MBAM 2.5 그룹 정책 요구 사항 계획
다음 정보를 사용하여 엔터프라이즈에서 Microsoft BitLocker 관리 및 모니터링(MBAM) 클라이언트 컴퓨터를 관리하는 데 사용할 수 있는 BitLocker 보호기의 유형을 확인합니다.
MBAM에서 지원하는 BitLocker 보호기 유형
MBAM은 다음과 같은 유형의 BitLocker 보호기를 지원합니다.
| 드라이브 또는 볼륨 유형 | 지원되는 BitLocker 보호기 |
|---|---|
| 운영 체제 볼륨 |
-
TPM(신뢰할 수 있는 플랫폼 모듈) - TPM + PIN - TPM + USB 키 - MBAM이 설치되기 전에 운영 체제 볼륨이 암호화된 경우에만 지원됩니다. - TPM + PIN + USB 키 - MBAM이 설치되기 전에 운영 체제 볼륨이 암호화된 경우에만 지원됩니다. - 암호 - TPM이 없는 Windows To Go 디바이스, 고정 데이터 드라이브 및 Windows 8, Windows 8.1 및 Windows 10 디바이스에만 지원됩니다. - 숫자 암호 - 볼륨 암호화의 일부로 자동으로 적용되며 Windows 7의 FIPS 모드를 제외하고 구성할 필요가 없습니다. - DRA(데이터 복구 에이전트) |
| 고정 데이터 드라이브 |
-
암호 - 자동 잠금 해제 - 숫자 암호 - 볼륨 암호화의 일부로 자동으로 적용되며 Windows 7의 FIPS 모드를 제외하고 구성할 필요가 없습니다. - DRA(데이터 복구 에이전트) |
| 이동식 드라이브 |
-
암호 - 자동 잠금 해제 - 숫자 암호 - 볼륨 암호화의 일부로 자동으로 적용되며 구성할 필요가 없습니다. - DRA(데이터 복구 에이전트) |
사용된 공간 암호화 BitLocker 정책 지원
MBAM 2.5 SP1에서 BitLocker 그룹 정책을 통해 사용된 공간 암호화를 사용하도록 설정하면 MBAM 클라이언트가 이를 적용합니다.
이 그룹 정책 설정을 운영 체제 드라이브에 드라이브 암호화 유형 적용이라고 하며 컴퓨터 구성관리 템플릿>Windows 구성> 요소 >BitLocker 드라이브 암호화>운영 체제 드라이브의 GPO 노드에 있습니다. 이 정책을 사용하도록 설정하고 암호화 유형을 사용된 공간 전용 암호화로 선택하는 경우 MBAM은 정책을 적용하고 BitLocker는 볼륨에 사용되는 디스크 공간만 암호화합니다.
MBAM 그룹 정책 템플릿을 가져와서 설정을 편집하는 방법
원하는 MBAM 그룹 정책 설정을 구성할 준비가 되면 다음 단계를 수행합니다.
MDOP 그룹 정책 템플릿에서 MBAM 그룹 정책 템플릿을 복사하고 GPMC(그룹 정책 관리 콘솔) 또는 AGPM(고급 그룹 정책 관리)을 실행할 수 있는 컴퓨터에 설치합니다. 자세한 내용은 MBAM 2.5 그룹 정책 템플릿 복사를 참조하세요.
엔터프라이즈에서 사용할 그룹 정책 설정을 구성합니다. 자세한 내용은 MBAM 2.5 그룹 정책 설정 편집을 참조하세요.
MBAM 그룹 정책 설정에 대한 설명
MDOP MBAM(BitLocker Management) GPO 노드에는 4개의 전역 정책 설정과 4개의 자식 GPO 노드(클라이언트 관리, 고정 드라이브, 운영 체제 드라이브 및 이동식 드라이브)가 포함됩니다. 다음 섹션에서는 MBAM 그룹 정책 설정에 대한 설정을 설명하고 제안합니다.
