MBAM 2.5 보안 고려 사항
이 항목에는 Microsoft BitLocker 관리 및 모니터링(MBAM)을 보호하는 방법에 대한 다음 정보가 포함되어 있습니다.
TPM을 에스크로하고 OwnerAuth 암호를 저장하도록 MBAM 구성
참고 Windows 10 버전 1607 이상에서는 Windows만 TPM의 소유권을 보유할 수 있습니다. 또한 Windows는 TPM을 프로비전할 때 TPM 소유자 암호를 유지하지 않습니다. 자세한 내용은 TPM 소유자 암호를 참조하세요.
구성에 따라 TPM(신뢰할 수 있는 플랫폼 모듈)은 잘못된 암호가 너무 많이 입력된 경우와 같은 특정 상황에서 자체적으로 잠기며 일정 기간 동안 잠겨 있을 수 있습니다. TPM 잠금 중에 BitLocker는 잠금 해제 또는 암호 해독 작업을 수행하기 위해 암호화 키에 액세스할 수 없으므로 사용자가 BitLocker 복구 키를 입력하여 운영 체제 드라이브에 액세스해야 합니다. TPM 잠금을 다시 설정하려면 TPM OwnerAuth 암호를 제공해야 합니다.
MBAM은 TPM을 소유하거나 암호를 에스크로하는 경우 MBAM 데이터베이스에 TPM OwnerAuth 암호를 저장할 수 있습니다. 그러면 TPM 잠금에서 복구해야 하는 경우 관리 및 모니터링 웹 사이트에서 OwnerAuth 암호에 쉽게 액세스할 수 있으므로 잠금이 자체적으로 해결될 때까지 기다릴 필요가 없습니다.
Windows 8 이상에서 TPM OwnerAuth 에스크로킹
참고 Windows 10 버전 1607 이상에서는 Windows만 TPM의 소유권을 보유할 수 있습니다. addiiton에서 Windows는 TPM을 프로비전할 때 TPM 소유자 암호를 유지하지 않습니다. 자세한 내용은 TPM 소유자 암호를 참조하세요.
Windows 8 이상에서 MBAM은 더 이상 OwnerAuth를 로컬 컴퓨터에서 사용할 수 있는 한 OwnerAuth 암호를 저장하기 위해 TPM을 소유하지 않아야 합니다.
MBAM에서 에스크로를 사용하도록 설정한 다음 TPM OwnerAuth 암호를 저장하려면 이러한 그룹 정책 설정을 구성해야 합니다.
| 그룹 정책 설정 | 구성 |
|---|---|
TPM 백업을 켜서 Active Directory Domain Services |
사용 안 함 또는 구성되지 않음 |
운영 체제에서 사용할 수 있는 TPM 소유자 권한 부여 정보 수준 구성 |
위임됨/없음 또는 구성되지 않음 |
이러한 그룹 정책 설정의 위치는 컴퓨터 구성>관리 템플릿>시스템>신뢰할 수 있는 플랫폼 모듈 서비스입니다.
참고 Windows는 MBAM이 이러한 설정을 사용하여 성공적으로 에스크로 처리한 후 OwnerAuth를 로컬로 제거합니다.
Windows 7에서 TPM OwnerAuth 에스크로킹
Windows 7에서 MBAM은 TPM을 소유하여 MBAM 데이터베이스에서 TPM OwnerAuth 정보를 자동으로 에스크로해야 합니다. MBAM이 TPM을 소유하지 않는 경우 MBAM AD(Active Directory) 데이터 가져오기 cmdlet을 사용하여 Active Directory에서 MBAM 데이터베이스로 TPM OwnerAuth를 복사해야 합니다.
MBAM Active Directory 데이터 가져오기 cmdlet
MBAM Active Directory 데이터 가져오기 cmdlet을 사용하면 Active Directory에 저장된 복구 키 패키지 및 OwnerAuth 암호를 검색할 수 있습니다.
