

이 정책 설정을 사용하는 경우 사용자가 고정 드라이브에서 BitLocker To Go Reader를 실행하지 못하도록 방지하려면 FAT 형식의 고정 드라이브에 BitLocker To Go Reader를 설치하지 않습니다. 확인란을 선택합니다. ID 필드가 지정되지 않은 드라이브에 BitLocker To Go Reader(bitlockertogo.exe)가 있는 경우 또는 조직 정책 설정에 **** 지정된 ID 필드와 동일한 ID 필드가 있는 경우 BitLocker를 업데이트하라는 메시지가 표시되고 BitLocker To Go Reader가 드라이브에서 삭제됩니다. 이 경우 Windows Vista, Windows XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 고정 드라이브의 잠금을 해제하려면 BitLocker To Go 읽기 프로그램을 컴퓨터에 설치해야 합니다. 이 확인란을 선택하지 않은 경우 BitLocker To Go Reader가 고정 드라이브에 설치되어 사용자가 Windows Vista, WINDOWS XP SP3 또는 SP2가 설치된 WINDOWS 컴퓨터에서 드라이브 잠금을 해제할 수 있습니다.

이전 버전의 이동식 데이터 드라이브에서 BitLocker로 보호된 이동식 데이터 드라이브에 대한 액세스를 Windows

이 정책 설정은 BitLocker To Go Reader를 사용하는 이동식 데이터 드라이브에 대한 액세스와 드라이브에 BitLocker To Go Reader를 설치할 수 있는지 여부를 제어합니다.

 
정책 설명 이 정책 설정을 사용하여 FAT 파일 시스템으로 포맷된 이동식 데이터 드라이브를 잠금 해제할 수 있는지 여부, Windows Vista, Windows XP WITH SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 잠금을 해제하고 볼 수 있는지 여부를 구성할 수 있습니다.
소개 WindowsServer 2008 R2 및 Windows7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\이동식 데이터 드라이브
충돌 없음
사용하도록 설정한 경우 및 구성되지 않은 경우 FAT 파일 시스템으로 포맷된 이동식 데이터 드라이브는 Windows Vista, Windows XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 잠금을 해제할 수 있으며 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제는 BitLocker로 보호되는 드라이브에 읽기 전용으로 액세스할 수 있습니다.
사용하지 않도록 설정한 경우 BitLock Windows er로 보호되는 FAT 파일 시스템으로 포맷된 이동식 데이터 드라이브는 Vista, Windows XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 잠금을 해제할 수 없습니다. BitLocker To Go Reader(bitlockertogo.exe)가 설치되어 있지 않습니다.

참고자료

참고

이 정책 설정은 NTFS 파일 시스템으로 포맷된 드라이브에는 적용되지 않습니다.

이 정책 설정을 사용하도록 설정한 경우 사용자가 이동식 드라이브에서 BitLocker To Go Reader를 실행하지 못하도록 방지하려면 FAT 형식의 이동식 드라이브에 BitLocker To Go Reader를 설치하지 않습니다. 확인란을 선택합니다. ID 필드가 지정되지 않은 드라이브에 BitLocker To Go Reader(bitlockertogo.exe)가 있는 경우 또는 조직 정책에 대한 **** 고유 식별자 제공 설정에 지정된 ID 필드가 드라이브에 있는 경우 BitLocker를 업데이트하라는 메시지가 표시되고 BitLocker To Go Reader가 드라이브에서 삭제됩니다. 이 경우 Windows Vista, Windows XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 이동식 드라이브의 잠금을 해제하려면 BitLocker To Go Reader가 컴퓨터에 설치되어 있어야 합니다. 이 확인란을 선택하지 않은 경우 이동식 드라이브에 BitLocker To Go Reader가 설치되어 사용자가 bitLocker To Go Reader가 설치되어 있지 않은 Windows Vista, Windows XP sp3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 드라이브의 잠금을 해제할 수 있습니다.

FIPS 설정

FIPS 규정 준수를 위해 FIPS(Federal Information Processing Standard) 설정을 구성할 수 있습니다. FIPS 규정 준수의 영향으로 사용자는 복구 또는 키 보호기로 BitLocker 암호를 만들거나 저장할 수 없습니다. 복구 키를 사용할 수 있습니다.

 
정책 설명 참고
소개 Windows Server 2003 with SP1
드라이브 유형 시스템 수준
정책 경로 로컬 정책\보안 옵션\시스템 암호화: 암호화, 해시 및 서명에 FIPS 호환 알고리즘 사용
충돌 터미널 서비스와 같은 일부 응용 프로그램은 모든 운영 체제에서 FIPS-140을 지원하지 않습니다.
활성화된 경우 사용자는 복구 암호를 어떤 위치에도 저장할 수 없습니다. 여기에는 AD DS 및 네트워크 폴더가 포함됩니다. 또한 WMI 또는 BitLocker 드라이브 암호화 설정 마법사를 사용하여 복구 암호를 만들 수 없습니다.
사용하지 않도록 설정되거나 구성되지 않은 경우 BitLocker 암호화 키가 생성되지 않습니다.

