BitLocker FAQ

예, BitLocker는 운영 체제 드라이브에 대해 다단계 인증을 지원합니다. TPM 버전 1.2 이상이 있는 컴퓨터에서 BitLocker를 사용하는 경우 TPM 보호와 함께 추가 형태의 인증을 사용할 수 있습니다.

시작 전 인증 및 시스템 무결성 확인은 암호화된 운영 체제 드라이브와 다른 파티션에서 수행되어야 하므로, BitLocker를 실행하려면 파티션이 두 개 필요합니다. 이 구성을 사용하면 암호화된 드라이브의 정보와 운영 체제를 모두 보호할 수 있습니다.

보안 센터>디바이스 보안>프로세서 세부 정보를 Windows Defender TPM 상태 확인할 수 있습니다.

예, BIOS 또는 UEFI 펌웨어가 부팅 환경의 USB 플래시 드라이브에서 읽을 수 있는 기능이 있는 경우 TPM 없이 운영 체제 드라이브에서 BitLocker를 사용하도록 설정할 수 있습니다. BitLocker는 컴퓨터의 TPM 또는 해당 컴퓨터의 BitLocker 시작 키가 포함된 USB 플래시 드라이브에서 BitLocker의 볼륨 master 키를 처음 릴리스할 때까지 보호된 드라이브의 잠금을 해제하지 않습니다. 그러나 TPM이 없는 컴퓨터는 BitLocker가 제공할 수 있는 시스템 무결성 확인을 사용할 수 없습니다. 컴퓨터가 부팅 프로세스 중에 USB 장치에서 읽을 수 있는지 확인하려면 BitLocker 설치 프로세스의 일부분으로 BitLocker 시스템 검사를 사용합니다. 이 시스템 검사에서는 테스트를 수행하여 컴퓨터가 제때 USB 장치에서 정상적으로 읽을 수 있는지, 기타 BitLocker 요구 사항을 충족하는지 확인합니다.

컴퓨터 제조업체에 문의하여 다음 요구 사항을 충족하는 TCG(신뢰할 수 있는 컴퓨팅 그룹) 규격 BIOS 또는 UEFI 부팅 펌웨어를 요청하세요.

• 클라이언트 컴퓨터의 TCG 표준을 준수합니다.
• 악성 BIOS 또는 부팅 펌웨어가 컴퓨터에 설치되지 않도록 하는 보안 업데이트 메커니즘이 있습니다.

운영 체제 및 고정 데이터 드라이브에서 BitLocker의 구성을 켜거나 끄거나 변경하려면 로컬 관리자 그룹에 대한 멤버 자격이 필요합니다. 표준 사용자는 이동식 데이터 드라이브에서 BitLocker를 설정/해제하거나 구성을 변경할 수 있습니다.

컴퓨터의 시작 옵션은 CD/DVD 드라이브 또는 USB 드라이브와 같은 다른 드라이브보다 먼저 하드 디스크 드라이브를 부팅 순서로 구성해야 합니다. 하드 디스크가 처음이 아니고 컴퓨터가 일반적으로 하드 디스크에서 부팅되는 경우 부팅 중에 이동식 미디어를 찾을 때 부팅 순서 변경이 감지되거나 가정될 수 있습니다. 부팅 순서는 일반적으로 BitLocker에서 확인된 시스템 측정에 영향을 미치며 부팅 순서가 변경되면 BitLocker 복구 키에 대한 프롬프트가 발생합니다. 같은 이유로 노트북을 도킹 스테이션과 함께 사용하는 경우 노트북이 도킹 및 도킹 해제될 때 하드 디스크 드라이브가 부팅 순서에서 첫 번째인지 확인합니다.

예.

암호 해독이란 BitLocker 보호를 완전히 제거하고 드라이브의 암호를 완전히 해독하는 것입니다.

일시 중단은 데이터를 암호화된 상태로 유지하되, BitLocker 볼륨 마스터 키는 암호화되지 않은 키로 암호화합니다. 암호화되지 않은 키는 디스크 드라이브에서 암호화 및 보호되지 않은 상태로 저장되는 암호화 키입니다. 일시 중단 옵션을 사용하는 경우 이 키를 암호화되지 않은 상태로 저장하면 많은 비용과 시간을 들여 전체 드라이브를 암호 해독했다가 다시 암호화하지 않고도 컴퓨터를 변경하거나 업그레이드할 수 있습니다. 변경 작업을 수행한 후 BitLocker를 다시 사용하도록 설정하면 암호화 키가 업그레이드의 일부분으로 바뀐 측정된 구성 요소의 새 값으로 다시 봉인되고, 볼륨 마스터 키가 변경되며, 보호기가 일치하도록 업데이트되고 암호화되지 않은 키는 삭제됩니다.

Windows 품질 업데이트 및 기능 업데이트를 포함하여 Microsoft의 업데이트를 적용하기 위해 BitLocker에 대한 사용자 작업이 필요하지 않습니다. 다음과 같은 타사 소프트웨어 업데이트의 경우 BitLocker를 일시 중단해야 합니다.