MBAM 2.5 SP1 서버는 Active Directory에 저장된 볼륨 복구 및 TPM 소유자 정보로 MBAM 데이터베이스를 미리 채우는 4개의 PowerShell cmdlet과 함께 제공합니다.
Volume Recovery 키 및 패키지의 경우:
Read-ADRecoveryInformation
Write-MbamRecoveryInformation
TPM 소유자 정보:
Read-ADTpmInformation
Write-MbamTpmInformation
컴퓨터에 사용자를 연결하려면 다음을 수행합니다.
- Write-MbamComputerUser
Read-AD* cmdlet은 Active Directory에서 정보를 읽습니다. Write-Mbam* cmdlet은 데이터를 MBAM 데이터베이스로 푸시합니다. 구문, 매개 변수 및 예제를 포함하여 이러한 cmdlet에 대한 자세한 내용은 Microsoft Bitlocker 관리 및 모니터링 2.5에 대한 Cmdlet 참조 를 참조하세요.
사용자-컴퓨터 연결 만들기: MBAM Active Directory 데이터 가져오기 cmdlet은 Active Directory에서 정보를 수집하고 MBAM 데이터베이스에 데이터를 삽입합니다. 그러나 사용자는 볼륨에 연결하지 않습니다. Add-ComputerUser.ps1 PowerShell 스크립트를 다운로드하여 사용자가 관리 및 모니터링 웹 사이트를 통해 또는 복구를 위해 Self-Service 포털을 사용하여 컴퓨터에 다시 액세스할 수 있도록 하는 사용자-컴퓨터 연결을 만들 수 있습니다. Add-ComputerUser.ps1 스크립트는 AD(Active Directory), AD의 개체 소유자 또는 사용자 지정 CSV 파일의 Managed By 특성에서 데이터를 수집합니다. 그런 다음 검색된 사용자를 복구 정보 파이프라인 개체에 추가합니다. 이 개체는 복구 데이터베이스에 데이터를 삽입하기 위해 Write-MbamRecoveryInformation 전달되어야 합니다.
Microsoft 다운로드 센터에서 Add-ComputerUser.ps1 PowerShell 스크립트를 다운로드합니다.
cmdlet 및 스크립트를 사용하는 방법의 예제를 포함하여 스크립트에 대한 도움말을 얻기 위해 도움말 Add-ComputerUser.ps1지정할 수 있습니다.
MBAM 서버를 설치한 후 사용자-컴퓨터 연결을 만들려면 Write-MbamComputerUser PowerShell cmdlet을 사용합니다. Add-ComputerUser.ps1 PowerShell 스크립트와 마찬가지로 이 cmdlet을 사용하면 Self-Service Portal을 사용하여 지정된 컴퓨터에 대한 TPM OwnerAuth 정보 또는 볼륨 복구 암호를 가져올 수 있는 사용자를 지정할 수 있습니다.
참고 MBAM 에이전트는 해당 컴퓨터가 서버에 보고하기 시작하면 사용자-컴퓨터 연결을 재정의합니다.
필수 구성 요소: Read-AD* cmdlet은 도메인 관리자와 같이 권한이 높은 사용자 계정으로 실행되거나 정보에 대한 읽기 액세스 권한을 부여받은 사용자 지정 보안 그룹의 계정으로 실행되는 경우에만 AD에서 정보를 검색할 수 있습니다(권장).
BitLocker 드라이브 암호화 작업 가이드: AD DS를 사용하여 암호화된 볼륨을 복구하면 AD 정보에 대한 읽기 권한이 있는 사용자 지정 보안 그룹(또는 여러 그룹)을 만드는 방법에 대한 세부 정보가 제공됩니다.