중요
BitLocker 드라이브 암호화 노드에서 그룹 정책 설정을 변경하지 마세요. 그렇지 않으면 MBAM이 제대로 작동하지 않습니다. MBAM은 MDOP MBAM(BitLocker Management) 노드에서 설정을 구성할 때 이 노드의 설정을 자동으로 구성합니다.
전역 그룹 정책 정의
이 섹션에서는 다음 GPO 노드의 MBAM 전역 그룹 정책 정의에 대해 설명합니다. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>MDOP MBAM(BitLocker Management).
| 정책 이름 | 개요 및 제안된 그룹 정책 설정 |
|---|---|
| 드라이브 암호화 방법 및 암호 강도 선택 |
제안된 구성:사용 특정 암호화 방법 및 암호 강도를 사용하도록 이 정책을 구성합니다. 이 정책이 구성되지 않은 경우 BitLocker는 기본 암호화 방법인 Diffuser와 함께 AES 128비트 를 사용합니다. 참고: BitLocker 컴퓨터 준수 보고서의 문제로 인해 기본값을 사용하는 경우에도 암호 강도에 대해 "알 수 없음"이 표시됩니다. 이 문제를 해결하려면 이 설정을 사용하도록 설정하고 암호 강도 값을 설정해야 합니다. - Diffuser를 사용하는 AES 128비트 - Windows 7 전용 - Windows 8, Windows 8.1, Windows 10 및 Windows 11용 AES 128 |
| 다시 시작할 때 메모리 덮어쓰기 방지 |
제안된 구성:구성되지 않음 다시 시작할 때 메모리에서 BitLocker 비밀을 덮어쓰지 않고 다시 시작 성능을 개선하도록 이 정책을 구성합니다. 이 정책을 구성하지 않으면 컴퓨터가 다시 시작될 때 BitLocker 비밀이 메모리에서 제거됩니다. |
| 스마트 카드 인증서 사용 규칙 유효성 검사 |
제안된 구성:구성되지 않음 스마트 카드 인증서 기반 BitLocker 보호를 사용하도록 이 정책을 구성합니다. 이 정책을 구성하지 않으면 기본 개체 식별자를 1.3.6.1.4.1.311.67.1.1 사용하여 인증서를 지정합니다. |
| 조직의 고유 식별자 제공 |
제안된 구성:구성되지 않음 인증서 기반 데이터 복구 에이전트 또는 BitLocker To Go 판독기를 사용하도록 이 정책을 구성합니다. 이 정책을 구성하지 않으면 식별 필드가 사용되지 않습니다. 회사에 더 높은 보안 측정값이 필요한 경우 식별 필드를 구성하여 모든 USB 디바이스에 이 필드가 설정되어 있고 이 그룹 정책 설정에 부합하는지 확인할 수 있습니다. |
클라이언트 관리 그룹 정책 정의
이 섹션에서는 다음 GPO 노드에서 MBAM에 대한 클라이언트 관리 정책 정의에 대해 설명합니다. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>MDOP MBAM(BitLocker Management)>클라이언트 관리.
다음 표에 표시된 대로 Configuration Manager 통합 토폴로지를 사용하는 경우 MBAM 서비스 > MBAM 상태 보고 서비스 엔드포인트 구성 을 사용하지 않도록 설정하는 것을 제외하고 독립 실행형 및 System Center Configuration Manager 통합 토폴로지와 동일한 그룹 정책 설정을 설정할 수 있습니다.
