BitLocker: BitLocker 드라이브 암호화 도구를 사용하여 BitLocker 관리
IT 전문가를 위한 이 항목에서는 BitLocker를 관리하는 도구를 사용하는 방법에 대해 설명합니다.
BitLocker 드라이브 암호화 도구에는 명령줄 도구 manage-bde 및 repair-bde와 Windows PowerShell용 BitLocker cmdlet이 포함되어 있습니다.
Manage-bde와 BitLocker cmdlet은 둘 다 BitLocker 제어판을 통해 수행할 수 있는 모든 작업을 수행하는 데 사용할 수 있으며 자동화된 배포 및 기타 스크립팅 시나리오에 사용하는 데 적합합니다.
Repair-bde는 BitLocker 보호 드라이브를 정상적으로 또는 복구 콘솔을 사용하여 잠금 해제할 수 없는 재해 복구 시나리오용으로 제공된 특수 환경 도구입니다.
Manage-bde
Repair-bde
Windows PowerShell용 BitLocker cmdlet
Manage-bde
Manage-bde는 BitLocker 작업 스크립팅에 사용할 수 있는 명령줄 도구입니다. Manage-bde는 BitLocker 제어판에 표시되지 않는 추가 옵션을 제공합니다. Manage-bde 옵션의 전체 목록은 Manage-bde 명령줄 참조를 참조하세요.
Manage-bde는 BitLocker 구성에 대해 기본 설정은 더 적게 포함되어 있고 사용자 지정은 더 많이 요구합니다. 예를 들어 데이터 볼륨에서 manage-bde -on 명령만 사용해도 인증 보호기 없이 볼륨을 완전히 암호화합니다. 볼륨이 완전히 보호되려면 인증 방법이 볼륨에 추가되어야 하기 때문에 명령이 성공적으로 완료되어도 이 방법으로 암호화된 볼륨을 사용하려면 여전히 사용자가 BitLocker 보호를 켜는 조작이 필요합니다. 다음 섹션에서는 manage-bde에 대한 일반적인 사용 시나리오의 예를 제공합니다.
운영 체제 볼륨에서 manage-bde 사용
운영 체제 볼륨에 대해 유효한 기본 명령의 예제가 아래 나열되어 있습니다. 일반적으로 manage-bde -on <drive letter> 명령만 사용하면 TPM 전용 보호기를 사용하고 복구 키 없이 운영 체제 볼륨을 암호화합니다. 많은 환경에서는 암호 또는 PIN과 같이 더 안전한 보호기를 요구하며 복구 키로 정보를 복구할 수 있다고 예상합니다. 하나 이상의 기본 보호기 및 복구 보호기를 운영 체제 볼륨에 추가하는 것이 좋습니다.
Manage-bde를 사용할 때 대상 시스템에서 볼륨 상태를 확인하는 것이 좋습니다. 다음 명령을 사용하여 볼륨 상태를 확인합니다.
manage-bde -status
이 명령은 대상의 볼륨, 각 볼륨의 현재 암호화 상태 및 볼륨 유형(운영 체제 또는 데이터)을 반환합니다.
다음 예제에서는 TPM 칩이 없는 컴퓨터에서 BitLocker를 사용하도록 설정하는 것을 보여 줍니다. 암호화 프로세스를 시작하기 전에 BitLocker에 필요한 시작 키를 만들고 USB 드라이브에 저장해야 합니다. BitLocker가 운영 체제 볼륨에 대해 사용하도록 설정된 경우 BitLocker는 암호화 키를 가져오기 위해 USB 플래시 드라이브에 액세스해야 합니다(이 예제에서 드라이브 문자 E는 USB 드라이브를 나타냄). 암호화 프로세스를 완료하려면 다시 부팅하라는 메시지가 표시됩니다.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
참고
암호화가 완료된 후 운영 체제를 시작하기 전에 USB 시작 키를 삽입해야 합니다.
비TPM 하드웨어에서 시작 키 보호기의 대안은 운영 체제 볼륨을 보호하기 위해 암호 및 ADaccountorgroup 보호기를 사용하는 것입니다. 이 시나리오에서는 보호기를 먼저 추가합니다. 이는 다음 명령으로 수행됩니다.
manage-bde -protectors -add C: -pw -sid <user or group>
이 명령을 사용하려면 볼륨에 보호기를 추가하기 전에 암호 보호기를 입력하고 확인해야 합니다. 볼륨에서 보호기를 사용하도록 설정하면 사용자가 BitLocker를 켤 수 있습니다.