MBAM 복구 및 하드웨어 웹 서비스 쓰기 권한: Write-Mbam* cmdlet은 복구 또는 TPM 정보를 게시하는 데 사용되는 MBAM 복구 및 하드웨어 서비스의 URL을 허용합니다. 일반적으로 도메인 컴퓨터 서비스 계정만 MBAM 복구 및 하드웨어 서비스와 통신할 수 있습니다. MBAM 2.5 SP1에서는 구성원이 도메인 컴퓨터 서비스 계정 검사를 바이패스할 수 있는 DataMigrationAccessGroup이라는 보안 그룹을 사용하여 MBAM 복구 및 하드웨어 서비스를 구성할 수 있습니다. Write-Mbam* cmdlet은 구성된 이 그룹에 속한 사용자로 실행되어야 합니다. (또는 Write-Mbam* cmdlet에서 –Credential 매개 변수를 사용하여 구성된 그룹에 있는 개별 사용자의 자격 증명을 지정할 수 있습니다.)
다음 방법 중 하나로 이 보안 그룹의 이름으로 MBAM 복구 및 하드웨어 서비스를 구성할 수 있습니다.
Enable-MbamWebApplication –AgentService Powershell cmdlet의 -DataMigrationAccessGroup 매개 변수에 보안 그룹(또는 개인)의 이름을 제공합니다.
inetpub>\Microsoft Bitlocker Management Solution\Recovery 및 Hardware Service\ 폴더의 <web.config 파일을 편집하여 MBAM 복구 및 하드웨어 서비스를 설치한 후 그룹을 구성합니다.
<add key="DataMigrationUsersGroupName" value="<groupName>|<empty>" />여기서 <groupName> 은 Active Directory에서 데이터 마이그레이션을 허용하는 데 사용할 도메인 및 그룹 이름(또는 개별 사용자)으로 바뀝니다.
IIS 관리자의 구성 편집기를 사용하여 이 appSetting을 편집합니다.
다음 예제에서 명령은 ADRecoveryInformation 그룹과 Data Migration Users 그룹의 멤버로 실행될 때 contoso.com 도메인의 WORKSTATIONS OU(조직 구성 단위)에 있는 컴퓨터에서 볼륨 복구 정보를 끌어와 mbam.contoso.com 서버에서 실행되는 MBAM 복구 및 하드웨어 서비스를 사용하여 MBAM에 씁니다.
PS C:\> Read-ADRecoveryInformation -Server contoso.com -SearchBase "OU=WORKSTATIONS,DC=CONTOSO,DC=COM" | Write-MbamRecoveryInformation -RecoveryServiceEndPoint "https://mbam.contoso.com/MBAMRecoveryAndHardwareService/CoreService.svc"
Read-AD* cmdlet은 복구 또는 TPM 정보를 쿼리하기 위해 Active Directory 호스팅 서버 컴퓨터의 이름 또는 IP 주소를 허용합니다. 컴퓨터 개체가 있는 AD 컨테이너의 고유 이름을 SearchBase 매개 변수의 값으로 제공하는 것이 좋습니다. 컴퓨터가 여러 OU에 저장된 경우 cmdlet은 파이프라인 입력을 수락하여 각 컨테이너에 대해 한 번 실행할 수 있습니다. AD 컨테이너의 고유 이름은 OU=Machines, DC=contoso, DC=com과 유사합니다. 특정 컨테이너를 대상으로 하는 검색을 수행하면 다음과 같은 이점이 제공됩니다.
컴퓨터 개체에 대한 큰 AD 데이터 세트를 쿼리하는 동안 시간 제한의 위험을 줄입니다.
백업이 필요하거나 필요하지 않을 수 있는 데이터 센터 서버 또는 다른 컴퓨터 클래스가 포함된 OU를 생략할 수 있습니다.