| 정책 이름 | 개요 및 제안된 그룹 정책 설정 |
|---|---|
| MBAM 서비스 구성 |
제안된 구성:사용 - MBAM 복구 및 하드웨어 서비스 엔드포인트: 이 설정을 사용하여 MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 설정합니다. http(s)://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩>된 포트/MBAMRecoveryAndHardwareService/CoreService.svc 예제와 유사한 엔드포인트 위치를 입력합니다. - 저장할 BitLocker 복구 정보 선택: 이 정책 설정을 사용하면 BitLocker 복구 정보를 백업하도록 키 복구 서비스를 구성할 수 있습니다. 또한 보고서를 수집하기 위한 상태 보고 서비스를 구성할 수 있습니다. 이 정책은 키 정보가 부족하여 데이터 손실을 방지하기 위해 BitLocker로 암호화된 데이터를 복구하는 관리 방법을 제공합니다. 상태 보고서 및 키 복구 작업은 자동으로 구성된 보고서 서버 위치로 자동 전송됩니다. 이 정책 설정을 구성하지 않거나 사용하지 않도록 설정하면 키 복구 정보가 저장되지 않고 상태 보고서 및 키 복구 작업이 서버에 보고되지 않습니다. 이 설정을 복구 암호 및 키 패키지로 설정하면 복구 암호 및 키 패키지가 자동으로 구성되는 키 복구 서버 위치에 자동으로 백업됩니다. - 클라이언트 확인 상태 빈도(분)를 입력합니다. 이 정책 설정은 클라이언트가 클라이언트 컴퓨터에서 BitLocker 보호 정책 및 상태를 확인하는 빈도를 관리합니다. 또한 이 정책은 클라이언트 규정 준수 상태가 서버에 저장되는 빈도를 관리합니다. 클라이언트는 클라이언트 컴퓨터에서 BitLocker 보호 정책 및 상태를 확인하고 구성된 빈도로 클라이언트 복구 키를 백업합니다. 컴퓨터의 준수 상태를 확인하는 빈도와 클라이언트 복구 키를 백업하는 빈도에 대해 회사에서 설정한 요구 사항에 따라 이 빈도를 설정합니다. - MBAM 상태 보고 서비스 엔드포인트: - 독립 실행형 토폴로지의 MBAM: MBAM 클라이언트 BitLocker 암호화 관리를 사용하도록 이 설정을 구성해야 합니다. http(s)://<MBAM 관리 및 모니터링 서버 이름>:<웹 서비스가 바인딩된> 포트/MBAMComplianceStatusService/StatusReportingService.svc 예제와 유사한 엔드포인트 위치를 입력합니다. - Configuration Manager 통합 토폴로지의 MBAM: 이 설정을 사용하지 않도록 설정합니다. |
| 사용자 예외 정책 구성 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하면 사용자에게 BitLocker 암호화 예외를 요청하도록 지시하는 웹 사이트 주소, 이메일 주소 또는 전화 번호를 구성할 수 있습니다. 이 정책 설정을 사용하도록 설정하고 웹 사이트 주소, 이메일 주소 또는 전화 번호를 제공하는 경우 BitLocker 보호에서 예외를 적용하는 방법에 대한 지침이 포함된 대화 상자가 표시됩니다. 사용자에 대해 BitLocker 암호화 예외를 사용하도록 설정하는 방법에 대한 자세한 내용은 사용자 BitLocker 암호화 예외를 관리하는 방법을 참조하세요. 이 정책 설정을 사용하지 않거나 구성하지 않으면 예외 요청 지침이 사용자에게 표시되지 않습니다. 참고: 사용자 예외는 컴퓨터가 아닌 사용자별로 관리됩니다. 여러 사용자가 동일한 컴퓨터에 로그인하고 한 사용자가 제외되지 않으면 컴퓨터가 암호화됩니다. |
| 고객 환경 개선 프로그램 구성 |
제안된 구성:사용 이 정책 설정을 사용하면 MBAM 사용자가 고객 환경 개선 프로그램에 가입하는 방법을 구성할 수 있습니다. 이 프로그램은 컴퓨터 하드웨어 및 사용자가 작업을 중단하지 않고 MBAM을 사용하는 방법에 대한 정보를 수집합니다. 이 정보는 Microsoft가 개선할 MBAM 기능을 식별하는 데 도움이 됩니다. Microsoft는 이 정보를 사용하여 MBAM 사용자를 식별하거나 연락하지 않습니다. 이 정책 설정을 사용하도록 설정하면 사용자가 고객 환경 개선 프로그램에 참여할 수 있습니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자는 고객 환경 개선 프로그램에 참가할 수 없습니다. 이 정책 설정을 구성하지 않으면 사용자는 고객 환경 개선 프로그램에 참여할 수 있습니다. |