• 이러한 업데이트가 Windows API 외부에서 TPM을 지우는 경우 일부 TPM 펌웨어가 업데이트됩니다. 모든 TPM 펌웨어 업데이트가 TPM을 지우는 것은 아닙니다. 이 경우 BitLocker가 자동으로 일시 중단되므로 TPM 펌웨어 업데이트가 Windows API를 사용하여 TPM을 지우는 경우 사용자는 BitLocker를 일시 중단할 필요가 없습니다. BitLocker 보호를 일시 중단하지 않으려면 사용자가 TPM 펌웨어 업데이트를 테스트하는 것이 좋습니다.
• UEFI\BIOS 구성을 수정하는 비 Microsoft 애플리케이션 업데이트
• 보안 부팅 데이터베이스에 대한 수동 또는 비 Microsoft 업데이트(BitLocker에서 무결성 유효성 검사를 위해 보안 부팅을 사용하는 경우에만)
• Windows 업데이트 메커니즘을 사용하지 않고 UEFI\BIOS 펌웨어, 추가 UEFI 드라이버 설치 또는 UEFI 애플리케이션에 업데이트(업데이트 중 무결성 유효성 검사를 위해 BitLocker가 보안 부팅을 사용하지 않는 경우에만)
• BitLocker는 명령줄 manage-bde.exe -protectors -get C:에서 무결성 유효성 검사를 위해 보안 부팅을 사용하는지 확인할 수 있습니다. 무결성 유효성 검사를 위해 보안 부팅을 사용하는 경우 무결성 유효성 검사를 위해 보안 부팅 사용을 보고합니다.

예, 배포 및 구성 BitLocker는 Windows PowerShell 또는 manage-bde.exe 명령을 사용하여 자동화할 수 있습니다. 일반적인 BitLocker 관리 명령에 대한 자세한 내용은 BitLocker 작업 가이드를 검사.

일반적으로 작동해야 하는 스토리지 작업의 처리량에 상대적인 작은 성능 오버헤드가 있는 경우가 많습니다.

BitLocker 암호화는 사용자가 계속 사용할 수 있는 시스템으로 작업하는 동안 백그라운드에서 발생하지만 암호화 시간은 암호화되는 드라이브의 유형, 드라이브 크기 및 드라이브 속도에 따라 달라집니다. 대형 드라이브를 암호화하는 경우 드라이브가 사용되지 않는 시간에 암호화를 예약할 수 있습니다.

BitLocker를 사용하도록 설정하면 전체 드라이브 또는 드라이브에서 사용된 공간만 암호화하도록 BitLocker를 설정할 수도 있습니다. 새 하드 드라이브에서는 전체 드라이브를 암호화하는 것보다 사용된 공간만 암호화하면 속도가 훨씬 빠를 수 있습니다. 이 암호화 옵션을 선택하면 BitLocker는 저장되는 데이터를 자동으로 암호화하여 암호화되지 않은 상태로 저장되는 데이터가 없도록 합니다.

컴퓨터가 꺼지거나 최대 절전 모드로 설정되는 경우 BitLocker 암호화 및 암호 해독 프로세스는 다음번에 Windows를 시작하면 중지된 지점부터 다시 시작됩니다. BitLocker 암호화 또는 암호 해독을 다시 시작하면 전원을 갑자기 사용할 수 없는 경우에도 마찬가지입니다.

아니요, BitLocker는 데이터를 읽고 쓸 때 전체 드라이브를 암호화하고 해독하지 않습니다. BitLocker로 보호된 드라이브의 암호화된 섹터는 시스템 읽기 작업에서 요청된 경우에만 암호 해독됩니다. 드라이브에 기록된 블록의 경우 시스템에서 실제 디스크에 해당 블록을 쓰기 전에 암호화됩니다. BitLocker로 보호되는 드라이브에서는 암호화되지 않은 상태의 데이터가 저장되지 않습니다.

BitLocker로 보호된 컴퓨터가 데이터를 쓰기 전에 데이터 드라이브를 BitLocker로 보호하도록 정책 설정을 구성할 수 있습니다. 자세한 내용은 BitLocker 정책 설정을 참조하세요. 이러한 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 운영 체제는 BitLocker로 보호되지 않는 모든 데이터 드라이브를 읽기 전용으로 탑재합니다.

BitLocker를 사용하면 사용자가 자신의 데이터만 암호화하도록 선택할 수 있습니다. 드라이브를 암호화하는 가장 안전한 방법은 아니지만 이 옵션은 암호화해야 하는 데이터의 양에 따라 암호화 시간을 99% 이상 줄일 수 있습니다. 자세한 내용은 사용된 디스크 공간 전용 암호화를 참조하세요.

다음과 같은 유형의 시스템 변경은 무결성 검사에 실패하는 원인이 되고 TPM이 보호된 운영 체제 드라이브의 암호를 해독하기 위해 BitLocker 키를 해제하지 못하도록 할 수 있습니다.

• BitLocker로 보호된 드라이브를 새 컴퓨터로 이동
• 새 TPM을 사용하여 새 마더보드 설치
• TPM 끄기, 비활성화 또는 지우기
• 부팅 구성 설정 변경
• BIOS, UEFI 펌웨어, master 부팅 레코드, 부팅 섹터, 부팅 관리자, 옵션 ROM 또는 기타 초기 부팅 구성 요소 또는 부팅 구성 데이터 변경

BitLocker는 수많은 공격으로부터 컴퓨터를 보호하도록 설계되었기 때문에 BitLocker가 복구 모드에서 시작할 수 있는 여러 가지 이유가 있습니다. 예시:

• 하드 드라이브에 앞서 다른 드라이브를 부팅하도록 BIOS 부팅 순서 변경
• 컴퓨터에 새 카드 삽입하는 등 하드웨어 추가 또는 제거
• 휴대용 컴퓨터의 스마트 배터리 충전 제거, 삽입 또는 완전히 고갈

BitLocker에서 복구는 USB 플래시 드라이브에 저장된 복구 키를 사용하여 볼륨 마스터 키 복사본의 암호를 해독하는 것과 복구 암호에서 파생된 암호화 키를 사용하여 볼륨 마스터 키 복사본의 암호를 해독하는 것으로 구성되어 있습니다. TPM은 복구 시나리오에 관여하지 않으므로 TPM이 부팅 구성 요소 유효성 검사에 실패하거나 오작동하거나 제거된 경우에도 복구가 가능합니다.