또 다른 옵션은 지정된 SearchBase 또는 전체 도메인 아래의 모든 컨테이너에서 컴퓨터 개체를 검색하는 선택적 SearchBase를 사용하거나 사용하지 않고 –Recurse 플래그를 제공하는 것입니다. -Recurse 플래그를 사용하는 경우 -MaxPageSize 매개 변수를 사용하여 쿼리를 서비스하는 데 필요한 로컬 및 원격 메모리의 양을 제어할 수도 있습니다.
이러한 cmdlet은 PsObject 형식의 파이프라인 개체에 씁니다. 각 PsObject 인스턴스에는 연결된 컴퓨터 이름, 타임스탬프 및 MBAM 데이터 저장소에 게시하는 데 필요한 기타 정보가 포함된 단일 볼륨 복구 키 또는 TPM 소유자 문자열이 포함됩니다.
Write-Mbam* cmdlet은 파이프라인의 복구 정보 매개 변수 값을 속성 이름으로 허용합니다. 이렇게 하면 Write-Mbam* cmdlet이 Read-AD* cmdlet의 파이프라인 출력을 수락할 수 있습니다(예: Read-ADRecoveryInformation –Server contoso.com –Recurse | Write-MbamRecoveryInformation –RecoveryServiceEndpoint mbam.contoso.com).
Write-Mbam* cmdlet에는 내결함성, 자세한 정보 로깅 및 WhatIf 및 Confirm에 대한 기본 설정에 대한 옵션을 제공하는 선택적 매개 변수가 포함됩니다.
Write-Mbam* cmdlet에는 값이 DateTime 개체인 선택적 Time 매개 변수도 포함됩니다. 이 개체에는 설정할 Local수 있는 Kind 특성 또는 UTCUnspecified. Active Directory에서 가져온 데이터에서 Time 매개 변수가 채워지면 시간이 UTC로 변환되고 이 Kind 특성이 자동으로 설정 UTC됩니다. 그러나 텍스트 파일과 같은 다른 원본을 사용하여 Time 매개 변수를 채울 때 Kind 특성을 적절한 값으로 명시적으로 설정해야 합니다.
참고 Read-AD* cmdlet에는 컴퓨터 사용자를 나타내는 사용자 계정을 검색할 수 없습니다. 사용자 계정 연결은 다음을 위해 필요합니다.
Self-Service 포털을 사용하여 볼륨 암호/패키지를 복구하는 사용자
설치 중에 정의된 대로 MBAM 고급 기술 지원팀 사용자 보안 그룹에 없는 사용자는 다른 사용자를 대신하여 복구합니다.
잠금 후 TPM의 잠금을 자동으로 해제하도록 MBAM 구성
잠금 시 TPM의 잠금을 자동으로 해제하도록 MBAM 2.5 SP1을 구성할 수 있습니다. TPM 잠금 자동 재설정을 사용하도록 설정하면 MBAM에서 사용자가 잠겨 있음을 감지한 다음 MBAM 데이터베이스에서 OwnerAuth 암호를 가져와서 사용자에 대한 TPM의 잠금을 자동으로 해제할 수 있습니다. TPM 잠금 자동 재설정은 셀프 서비스 포털 또는 관리 및 모니터링 웹 사이트를 사용하여 해당 컴퓨터의 OS 복구 키를 검색한 경우에만 사용할 수 있습니다.
중요 TPM 잠금 자동 재설정을 사용하도록 설정하려면 서버 쪽과 클라이언트 쪽의 그룹 정책 이 기능을 구성해야 합니다.
클라이언트 쪽에서 TPM 잠금 자동 재설정을 사용하도록 설정하려면 컴퓨터 구성관리 템플릿>Windows 구성 요소>MDOP MBAM>클라이언트 관리에 있는 그룹 정책 설정 "TPM 잠금 자동 재설정 구성>"을 구성합니다.
서버 쪽에서 TPM 잠금 자동 재설정을 사용하도록 설정하려면 설치하는 동안 MBAM 서버 구성 마법사에서 "TPM 잠금 자동 재설정 사용"을 확인할 수 있습니다.