| 보안 정책 링크에 대한 URL 제공 |
제안된 구성:사용 이 정책 설정을 사용하여 최종 사용자에게 "회사 보안 정책"이라는 링크로 표시되는 URL을 지정합니다. 링크는 회사의 내부 보안 정책을 가리키고 최종 사용자에게 암호화 요구 사항에 대한 정보를 제공합니다. MBAM에서 드라이브를 암호화하라는 메시지가 표시되면 링크가 나타납니다. 이 정책 설정을 사용하도록 설정하면 보안 정책 링크에 대한 URL을 구성할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 보안 정책 링크가 사용자에게 표시되지 않습니다. |
고정 드라이브 그룹 정책 정의
이 섹션에서는 다음 GPO 노드에서 Microsoft BitLocker 관리 및 모니터링에 대한 고정 드라이브 정책 정의에 대해 설명합니다. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>MDOP MBAM(BitLocker Management)>고정 드라이브.
| 정책 이름 | 개요 및 제안된 그룹 정책 설정 |
|---|---|
| 데이터 드라이브 암호화 설정 수정 |
제안된 구성:사용 이 정책 설정을 사용하면 고정 데이터 드라이브를 암호화해야 하는지 여부를 관리할 수 있습니다. 운영 체제 볼륨을 암호화해야 하는 경우 고정 데이터 드라이브 자동 잠금 해제 사용을 선택합니다. 이 정책을 사용하도록 설정하면 고정 데이터 드라이브에 대해 자동 잠금을 사용하도록 설정하거나 사용하도록 요구하지 않는 한 고정 데이터 드라이브에 대한 암호 사용 구성 정책을 사용하지 않도록 설정하면 안 됩니다. 고정 데이터 드라이브에 autounlock을 사용해야 하는 경우 운영 체제 볼륨을 암호화하도록 구성해야 합니다. 이 정책 설정을 사용하도록 설정하면 모든 고정 데이터 드라이브를 BitLocker 보호 아래에 배치해야 하며 데이터 드라이브가 암호화됩니다. 이 정책 설정을 구성하지 않으면 사용자는 고정 데이터 드라이브를 BitLocker 보호 아래에 배치할 필요가 없습니다. 고정 데이터 드라이브가 암호화된 후 이 정책을 적용하면 MBAM 에이전트가 암호화된 고정 데이터 드라이브의 암호를 해독합니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자는 고정 데이터 드라이브를 BitLocker 보호 아래에 배치할 수 없습니다. |
| BitLocker에 의해 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부 |
제안된 구성:구성되지 않음 이 정책 설정은 고정 데이터 드라이브를 컴퓨터에서 쓸 수 있도록 BitLocker 보호가 필요한지 여부를 결정합니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다. 정책이 구성되지 않으면 컴퓨터의 모든 고정 데이터 드라이브가 읽기/쓰기 권한으로 탑재됩니다. |
| 이전 버전의 Windows에서 BitLocker로 보호된 고정 드라이브에 대한 액세스 허용 |
제안된 구성:구성되지 않음 이 정책을 사용하면 WINDOWS Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템의 고정 드라이브를 잠금 해제하고 볼 수 있습니다. 정책을 사용하도록 설정하거나 구성하지 않으면 FAT 파일 시스템으로 포맷된 고정 드라이브의 잠금을 해제할 수 있으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제에는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 권한이 있습니다. 정책을 사용하지 않도록 설정하면 FAT 파일 시스템으로 포맷된 고정 드라이브를 잠금 해제할 수 없으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 해당 콘텐츠를 볼 수 없습니다. |