Windows 이전의 비 Windows OS가 부팅되었거나 디바이스에서 보안 부팅을 사용할 수 없는 경우 사용하지 않도록 설정되었거나 하드웨어에서 지원하지 않는 경우 BitLocker가 PCR 7에 바인딩되지 않도록 방지할 수 있습니다.

예, BitLocker를 사용하는 경우 동일한 컴퓨터에서 여러 하드 디스크를 교환할 수 있지만 하드 디스크가 동일한 컴퓨터에서 BitLocker로 보호된 경우에만 교환할 수 있습니다. BitLocker 키는 TPM 및 운영 체제 드라이브에 고유합니다. 디스크 오류가 발생하는 경우 백업 운영 체제 또는 데이터 드라이브를 준비해야 하는 경우 올바른 TPM과 일치하는지 확인합니다. 서로 다른 운영 체제에 대해 다른 하드 드라이브를 구성한 다음, 충돌 없이 서로 다른 인증 방법(예: TPM 전용 및 TPM+PIN이 있는 드라이브)을 사용하여 각각 BitLocker를 사용하도록 설정할 수도 있습니다.

예, 드라이브가 데이터 드라이브인 경우 암호 또는 스마트 카드 사용하여 BitLocker 드라이브 암호화 제어판 항목에서 잠금을 해제할 수 있습니다. 데이터 드라이브가 자동 잠금 해제 전용으로 구성된 경우 복구 키를 사용하여 잠금을 해제해야 합니다. 암호화된 하드 디스크는 데이터 복구 에이전트(구성된 경우)로 잠금을 해제하거나 복구 키를 사용하여 잠금을 해제할 수 있습니다.

일부 드라이브는 BitLocker로 암호화할 수 없습니다. 드라이브를 암호화할 수 없는 이유는 디스크 크기 부족, 호환되지 않는 파일 시스템, 드라이브가 동적 디스크이거나 드라이브가 시스템 파티션으로 지정된 경우입니다. 시스템 드라이브 또는 시스템 파티션은 기본적으로 컴퓨터 창에서 표시되지 않도록 숨겨집니다. 그러나 사용자 지정 설치 프로세스로 인해 운영 체제가 설치되었을 때 숨겨진 드라이브로 만들어지지 않은 경우 해당 드라이브가 표시될 수 있지만 암호화할 수는 없습니다.

BitLocker를 사용하여 개수에 관계없이 내부 고정 데이터 드라이브를 보호할 수 있습니다. 일부 버전에서는 ATA 및 SATA 기반의 직접 연결 저장 장치도 지원됩니다.

이동식 데이터 드라이브는 암호 또는 스마트 카드 사용하여 잠금 해제할 수 있습니다. 사용자 도메인 자격 증명을 사용하여 드라이브의 잠금을 해제하도록 SID 보호기를 구성할 수도 있습니다. 암호화가 시작된 후 특정 사용자 계정의 특정 컴퓨터에서 드라이브의 잠금을 자동으로 해제할 수도 있습니다. 시스템 관리자는 암호 복잡성 및 최소 길이 요구 사항을 포함하여 사용자가 사용할 수 있는 옵션을 구성할 수 있습니다. SID 보호기를 사용하여 잠금을 해제하려면 를 사용합니다 manage-bde.exe.

Manage-bde.exe -protectors -add e: -sid domain\username

BitLocker에서 생성하고 사용할 수 있는 여러 키가 있습니다. 일부 키는 필수이며 일부는 필요한 보안 수준에 따라 사용하도록 선택할 수 있는 선택적 보호기입니다.

TPM 소유자 암호

TPM 버전 1.2가 있는 컴퓨터에서 BitLocker를 사용하도록 설정하기 전에 TPM을 초기화해야 합니다. 초기화 프로세스는 TPM에 설정된 암호인 TPM 소유자 암호를 생성합니다. TPM을 사용하거나 사용하지 않도록 설정하거나 TPM 잠금을 다시 설정하는 경우와 같이 TPM의 상태를 변경하려면 TPM 소유자 암호를 제공할 수 있어야 합니다.

복구 암호 및 복구 키

BitLocker를 설정할 때 지정된 잠금 해제 방법을 사용할 수 없는 경우(예: TPM이 부팅 구성 요소의 유효성을 검사할 수 없거나 PIN(개인 식별 번호)가 잊혀지거나 암호가 잊혀지는 경우) BitLocker로 보호된 드라이브에 대한 액세스를 복구할 수 있는 방법을 선택해야 합니다. 이러한 상황에서는 복구 키 또는 복구 암호를 제공하여 드라이브에서 암호화된 데이터의 잠금을 해제할 수 있어야 합니다. 복구 정보를 제공하는 경우 다음 형식 중 하나를 사용할 수 있습니다.