참고자료

BitLocker에 대한 암호화 키가 생성되기 전에 이 정책을 사용하도록 설정해야 합니다. 해당 정책을 사용하도록 설정하면 BitLocker는 복구 암호를 만들거나 사용하지 못하게 하여 복구 키를 대신 사용해야 합니다.

선택적 복구 키를 USB 드라이브에 저장할 수 있습니다. FIPS를 사용하도록 설정하면 복구 암호를 AD DS에 저장할 수 없습니다. 그룹 정책에 AD DS 백업이 필요한 경우 오류가 발생합니다.

보안 정책 편집기(Secpol.msc)를 사용하거나 레지스트리를 편집하여 FIPS 설정을 Windows 있습니다. 이러한 절차를 수행하려면 관리자 되어야 합니다.

이 정책을 설정하는 데 대한 자세한 내용은 시스템 암호화: 암호화, 해시 및 서명에 FIPS 호환 알고리즘 사용을 참조하세요.

전원 관리 그룹 정책 설정: 절전 및 최대 절전

컴퓨터의 기본 전원 설정을 사용하면 컴퓨터가 절전 모드로 자주 전환되어 유휴 상태일 때 전원을 절약하고 시스템의 배터리 사용 기간을 연장할 수 있습니다. 컴퓨터가 절전으로 전환되면 프로그램 및 문서를 메모리에 저장합니다. 컴퓨터가 절전에서 다시 시작될 때 사용자는 암호화된 데이터에 액세스하기 위해 PIN 또는 USB 시작 키로 다시 인증할 필요는 없습니다. 이로 인해 데이터 보안이 손상되는 조건이 발생할 수 있습니다.

그러나 컴퓨터가 최대 최대 자전 해제 시 드라이브가 잠겨 있으며 최대 최대화에서 다시 시작하면 드라이브의 잠금이 해제됩니다. 즉, BitLocker와 함께 다단계 인증을 사용하는 경우 사용자가 PIN 또는 시작 키를 제공해야 합니다. 따라서 BitLocker를 사용하는 조직에서는 향상된 보안을 위해 절전 대신 최대 절전을 사용할 수 있습니다. 이 설정은 시작 시와 최대 한도에서 다시 시작할 때 투명한 사용자 환경을 제공하기 때문에 TPM 전용 모드에는 영향을 끼치지 않습니다.

컴퓨터 구성\관리 템플릿\시스템\전원 관리에 있는 다음 그룹 정책 설정을 사용하지 않도록 설정하여 사용 가능한 모든 절전 상태는 사용하지 않도록 설정할 수 있습니다.

  • 절전 중일 때 대기 상태 허용(S1-S3) 허용(전원 사용)
  • 절전 중일 때 대기 상태 허용(S1-S3) (배터리)

PCR(플랫폼 구성 레지스터)

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 지수 집합으로 구성됩니다. 값의 범위는 운영 체제 버전에 따라 다를 수 있습니다.

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리성에 영향을 미치게 됩니다. 플랫폼 수정에 대한 BitLocker의 민감도(악성 또는 권한이 부여)는 PCRS의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

PCR 7

PCR 7은 보안 부팅의 상태를 측정합니다. PCR 7을 사용하여 BitLocker는 무결성 유효성 검사를 위해 보안 부팅을 활용할 수 있습니다. 보안 부팅을 사용하면 컴퓨터의 사전 부팅 환경에서 승인된 소프트웨어 게시자가 디지털 서명한 펌웨어만 로드할 수 있습니다. PCR 7 측정값은 보안 부팅이 설정 및 플랫폼에서 신뢰할 수 있는 키를 나타냅니다. 보안 부팅이 설정되어 있으며 펌웨어가 UEFI 사양에 따라 PCR 7을 올바르게 측정하는 경우 BitLocker는 정확한 펌웨어 및 Bootmgr 이미지의 측정값이 로드된 PCR 0, 2 및 4가 아닌 이 정보에 바인딩할 수 있습니다. 이렇게 하면 펌웨어 및 이미지 업데이트로 인해 BitLocker가 복구 모드에서 시작될 가능성이 줄어들고 사전 부트 구성을 보다 유연하게 관리할 수 있습니다.

PCR 7 측정은 부록 A Trusted Execution Environment EFI Protocol에 설명된 지침을 따라야 합니다.

PCR 7 측정은 Microsoft Surface RT와 같은 최신 대기 대기(Always On, 항상 연결된 PC라고도 알려지기)를 지원하는 시스템에 대한 필수 로고 요구 사항입니다. 이러한 시스템에서 PCR 7 측정 및 보안 부팅이 있는 TPM이 올바르게 구성되어 있는 경우 BitLocker는 기본적으로 PCR 7 및 PCR 11에 바인딩됩니다.

참고 항목