| 고정 드라이브에 대한 암호 사용 구성 |
제안된 구성:구성되지 않음 이 정책을 사용하여 BitLocker로 보호되는 고정 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정합니다. 이 정책 설정을 사용하도록 설정하면 사용자가 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. BitLocker를 사용하면 사용자가 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브의 잠금을 해제할 수 있습니다. 이러한 설정은 볼륨 잠금을 해제할 때가 아니라 BitLocker를 켤 때 적용됩니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자가 암호를 사용할 수 없습니다. 정책을 구성하지 않으면 암호 복잡성 요구 사항이 포함되지 않고 8자만 필요한 기본 설정에서 암호가 지원됩니다. 보안을 강화하려면 이 정책을 사용하도록 설정한 다음 고정 데이터 드라이브에 암호 필요를 선택하고 암호 복잡성 필요를 선택하고 원하는 최소 암호 길이 를 설정합니다. 이 정책 설정을 사용하지 않도록 설정하면 사용자가 암호를 사용할 수 없습니다. 이 정책 설정을 구성하지 않으면 암호 복잡성 요구 사항이 포함되지 않고 8자만 필요한 기본 설정에서 암호가 지원됩니다. |
| BitLocker로 보호된 고정 드라이브를 복구하는 방법 선택 |
제안된 구성:구성되지 않음 BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다. 정책이 구성되지 않으면 BitLocker 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다. MBAM은 복구 정보를 AD DS에 백업할 필요가 없습니다. |
| 암호화 정책 적용 설정 |
제안된 구성:사용 이 정책 설정을 사용하여 고정 데이터 드라이브가 MBAM 정책을 준수해야 할 때까지 비준수 상태로 유지될 수 있는 일 수를 구성합니다. 사용자는 유예 기간 이후에 필요한 작업을 연기하거나 예외를 요청할 수 없습니다. 고정 데이터 드라이브가 비준수로 결정되면 유예 기간이 시작됩니다. 그러나 고정 데이터 드라이브 정책은 운영 체제 드라이브를 준수할 때까지 적용되지 않습니다. 유예 기간이 만료되고 고정 데이터 드라이브가 여전히 규정을 준수하지 않는 경우 사용자는 연기하거나 예외를 요청할 수 있는 옵션이 없습니다. 암호화 프로세스에 사용자 입력이 필요한 경우 사용자가 필요한 정보를 제공할 때까지 닫을 수 없는 대화 상자가 나타납니다. 운영 체제 드라이브에 대한 유예 기간이 만료된 직후 암호화 프로세스를 강제로 시작하도록 고정 드라이브에 대한 비준수 유예 기간 일 수 구성에 0을 입력합니다. 이 설정을 사용하지 않거나 구성하지 않으면 사용자는 MBAM 정책을 준수하도록 강요받지 않습니다. 보호기를 추가하는 데 사용자 상호 작용이 필요하지 않은 경우 유예 기간이 만료된 후 백그라운드에서 암호화가 시작됩니다. |
운영 체제 드라이브 그룹 정책 정의
이 섹션에서는 다음 GPO 노드에서 Microsoft BitLocker 관리 및 모니터링에 대한 운영 체제 드라이브 정책 정의에 대해 설명합니다. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>MDOP MBAM(BitLocker Management)>운영 체제 드라이브.
| 정책 이름 | 개요 및 제안된 그룹 정책 설정 |
|---|---|
| 운영 체제 드라이브 암호화 설정 |
제안된 구성:사용 이 정책 설정을 사용하면 운영 체제 드라이브를 암호화해야 하는지 여부를 관리할 수 있습니다. 보안을 강화하려면 TPM + PIN 보호기를 사용하여 사용하도록 설정할 때 시스템>전원 관리>절전 모드 설정 에서 다음 정책 설정을 사용하지 않도록 설정하는 것이 좋습니다.