에이전트 서비스 웹 구성 요소를 사용하도록 설정하는 동안 "-TPM 잠금 자동 재설정" 스위치를 지정하여 PowerShell에서 TPM 잠금 자동 재설정을 사용하도록 설정할 수도 있습니다.
사용자가 셀프 서비스 포털 또는 관리 및 모니터링 웹 사이트에서 가져온 BitLocker 복구 키를 입력하면 MBAM 에이전트는 TPM이 잠겨 있는지 확인합니다. 잠긴 경우 MBAM 데이터베이스에서 컴퓨터에 대한 TPM OwnerAuth를 검색하려고 시도합니다. TPM OwnerAuth가 성공적으로 검색되면 TPM의 잠금을 해제하는 데 사용됩니다. TPM의 잠금을 해제하면 TPM이 완벽하게 작동하며 사용자는 TPM 잠금에서 후속 재부팅 중에 복구 암호를 입력하도록 강요받지 않습니다.
TPM 잠금 자동 재설정은 기본적으로 사용하지 않도록 설정됩니다.
참고 TPM 잠금 자동 재설정은 TPM 버전 1.2를 실행하는 컴퓨터에서만 지원됩니다. TPM 2.0은 기본 제공 잠금 자동 재설정 기능을 제공합니다.
복구 감사 보고서에는 TPM 잠금 자동 재설정과 관련된 이벤트가 포함됩니다. MBAM 클라이언트에서 TPM OwnerAuth 암호를 검색하도록 요청하면 복구를 나타내는 이벤트가 기록됩니다. 감사 항목에는 다음 이벤트가 포함됩니다.
| 항목 | 값 |
|---|---|
감사 요청 원본 |
에이전트 TPM 잠금 해제 |
키 유형 |
TPM 암호 해시 |
이유 설명 |
TPM 재설정 |
SQL Server 대한 보안 연결
MBAM에서 SQL Server 관리 및 모니터링 웹 사이트 및 Self-Service 포털용 웹 서비스와 SQL Server Reporting Services 통신합니다. SQL Server 통신을 보호하는 것이 좋습니다. 자세한 내용은 SQL Server 대한 연결 암호화를 참조하세요.
MBAM 웹 사이트 보안에 대한 자세한 내용은 MBAM 웹 사이트를 보호하는 방법 계획을 참조하세요.
계정 및 그룹 만들기
사용자 계정을 관리하는 모범 사례는 도메인 전역 그룹을 만들고 사용자 계정을 추가하는 것입니다. 권장되는 계정 및 그룹에 대한 설명은 MBAM 2.5 그룹 및 계정에 대한 계획을 참조하세요.
MBAM 로그 파일 사용
이 섹션에서는 MBAM 서버 및 MBAM 클라이언트 로그 파일에 대해 설명합니다.
MBAM 서버 설정 로그 파일
MBAMServerSetup.exe 파일은 MBAM 설치 중에 사용자의 %temp% 폴더에 다음 로그 파일을 생성합니다.
<Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>
MBAM 설치 및 MBAM 서버 기능 구성 중에 수행된 작업을 기록합니다.
<Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log
설치하는 동안 수행된 추가 작업을 기록합니다.
MBAM 서버 구성 로그 파일
애플리케이션 및 서비스 로그/Microsoft Windows/MBAM-Setup
Windows Powershell cmdlet 또는 MBAM 서버 구성 마법사를 사용하여 MBAM 서버 기능을 구성할 때 발생하는 오류를 기록합니다.
MBAM 클라이언트 설정 로그 파일
MSI<5개의 임의 문자>.log
MBAM 클라이언트 설치 중에 수행된 작업을 기록합니다.
MBAM-웹 로그 파일
- 웹 포털 및 서비스의 활동을 표시합니다.