• 48자리 숫자로 구성된 복구 암호는 8개의 그룹으로 나뉩니다. 복구하는 동안 키보드의 함수 키를 사용하여 BitLocker 복구 콘솔에 이 암호를 입력해야 합니다.
• BitLocker 복구 콘솔에서 직접 읽는 USB 플래시 드라이브의 키 파일입니다. 복구하는 동안 이 USB 디바이스를 삽입해야 합니다.

PIN 및 향상된 PIN

TPM을 사용하여 더 높은 수준의 보안을 위해 PIN(개인 식별 번호)으로 BitLocker를 구성할 수 있습니다. PIN은 컴퓨터가 최대 절전 모드에서 시작되거나 다시 시작될 때마다 입력해야 하는 사용자 생성 값입니다. PIN은 시작 정책 설정에 대한 최소 PIN 길이 구성 설정에 지정된 대로 4~20자리 숫자로 구성될 수 있으며 내부적으로 입력한 유니코드 문자의 256비트 해시로 저장됩니다. 이 값은 사용자에게 표시되지 않습니다. PIN은 TPM 인증과 함께 다른 인증 요소를 제공하는 데 사용됩니다.
TPM을 사용하여 훨씬 더 높은 수준의 보안을 위해 향상된 PIN을 사용하도록 BitLocker를 구성할 수 있습니다. 향상된 PIN은 더 많은 PIN 조합을 허용하기 위해 숫자 집합 외에도 전체 키보드 문자 집합을 사용하는 PIN이며 길이는 4~20자 사이입니다. 향상된 PIN을 사용하려면 드라이브에 PIN을 추가하기 전에 시작 정책에서 향상된 PIN 허용 설정을 사용하도록 설정해야 합니다. 이 정책을 사용하도록 설정하면 생성된 모든 PIN이 전체 키보드 문자를 활용할 수 있습니다.

시작 키

시작 키 구성은 TPM을 사용하여 더 높은 수준의 보안을 사용하도록 설정하는 또 다른 방법입니다. 시작 키는 USB 플래시 드라이브에 저장된 키이며 컴퓨터가 시작될 때마다 USB 플래시 드라이브를 삽입해야 합니다. 시작 키는 TPM 인증과 함께 다른 인증 요소를 제공하는 데 사용됩니다. USB 플래시 드라이브를 시작 키로 사용하려면 NTFS, FAT 또는 FAT32 파일 시스템을 사용하여 USB 플래시 드라이브의 형식을 지정해야 합니다.

운영 체제 드라이브 또는 고정 데이터 드라이브의 복구 암호 및 복구 키는 폴더에 저장하거나, 하나 이상의 USB 장치에 저장하거나, Microsoft 계정에 저장하거나, 인쇄할 수 있습니다.

이동식 데이터 드라이브의 경우 복구 암호 및 복구 키를 폴더에 저장하거나 Microsoft 계정에 저장하거나 인쇄할 수 있습니다. 기본적으로 이동식 드라이브의 복구 키는 이동식 드라이브에 저장할 수 없습니다.

또한 도메인 관리자는 복구 암호를 자동으로 생성하고 AD DS(Active Directory Domain Services) 또는 BitLocker로 보호된 드라이브에 대한 Microsoft Entra ID 저장하도록 정책 설정을 구성할 수 있습니다.

Manage-bde.exe 명령줄 도구를 사용하여 TPM 전용 인증 모드를 다단계 인증 모드로 바꿀 수 있습니다. 예를 들어 BitLocker를 TPM 인증으로만 사용하도록 설정하고 PIN 인증을 추가해야 하는 경우 관리자 권한 명령 프롬프트에서 다음 명령을 사용하여 4-20자리 숫자 PIN을 원하는 숫자 PIN 으로 바꿉니다.

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Windows 하드웨어 호환성 프로그램 요구 사항을 충족하는 새 하드웨어에서는 하나의 완화 방법으로서 PIN의 중요도를 낮췄기 때문에 TPM 전용 보호 커버를 장치 잠금 같은 정책 함께 사용하는 것으로도 충분할 수 있습니다. 예를 들어 Surface Pro 및 Surface Book 공격할 외부 DMA 포트가 없습니다. PIN이 필요할 수 있는 이전 하드웨어의 경우 문자 및 문장 부호와 같은 숫자가 아닌 문자를 허용하는 향상된 PIN 을 사용하도록 설정하고 컴퓨터의 TPM에서 사용할 수 있는 위험 허용 오차 및 하드웨어 망치 방지 기능을 기반으로 PIN 길이를 설정하는 것이 좋습니다.

BitLocker는 필요한 인증을 수행하지 않으면 암호화된 드라이브를 복구할 수 없도록 설계되었습니다. 복구 모드에서는 사용자가 암호화된 드라이브 잠금을 해제하려면 복구 암호나 복구 키가 필요합니다.

USB 플래시 드라이브를 시작 키와 복구 키 스토리지 모두로 사용하는 것이 기술적으로 가능하지만, 하나의 USB 플래시 드라이브를 사용하여 두 키를 모두 저장하는 것은 모범 사례가 아닙니다. 시작 키가 포함된 USB 플래시 드라이브가 손실되거나 도난당한 경우 복구 키도 손실됩니다. 또한 이 키를 삽입하면 TPM 측정 파일이 변경되어 TPM의 시스템 무결성 검사 우회하는 경우에도 컴퓨터가 복구 키에서 자동으로 부팅됩니다.