호환되는 TPM이 있는 컴퓨터에서 시작 시 두 가지 유형의 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 인증에 TPM만 사용하거나 PIN(개인 식별 번호)을 입력해야 할 수도 있습니다. 이 정책 설정을 사용하도록 설정하면 사용자는 운영 체제 드라이브를 BitLocker 보호 아래에 배치해야 하며, 그러면 드라이브가 암호화됩니다. 이 정책을 사용하지 않도록 설정하면 사용자는 운영 체제 드라이브를 BitLocker 보호 아래에 배치할 수 없습니다. 운영 체제 드라이브가 암호화된 후 이 정책을 적용하면 드라이브의 암호가 해독됩니다. 이 정책을 구성하지 않으면 운영 체제 드라이브를 BitLocker 보호 아래에 배치할 필요가 없습니다. |
| 시작에 향상된 PIN 허용 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하여 향상된 시작 PIN이 BitLocker와 함께 사용되는지 여부를 구성합니다. 향상된 시작 PIN을 사용하면 대문자 및 소문자, 기호, 숫자 및 공백을 포함한 문자를 사용할 수 있습니다. 이 정책 설정은 BitLocker를 켤 때 적용됩니다. 이 정책 설정을 사용하도록 설정하면 모든 새 BitLocker 시작 PIN 집합을 사용하면 최종 사용자가 향상된 PIN을 만들 수 있습니다. 그러나 모든 컴퓨터가 프리부트 환경에서 향상된 PIN을 지원할 수 있는 것은 아닙니다. 관리자가 해당 시스템을 사용하도록 설정하기 전에 해당 시스템이 이 기능과 호환되는지 여부를 평가하는 것이 좋습니다. ASCII 전용 PIN 필요 확인란을 선택하면 프리부트 환경에 입력할 수 있는 문자의 유형이나 수를 제한하는 컴퓨터와 향상된 PIN이 호환되도록 할 수 있습니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 향상된 PIN이 사용되지 않습니다. |
| BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택 |
제안된 구성:구성되지 않음 BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다. 이 정책을 구성하지 않으면 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다. MBAM 작업에서는 복구 정보를 AD DS에 백업할 필요가 없습니다. |
| 운영 체제 드라이브에 대한 암호 사용 구성 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하여 BitLocker로 보호되는 운영 체제 드라이브의 잠금을 해제하는 데 사용되는 암호에 대한 제약 조건을 설정합니다. 운영 체제 드라이브에서 TPM이 아닌 보호기가 허용되는 경우 암호를 프로비전하고, 암호에 복잡성 요구 사항을 적용하고, 암호에 대한 최소 길이를 구성할 수 있습니다. 복잡성 요구 사항 설정이 적용되려면 컴퓨터 구성 > Windows 설정 보안 설정 >> 계정 > 정책 암호 정책에 있는 그룹 정책 설정 "암호가 복잡성 요구 사항을 충족해야 함"을 사용하도록 설정해야 합니다. 메모: 이러한 설정은 볼륨 잠금을 해제할 때가 아니라 BitLocker를 켤 때 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브의 잠금을 해제할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 사용자가 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호에 복잡성 요구 사항을 적용하려면 암호 복잡성 필요를 선택합니다. |
| BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하면 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다. 이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다. 중요하다: 이 그룹 정책 설정은 BIOS 구성이 있는 컴퓨터 또는 CSM(호환성 서비스 모듈)이 사용하도록 설정된 UEFI 펌웨어가 있는 컴퓨터에만 적용됩니다. 네이티브 UEFI 펌웨어 구성을 사용하는 컴퓨터는 PCR(플랫폼 구성 레지스터)에 서로 다른 값을 저장합니다. "네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성" 그룹 정책 설정을 사용하여 네이티브 UEFI 펌웨어를 사용하는 컴퓨터에 대한 TPM PCR 프로필을 구성합니다. BitLocker를 켜기 전에 이 정책 설정을 사용하도록 설정하면 BitLocker 암호화 운영 체제 드라이브에 대한 액세스 권한을 잠금 해제하기 전에 TPM에서 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되는 경우 TPM은 드라이브 잠금을 해제하기 위해 암호화 키를 해제하지 않으며 컴퓨터는 대신 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다. |