MBAM 데이터베이스 TDE 고려 사항 검토
SQL Server 사용할 수 있는 TDE(투명한 데이터 암호화) 기능은 MBAM 데이터베이스 기능을 호스트할 데이터베이스 인스턴스에 대한 선택적 설치입니다.
TDE를 사용하면 실시간 전체 데이터베이스 수준 암호화를 수행할 수 있습니다. TDE는 규정 준수 또는 회사 데이터 보안 표준을 충족하기 위해 대량 암호화를 위한 최적의 선택입니다. TDE는 EFS(파일 시스템 암호화) 및 BitLocker 드라이브 암호화라는 두 가지 Windows 기능과 유사한 파일 수준에서 작동합니다. 두 기능 모두 하드 드라이브의 데이터를 암호화합니다. TDE는 셀 수준 암호화, EFS 또는 BitLocker를 대체하지 않습니다.
데이터베이스에서 TDE를 사용하도록 설정하면 모든 백업이 암호화됩니다. 따라서 데이터베이스 암호화 키를 보호하는 데 사용된 인증서가 백업되고 데이터베이스 백업과 함께 유지 관리되도록 특별히 주의해야 합니다. 이 인증서(또는 인증서)가 손실되면 데이터를 읽을 수 없게 됩니다.
데이터베이스를 사용하여 인증서를 백업합니다. 각 인증서 백업에는 두 개의 파일이 있어야 합니다. 이러한 파일은 모두 보관해야 합니다. 보안을 위해 데이터베이스 백업 파일과 별도로 백업해야 합니다. 또는 TDE에 사용되는 키의 스토리지 및 유지 관리를 위해 EKM(확장 가능 키 관리) 기능(확장 가능 키 관리 참조)을 사용하는 것이 좋습니다.
MBAM 데이터베이스 인스턴스에 대해 TDE를 사용하도록 설정하는 방법의 예는 TDE(투명한 데이터 암호화) 이해를 참조하세요.
일반적인 보안 고려 사항 이해
보안 위험을 이해합니다. Microsoft BitLocker 관리 및 모니터링을 사용할 때 가장 심각한 위험은 권한이 없는 사용자가 해당 기능을 손상할 수 있다는 것입니다. 그러면 BitLocker 드라이브 암호화를 다시 구성하고 MBAM 클라이언트에서 BitLocker 암호화 키 데이터를 얻을 수 있습니다. 그러나 서비스 거부 공격으로 인해 짧은 기간 동안 MBAM 기능이 손실되는 것은 일반적으로 전자 메일 또는 네트워크 통신 또는 전원 손실과 달리 치명적인 영향을 미치지 않습니다.
컴퓨터를 물리적으로 보호합니다. 물리적 보안이 없으면 보안이 없습니다. MBAM 서버에 물리적으로 액세스하는 공격자는 잠재적으로 이를 사용하여 전체 클라이언트 기반을 공격할 수 있습니다. 모든 잠재적 물리적 공격은 높은 위험으로 간주되고 적절하게 완화되어야 합니다. MBAM 서버는 제어된 액세스 권한이 있는 보안 서버 룸에 저장해야 합니다. 운영 체제에서 컴퓨터를 잠그거나 보안 화면 보호기를 사용하여 관리자가 물리적으로 존재하지 않는 경우 이러한 컴퓨터를 보호합니다.
모든 컴퓨터에 최신 보안 업데이트를 적용합니다. Security TechCenter에서 보안 알림 서비스를 구독하여 Windows 운영 체제, SQL Server 및 MBAM에 대한 새 업데이트에 대한 정보를 확인하세요.
강력한 암호를 사용하거나 구를 전달합니다. 모든 MBAM 관리자 계정에 대해 항상 15자 이상의 문자가 있는 강력한 암호를 사용합니다. 빈 암호를 사용하지 마세요. 암호 개념에 대한 자세한 내용은 암호 정책을 참조하세요.
관련 항목
MBAM에 대한 제안이 있나요?
MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.