예, 컴퓨터의 시작 키는 여러 USB 플래시 드라이브에 저장할 수 있습니다. BitLocker로 보호된 드라이브를 마우스 오른쪽 단추로 클릭하고 BitLocker 관리를 선택하면 필요에 따라 추가 USB 플래시 드라이브에 복구 키를 저장하는 옵션이 제공됩니다.

예, 다른 컴퓨터에 대한 BitLocker 시작 키는 동일한 USB 플래시 드라이브에 저장할 수 있습니다.

스크립팅을 통해 동일한 컴퓨터에 대해 서로 다른 시작 키를 생성할 수 있습니다. 그러나 TPM이 설치된 컴퓨터의 경우 서로 다른 여러 시작 키를 만들면 BitLocker가 TPM의 시스템 무결성 검사를 사용하지 못하게 됩니다.

여러 PIN 조합을 생성할 수 없습니다.

원시 데이터는 전체 볼륨 암호화 키로 암호화되며, 전체 볼륨 암호화 키는 볼륨 마스터 키로 암호화됩니다. 볼륨 master 키는 인증(즉, 키 보호기 또는 TPM) 및 복구 시나리오에 따라 여러 가지 가능한 방법 중 하나로 암호화됩니다.

전체 볼륨 암호화 키는 볼륨 마스터 키로 암호화되어 암호화된 드라이브에 저장됩니다. 볼륨 마스터 키는 해당하는 키 보호기로 암호화되어 암호화된 드라이브에 저장됩니다. BitLocker가 일시 중단된 경우 볼륨 마스터 키를 암호화하는 데 사용되는 암호화되지 않은 키도 암호화된 볼륨 마스터 키와 함께 암호화된 드라이브에 저장됩니다.

이 스토리지 프로세스는 볼륨 master 키가 암호화되지 않은 상태로 저장되지 않고 BitLocker를 사용하지 않도록 설정하지 않는 한 보호되도록 합니다. 이러한 키는 중복성을 위해 드라이브 상의 두 곳에도 추가로 저장됩니다. 부팅 관리자를 통해 키를 읽고 처리할 수 있습니다.

F1~F10 키는 범용으로 매핑되는 스캔 코드로, 모든 컴퓨터와 모든 언어의 사전 부팅 환경에서 사용 가능합니다. 0에서 9까지의 숫자 키는 모든 키보드의 부팅 전 환경에서 사용할 수 없습니다.

향상된 PIN을 사용할 때 사용자는 BitLocker 설치 프로세스를 진행하는 동안 선택적인 시스템 검사를 실행하여 사전 부팅 환경에서 PIN을 정확하게 입력했는지 확인해야 합니다.

무차별 암호 대입 공격을 수행하는 공격자가 PIN(개인 식별 번호)을 검색할 수 있습니다. 무차별 암호 대입 공격(brute force attack)은 공격자가 자동화된 도구를 사용하여 여러 PIN 조합을 계속 시도해 올바른 PIN을 알아내는 공격입니다. BitLocker로 보호되는 컴퓨터의 경우 사전 공격이라고도 하는 이러한 유형의 공격에는 공격자가 컴퓨터에 물리적으로 액세스할 수 있어야 합니다.

TPM은 이러한 유형의 공격을 탐지하여 대응하는 기능을 기본 제공합니다. 다른 제조업체의 TPM은 다른 PIN 및 공격 완화를 지원할 수 있으므로 TPM 제조업체에 문의하여 컴퓨터의 TPM이 PIN 무차별 암호 대입 공격을 완화하는 방법을 결정합니다. TPM 제조업체가 결정되면 제조업체에 문의하여 TPM의 공급업체별 정보를 수집합니다. 대부분의 제조업체는 PIN 인증 실패 횟수를 사용하여 PIN 인터페이스 잠금 시간을 기하급수적으로 연장합니다. 그러나 실패 카운터의 제한을 낮추거나 다시 설정하는 방법과 시기에 관련된 정책은 각 제조업체마다 다릅니다.

TPM 제조업체는 Windows Defender Security Center>디바이스 보안>프로세서 세부 정보에서 확인할 수 있습니다.

다음 질문은 사전 공격 완화 메커니즘의 설계에 대해 TPM 제조업체에 문의할 때 도움이 될 수 있습니다.

• 권한 부여 시도를 몇 번 실패하면 인터페이스가 잠기나요?
• 실패한 시도 횟수와 기타 관련 매개 변수를 기준으로 잠금 기간을 결정하는 알고리즘은 무엇인가요?
• 어떤 작업을 수행하면 실패 횟수와 잠금 기간이 감소하거나 이를 다시 설정할 수 있나요?

최소 PIN(개인 식별 번호) 길이는 시작 그룹 정책 최소 PIN 길이 구성 설정을 사용하여 구성할 수 있으며 시작 정책 설정에 대해 향상된 PIN 허용 설정을 사용하여 영숫자 PIN 사용을 허용할 수 있습니다. 정책 설정을 통해 PIN 복잡성을 요구할 수 없습니다.

자세한 내용은 BitLocker 정책 설정을 참조하세요.

BitLocker는 SHA-256을 사용하여 사용자 지정 PIN(개인 식별 번호)을 해시하고, 해시의 처음 160비트는 볼륨 master 키를 봉인하기 위해 TPM으로 전송된 권한 부여 데이터로 사용됩니다. 볼륨 master 키는 이제 TPM과 PIN으로 보호됩니다. 볼륨 master 키의 봉인을 해제하려면 컴퓨터가 최대 절전 모드에서 다시 시작되거나 다시 시작될 때마다 PIN을 입력해야 합니다.