| TPM 플랫폼 유효성 검사 프로필 구성 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하면 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다. 이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다. BitLocker를 켜기 전에 이 정책 설정을 사용하도록 설정하면 BitLocker 암호화 운영 체제 드라이브에 대한 액세스 권한을 잠금 해제하기 전에 TPM에서 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되는 경우 TPM은 드라이브 잠금을 해제하기 위해 암호화 키를 해제하지 않으며 컴퓨터는 대신 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다. |
| 네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하면 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다. 이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다. 중요하다: 이 그룹 정책 설정은 네이티브 UEFI 펌웨어 구성이 있는 컴퓨터에만 적용됩니다. BitLocker를 켜기 전에 이 정책 설정을 사용하도록 설정하면 BitLocker 암호화 운영 체제 드라이브에 대한 액세스 권한을 잠금 해제하기 전에 TPM에서 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되는 경우 TPM은 드라이브 잠금을 해제하기 위해 암호화 키를 해제하지 않으며 컴퓨터는 대신 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다. |
| BitLocker 복구 후 플랫폼 유효성 검사 데이터 다시 설정 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하여 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐지는지 여부를 제어합니다. 이 정책 설정을 사용하도록 설정하면 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐집니다. 이 정책 설정을 사용하지 않도록 설정하면 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐지지 않습니다. 이 정책 설정을 구성하지 않으면 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐집니다. |
| 향상된 부팅 구성 데이터 유효성 검사 프로필 사용 |
제안된 구성:구성되지 않음 이 정책 설정을 사용하면 플랫폼 유효성 검사 중에 확인할 특정 BCD(부팅 구성 데이터) 설정을 선택할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 다른 설정을 추가하거나 기본 설정을 제거하거나 둘 다 제거할 수 있습니다. 이 정책 설정을 사용하지 않도록 설정하면 컴퓨터가 Windows 7에서 사용하는 기본 BCD 프로필과 유사한 BCD 프로필로 되돌아갑니다. 이 정책 설정을 구성하지 않으면 컴퓨터는 기본 Windows BCD 설정을 확인합니다. 메모: BitLocker가 "무결성 유효성 검사를 위해 보안 부팅 허용" 정책에 정의된 대로 플랫폼 및 BCD(부팅 구성 데이터) 무결성 유효성 검사에 보안 부팅을 사용하는 경우 "향상된 부팅 구성 데이터 유효성 검사 프로필 사용" 정책은 무시됩니다. 부팅 디버깅(0x16000010)을 제어하는 설정은 항상 유효성이 검사되며 제공된 필드에 포함된 경우에는 아무런 효과가 없습니다. |
| 암호화 정책 적용 설정 |
제안된 구성:사용 이 정책 설정을 사용하여 사용자가 운영 체제 드라이브에 대한 MBAM 정책 준수를 연기할 수 있는 일 수를 구성합니다. 유예 기간은 운영 체제가 비규격으로 처음 검색될 때 시작됩니다. 이 유예 기간이 만료되면 사용자는 필요한 작업을 연기하거나 예외를 요청할 수 없습니다. 암호화 프로세스에 사용자 입력이 필요한 경우 사용자가 필요한 정보를 제공할 때까지 닫을 수 없는 대화 상자가 나타납니다. 이 설정을 사용하지 않거나 구성하지 않으면 사용자는 MBAM 정책을 준수하도록 강요받지 않습니다. 보호기를 추가하는 데 사용자 상호 작용이 필요하지 않은 경우 유예 기간이 만료된 후 백그라운드에서 암호화가 시작됩니다. |
| preboot 복구 메시지 및 URL 구성 |
제안된 구성:구성되지 않음 사용자 지정 복구 메시지를 구성하거나 OS 드라이브가 잠겨 있을 때 Preboot BitLocker 복구 화면에 표시되는 URL을 지정하려면 이 정책 설정을 사용하도록 설정합니다. 이 설정은 Windows 11 및 Windows 10을 실행하는 클라이언트 컴퓨터에서만 사용할 수 있습니다. 이 정책을 사용하도록 설정하면 preboot 복구 메시지에 대해 다음 옵션 중 하나를 선택할 수 있습니다.
|
이동식 드라이브 그룹 정책 정의
이 섹션에서는 다음 GPO 노드에서 Microsoft BitLocker 관리 및 모니터링에 대한 이동식 드라이브 그룹 정책 정의에 대해 설명합니다. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>MDOP MBAM(BitLocker Management)>이동식 드라이브.
| 정책 이름 | 개요 및 제안된 그룹 정책 설정 |
|---|---|
| 이동식 드라이브에서 BitLocker 사용 제어 |
제안된 구성:사용 이 정책은 이동식 데이터 드라이브에서 BitLocker 사용을 제어합니다. 사용자가 이동식 데이터 드라이브에서 BitLocker 설정 마법사를 실행할 수 있도록 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용을 선택합니다. 사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독하도록 허용을 선택하여 사용자가 드라이브에서 BitLocker 드라이브 암호화를 제거하거나 유지 관리가 수행되는 동안 암호화를 일시 중단할 수 있도록 합니다. 이 정책을 사용하도록 설정하고 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용할 수 있도록 허용을 선택하면 MBAM 클라이언트는 이동식 드라이브에 대한 복구 정보를 MBAM 키 복구 서버에 저장하고 암호가 손실된 경우 사용자가 드라이브를 복구할 수 있도록 합니다. |
| BitLocker에 의해 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부 |
제안된 구성:구성되지 않음 BitLocker로 보호된 드라이브에 대한 쓰기 권한만 허용하려면 이 정책을 사용하도록 설정합니다. 이 정책을 사용하도록 설정하면 쓰기 권한이 허용되기 전에 컴퓨터의 모든 이동식 데이터 드라이브에 암호화가 필요합니다. |
| 이전 버전의 Windows에서 BitLocker로 보호된 이동식 드라이브에 대한 액세스 허용 |
제안된 구성:구성되지 않음 이 정책을 사용하면 WINDOWS Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템의 고정 드라이브를 잠금 해제하고 볼 수 있습니다. 이 정책을 구성하지 않으면 FAT 파일 시스템으로 포맷된 이동식 드라이브는 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 잠금 해제할 수 있으며 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제에는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 권한이 있습니다. 정책을 사용하지 않도록 설정하면 FAT 파일 시스템으로 포맷된 이동식 드라이브를 잠금 해제할 수 없으며 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 콘텐츠를 볼 수 없습니다. |
| 이동식 데이터 드라이브에 대한 암호 사용 구성 |
제안된 구성:구성되지 않음 이동식 데이터 드라이브에서 암호 보호를 구성하려면 이 정책을 사용하도록 설정합니다. 이 정책을 구성하지 않으면 암호 복잡성 요구 사항이 포함되지 않고 8자만 필요한 기본 설정에서 암호가 지원됩니다. 보안 강화를 위해 이 정책을 사용하도록 설정하고 이동식 데이터 드라이브에 암호 필요를 선택하고 암호 복잡성 필요를 선택하고 기본 설정 최소 암호 길이를 설정할 수 있습니다. |
| BitLocker로 보호된 이동식 드라이브를 복구하는 방법 선택 |
제안된 구성:구성되지 않음 BitLocker 데이터 복구 에이전트를 사용하도록 설정하거나 BitLocker 복구 정보를 AD DS(Active Directory Domain Services)에 저장하도록 이 정책을 구성합니다. 구성되지 않음으로 설정하면 데이터 복구 에이전트가 허용되고 복구 정보가 AD DS에 백업되지 않습니다. MBAM 작업에서는 복구 정보를 AD DS에 백업할 필요가 없습니다. |
관련 문서
독립 실행형 및 Configuration Manager 통합 토폴로지용 MBAM 2.5 서버 필수 구성 요소