BitLocker To Go는 이동식 데이터 드라이브에 대한 BitLocker 드라이브 암호화입니다. 이 기능에는 다음의 암호화가 포함됩니다.

• USB 플래시 드라이브
• SD 카드
• 외부 하드 디스크 드라이브
• NTFS, FAT16, FAT32 또는 exFAT 파일 시스템을 사용하여 포맷되는 다른 드라이브입니다.

드라이브 분할은 BitLocker 드라이브 암호화 분할 요구 사항을 충족해야 합니다.

BitLocker와 마찬가지로 BitLocker To Go로 암호화된 드라이브는 다른 컴퓨터에서 암호 또는 스마트 카드 사용하여 열 수 있습니다. 제어판 BitLocker 드라이브 암호화를 사용합니다.

백업을 적용하기 위해 정책 설정이 적용되기 전에 드라이브에서 BitLocker를 사용하도록 설정하면 컴퓨터가 도메인에 가입하거나 정책 설정이 이후에 적용될 때 복구 정보가 AD DS에 자동으로 백업되지 않습니다. 그러나 정책 설정 BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택, BitLocker로 보호되는 고정 드라이브를 복구하는 방법 선택, BitLocker로 보호되는 이동식 드라이브를 복구할 organization 수 있는 방법 선택 은 AD DS에 백업됩니다.

AD DS 또는 Microsoft Entra ID 복구 암호를 백업하는 방법에 대한 자세한 내용은 BitLocker 작업 가이드를 검토하세요.

예, 백업의 성공 또는 실패를 나타내는 이벤트 로그 항목이 클라이언트 컴퓨터에 기록됩니다. 그러나 이벤트 로그 항목이 "성공"으로 표시되더라도 이후에 정보가 AD DS에서 제거되었거나 BitLocker가 다시 구성되어(예: 복구 암호 키 보호기 제거) Active Directory 정보로는 더 이상 드라이브 잠금을 해제할 수 없는 경우도 있습니다. 또한 로그 항목을 스푸핑할 수도 있습니다.

결론적으로, AD DS에 합법적인 백업이 있는지 확인하려면 BitLocker 암호 뷰어 도구를 사용하여 도메인 관리자 자격 증명으로 AD DS를 쿼리해야 합니다.

아니요. 기본적으로 BitLocker 복구 암호 항목은 AD DS에서 삭제되지 않습니다. 따라서 각 드라이브에 대해 여러 암호가 표시될 수 있습니다. 최신 암호를 파악하려면 개체의 날짜를 확인하세요.

BitLocker 설치 마법사를 실행할 때 도메인 컨트롤러에 연결할 수 없는 경우와 같이 백업이 처음 실패하는 경우 BitLocker는 복구 정보를 AD DS에 백업하려고 다시 시도하지 않습니다.

관리자가 BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택, BitLocker로 보호되는 고정 데이터 드라이브를 복구하는 방법 선택, BitLocker로 보호되는 고정 데이터 검사 드라이브를 복구할 수 있는 방법 선택 및 BitLocker로 보호되는 이동식 데이터 드라이브를 복구할 수 있는 방법 선택에서 (운영 체제 | 고정 데이터 | 이동식 데이터) 드라이브에 대한 AD DS에 복구 정보가 저장될 때까지BitLocker 사용 안 함 상자를 선택하면 정책 설정에서는 컴퓨터가 도메인에 연결되고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않으면 BitLocker를 사용하도록 설정할 수 없습니다. 백업이 실패할 경우 이러한 설정을 구성하면 BitLocker를 사용하도록 설정할 수 없으므로 관리자가 organization BitLocker로 보호된 드라이브를 복구할 수 있습니다.

자세한 내용은 BitLocker 정책 설정을 참조하세요.

관리자가 이러한 검사 상자를 지우면 관리자가 복구 정보를 AD DS에 성공적으로 백업하지 않고도 드라이브를 BitLocker로 보호할 수 있습니다. 그러나 BitLocker가 실패하면 자동으로 백업을 다시 시도하지 않습니다. 대신 관리자는 컴퓨터가 도메인에 가입하기 전에 컴퓨터에서 BitLocker를 사용하도록 설정하면 어떻게 되나요?의 앞부분에서 설명한 대로 백업 스크립트를 만들어 연결이 복원된 후 정보를 캡처할 수 있습니다.

BitLocker는 구성 가능한 키 길이가 128비트 또는 256비트인 암호화 알고리즘으로 AES(Advanced Encryption Standard)를 사용합니다. 기본 암호화 설정은 AES-128이지만 정책 설정을 사용하여 옵션을 구성할 수 있습니다.

운영 체제 드라이브의 BitLocker 구성에 권장되는 방법은 TPM 버전 1.2 이상이 있는 컴퓨터에서 BitLocker를 구현하는 것입니다.

운영 체제 드라이브의 BitLocker는 기본 구성에서 최대 절전 모드에 대한 추가 보안을 제공합니다. 절전 모드에서는 보호되지 않은 데이터가 RAM에 남아 있기 때문에 컴퓨터가 직접 메모리 액세스 공격에 취약합니다. 따라서 보안 향상을 위해 절전 모드를 사용하지 않도록 설정하는 것이 좋습니다. 정책 설정을 사용하여 시작 인증을 구성할 수 있습니다.

대부분의 운영 체제에서는 공유 메모리 공간을 사용하며 운영 체제 자체에서 실제 메모리를 관리합니다. TPM은 자체 내부 펌웨어 및 논리 회로를 사용해 명령을 처리하는 하드웨어 구성 요소이므로 외부 소프트웨어 취약성으로부터 하드웨어를 보호합니다. TPM을 공격하려면 컴퓨터에 물리적으로 액세스할 수 있어야 합니다. 또한 하드웨어를 공격하는 데 필요한 도구와 기술은 비용이 많이 드는 경우가 많으며, 일반적으로 소프트웨어를 공격하는 데 사용되는 도구만큼 사용할 수 없습니다. 그리고 각 TPM은 포함된 컴퓨터마다 고유하므로 여러 TPM 컴퓨터를 공격하기 어렵고 시간이 많이 걸립니다.

BitLocker 네트워크 잠금 해제를 사용하면 도메인 환경에서 TPM+PIN 보호 방법을 사용하는 BitLocker 사용 클라이언트 및 서버에 대해 더 쉽게 관리할 수 있습니다. 유선 회사 네트워크에 연결된 컴퓨터가 다시 부팅될 때 네트워크 잠금 해제를 사용하면 PIN 항목 프롬프트를 무시할 수 있습니다. 또한 Windows 배포 서비스 서버에서 보조 인증 방법으로 제공하는 신뢰할 수 있는 키를 사용하여 BitLocker 보호 운영 체제 볼륨을 자동으로 잠금 해제합니다.

네트워크 잠금 해제를 사용하려면 컴퓨터에 대해 PIN을 구성해야 합니다. 컴퓨터가 네트워크에 연결되지 않은 경우 잠금을 해제하려면 PIN을 제공해야 합니다.

BitLocker 네트워크 잠금 해제에는 클라이언트 컴퓨터, Windows 배포 서비스 및 도메인 컨트롤러를 사용하려면 먼저 충족해야 하는 소프트웨어 및 하드웨어 요구 사항이 있습니다.

네트워크 잠금 해제는 두 개의 보호기인 TPM 보호기와 네트워크 또는 PIN에서 제공하는 보호기를 사용합니다. 자동 잠금 해제는 TPM에 저장된 보호기 하나를 사용합니다. 컴퓨터가 키 보호기 없이 네트워크에 조인된 경우 PIN을 입력하라는 메시지가 표시됩니다. PIN을 사용할 수 없는 경우 복구 키를 사용하여 네트워크에 연결할 수 없는 경우 컴퓨터의 잠금을 해제해야 합니다.

자세한 내용은 BitLocker: 네트워크의 잠금 해제를 사용하는 방법을 참조하세요.

예, EFS(파일 시스템 암호화)를 사용하여 BitLocker로 보호된 드라이브에서 파일을 암호화할 수 있습니다. BitLocker는 전체 운영 체제 드라이브를 오프라인 공격으로부터 보호하는 데 도움이 되는 반면, EFS는 동일한 컴퓨터의 여러 사용자 간에 보안 분리를 위해 추가 사용자 기반 파일 수준 암호화를 제공할 수 있습니다. EFS는 Windows에서 BitLocker로 암호화되지 않은 다른 드라이브의 파일을 암호화하는 데 사용할 수도 있습니다. EFS의 루트 비밀은 기본적으로 운영 체제 드라이브에 저장됩니다. 따라서 운영 체제 드라이브에 BitLocker를 사용하도록 설정하면 다른 드라이브의 EFS로 암호화된 데이터도 BitLocker로 간접적으로 보호됩니다.

예. 단, BitLocker를 사용하도록 설정하기 전에 디버거를 설정해야 합니다. 디버거를 설정하면 TPM으로 봉인할 때 정확한 측정값이 계산되므로 컴퓨터가 정상적으로 시작됩니다. BitLocker를 사용할 때 디버깅을 설정하거나 해제해야 하는 경우 컴퓨터를 복구 모드로 전환하지 않도록 BitLocker를 먼저 일시 중단해야 합니다.

BitLocker에 포함된 저장소 드라이버 스택은 BitLocker를 사용하도록 설정할 때 메모리 덤프가 암호화되도록 합니다.

BitLocker는 부팅 전 인증을 위한 스마트 카드를 지원하지 않습니다. 펌웨어에는 스마트 카드 지원에 대한 업계 표준이 하나도 없으며 대부분의 컴퓨터는 스마트 카드에 대한 펌웨어 지원을 구현하지 않거나 특정 스마트 카드 및 판독기만 지원합니다. 이러한 표준화가 부족하면 지원하기가 어려워집니다.

Microsoft는 타사 TPM 드라이버를 지원하지 않으며 BitLocker와 함께 사용하지 않는 것이 좋습니다. BitLocker에서 타사 TPM 드라이버를 사용하려고 하면 BitLocker에서 TPM이 컴퓨터에 없고 TPM을 BitLocker와 함께 사용할 수 없다고 보고할 수 있습니다.

몇 가지 보안, 안정성 및 제품 지원 이유로 운영 체제 드라이브가 BitLocker로 보호되는 컴퓨터에서는 master 부팅 레코드를 수정하지 않는 것이 좋습니다. MBR(master 부팅 레코드)을 변경하면 보안 환경이 변경되고 컴퓨터가 정상적으로 시작되지 않을 수 있으며 손상된 MBR에서 복구하려는 작업이 복잡해질 수 있습니다. Windows 이외의 수단으로 MBR을 변경하면 컴퓨터가 복구 모드로 강제 지정되거나 전혀 부팅되지 않을 수 있습니다.

시스템 검사 컴퓨터의 BIOS 또는 UEFI 펌웨어가 BitLocker와 호환되고 TPM이 올바르게 작동하는지 확인하도록 설계되었습니다. 다음과 같은 여러 가지 이유로 시스템 검사에 실패할 수 있습니다.

• 컴퓨터의 BIOS 또는 UEFI 펌웨어가 USB 플래시 드라이브를 읽을 수 없습니다.
• 컴퓨터의 BIOS, uEFI 펌웨어 또는 부팅 메뉴에 USB 플래시 드라이브를 읽을 수 없습니다.
• 컴퓨터에 여러 USB 플래시 드라이브가 삽입되어 있습니다.
• PIN이 올바르게 입력되지 않았습니다.
• 컴퓨터의 BIOS 또는 UEFI 펌웨어는 함수 키(F1-F10)를 사용하여 부팅 전 환경에서 숫자를 입력하는 것만 지원합니다.
• 컴퓨터 다시 부팅을 완료하기 전에 시작 키가 제거되었습니다.
• TPM이 오작동하여 키 봉인을 해제하지 못했습니다.

일부 컴퓨터는 부팅 전 환경에서 USB 플래시 드라이브를 읽을 수 없습니다. 먼저 BIOS 또는 UEFI 펌웨어 및 부팅 설정을 검사 USB 드라이브 사용을 사용하도록 설정합니다. 사용하도록 설정되지 않은 경우 BIOS 또는 UEFI 펌웨어 및 부팅 설정에서 USB 드라이브를 사용하도록 설정한 다음 USB 플래시 드라이브에서 복구 키를 다시 읽으십시오. USB 플래시 드라이브를 읽을 수 없는 경우 USB 플래시 드라이브에서 복구 키를 읽으려는 운영 체제가 있도록 하드 드라이브를 다른 컴퓨터의 데이터 드라이브로 탑재해야 합니다. USB 플래시 드라이브가 손상되었거나 손상된 경우 복구 암호를 제공하거나 AD DS에 백업된 복구 정보를 사용해야 할 수 있습니다. 또한 사전 부팅 환경에서 복구 키를 사용하는 경우 NTFS, FAT16 또는 FAT32 파일 시스템을 사용하여 드라이브의 형식을 지정해야 합니다.

USB에 저장 옵션은 이동식 드라이브에 대해 기본적으로 표시되지 않습니다. 이 옵션을 사용할 수 없는 경우 시스템 관리자가 복구 키 사용을 허용하지 않도록 설정한 것입니다.

고정 데이터 드라이브에 대한 자동 잠금 해제를 사용하려면 운영 체제 드라이브도 BitLocker로 보호해야 합니다. BitLocker로 보호된 운영 체제 드라이브가 없는 컴퓨터를 사용하는 경우 고정 드라이브의 잠금을 자동으로 해제할 수 없습니다. 이동식 데이터 드라이브의 경우 Windows Explorer 드라이브를 마우스 오른쪽 단추로 클릭하고 BitLocker 관리를 선택하여 자동 잠금 해제를 추가할 수 있습니다. BitLocker가 켜져 있을 때 제공된 암호 또는 스마트 카드 자격 증명은 다른 컴퓨터에서 이동식 드라이브의 잠금을 해제하는 데 계속 사용할 수 있습니다.

안전 모드에서는 일부 BitLocker 기능을 사용할 수 있습니다. BitLocker 드라이브 암호화 제어판 항목을 사용하여 BitLocker로 보호되는 드라이브의 잠금을 해제하고 암호를 해독할 수 있습니다. Windows Explorer BitLocker 옵션에 액세스하려면 마우스 오른쪽 단추를 클릭해도 안전 모드에서는 사용할 수 없습니다.

Manage-bde 명령줄 도구와 -lock 명령을 사용하여 고정 및 이동식 데이터 드라이브를 모두 잠글 수 있습니다.

이 명령의 구문은 다음과 같습니다.

manage-bde.exe <driveletter> -lock

이 명령을 사용하는 경우 외에 운영 체제를 종료하고 다시 시작할 때도 데이터 드라이브가 잠깁니다. 이동식 데이터 드라이브는 컴퓨터에서 드라이브를 제거할 때도 자동으로 잠깁니다.

예. 그러나 BitLocker를 사용하도록 설정하기 전에 작성된 섀도 복사본은 소프트웨어로 암호화된 드라이브에서 BitLocker를 사용하도록 설정하면 자동으로 삭제됩니다. 하드웨어 암호화 드라이브를 사용하는 경우 섀도 복사본이 유지됩니다.

BitLocker는 환경(물리적 또는 가상)이 Windows 운영 체제 요구 사항을 충족하는 한 하드웨어 제한 내에서 특정 물리적 컴퓨터처럼 작동해야 합니다.

• TPM: 예, 지원됩니다.
• TPM이 없는 경우: 예, 지원됩니다(암호 보호기 사용).

BitLocker는 클러스터에서 사용하는 것과 같은 데이터 볼륨 VHD에서도 지원됩니다.

예, 환경이 BitLocker의 하드웨어 및 소프트웨어 요구 사항을 충족하는 경우 VM(가상 머신)과 함께 BitLocker를 사용할 수 있습니다.