TPM이 있는 컴퓨터에서는 manage-bde를 사용하여 정의된 보호기 없이도 운영 체제 볼륨을 암호화할 수 있습니다. 다음은 이를 수행하기 위한 명령입니다.
manage-bde -on C:
그러면 TPM을 기본 보호기로 사용하여 드라이브를 암호화합니다. TPM 보호기가 사용 가능한지 확신할 수 없는 경우 다음 명령을 실행하여 볼륨에 사용할 수 있는 보호기를 나열합니다.
manage-bde -protectors -get <volume>
데이터 볼륨에서 manage-bde 사용
데이터 볼륨은 암호화를 위해 운영 체제 볼륨과 동일한 구문을 사용하지만 작업을 완료하기 위해 보호기는 필요하지 않습니다. 데이터 볼륨 암호화는 기본 명령인 manage-bde -on <drive letter>를 사용하여 수행하거나 먼저 추가 보호기를 볼륨에 추가하도록 선택할 수 있습니다. 하나 이상의 기본 보호기 및 복구 보호기를 데이터 볼륨에 추가하는 것이 좋습니다.
데이터 볼륨을 위한 일반적인 보호기는 암호 보호기입니다. 아래 예제에서는 볼륨에 암호 보호기를 추가하고 BitLocker를 켭니다.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Repair-bde
BitLocker가 중요한 정보를 저장하는 하드 디스크의 영역을 손상시키는 문제가 발생할 수 있습니다. 이런 종류의 문제는 하드 디스크 오류로 인해 또는 Windows가 예기치 않게 종료되는 경우 발생할 수 있습니다.
BitLocker를 사용하여 드라이브가 암호화된 경우 BitLocker 복구 도구(Repair-bde)를 사용하면 심각하게 손상된 하드 디스크의 암호화된 데이터에 액세스할 수 있습니다. 올바른 복구 암호 또는 복구 키를 사용하여 데이터의 암호만 해독한다면 Repair-bde로 드라이브의 중요한 부분을 재구성하고 복구 가능한 데이터를 살릴 수 있습니다. 드라이브의 BitLocker 메타데이터 데이터가 손상된 경우 복구 암호 또는 복구 키 외에 백업 키 패키지를 제공할 수 있어야 합니다. 이 키 패키지는 AD DS(Active Directory 도메인 서비스) 백업에 대한 기본 설정을 사용한 경우 AD DS에서 백업됩니다. 이 키 패키지와 함께 복구 암호 또는 복구 키를 사용하면 디스크가 손상된 경우 BitLocker로 보호된 드라이브의 일부를 암호 해독할 수 있습니다. 각 키 패키지는 해당 드라이브 식별자가 있는 드라이브에 대해서만 작동합니다. BitLocker 복구 암호 뷰어를 사용하여 AD DS에서 이 키 패키지를 가져올 수 있습니다.
팁
AD DS에 복구 정보를 백업하지 않거나 키 패키지를 저장하려는 경우 manage-bde -KeyPackage 명령을 사용하여 볼륨에 대한 키 패키지를 생성할 수 있습니다.
Repair-bde 명령줄 도구는 운영 체제가 시작되지 않거나 BitLocker 복구 콘솔을 시작할 수 없는 경우 사용하기 위한 것입니다. 다음 조건에 해당하는 경우 Repair-bde를 사용해야 합니다.
BitLocker 드라이브 암호화를 사용하여 드라이브를 암호화했습니다.
Windows가 시작하지 않거나 BitLocker 복구 콘솔을 시작할 수 없습니다.
암호화된 드라이브에 포함된 데이터의 복사본이 없습니다.
참고
드라이브가 손상되어 BitLocker에 연결되지 않을 수 있습니다. 따라서 BitLocker 복구 도구를 사용하기 전에 드라이브에서 문제를 진단하고 해결할 수 있도록 해주는 다른 도구를 시도하는 것이 좋습니다. Windows RE(Windows 복구 환경)는 컴퓨터를 복구하기 위한 추가 옵션을 제공합니다.
Repair-bde에는 다음과 같은 제한 사항이 있습니다.
Repair-bde 명령줄 도구는 암호화 또는 암호 해독 프로세스 중 실패한 드라이브를 복구할 수 없습니다.
Repair-bde 명령줄 도구는 드라이브에 암호화가 있는 경우 드라이브가 완전히 암호화되어 있다고 가정합니다.
repair-bde 사용 방법에 대한 자세한 내용은 Repair-bde를 참조하세요.
Windows PowerShell용 BitLocker cmdlet
Windows PowerShell cmdlet은 BitLocker로 작업할 때 관리자가 사용하기 위한 새로운 방법을 제공합니다. 관리자는 Windows PowerShell의 스크립팅 기능을 사용하여 BitLocker 옵션을 간편하게 기존 스크립트로 통합할 수 있습니다. 아래 목록은 사용 가능한 BitLocker cmdlet을 표시합니다.
이름 |
매개 변수 |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
Manage-bde와 마찬가지로 Windows PowerShell cmdlet은 제어판에서 제공되는 옵션 이상의 구성을 허용하고 사용자는 Windows PowerShell cmdlet을 실행하기 전에 암호화하는 볼륨의 특정 요구 사항을 고려해야 합니다.
첫 단계로 컴퓨터에서 볼륨의 현재 상태를 확인하는 것이 좋습니다. 이렇게 하려면 Get-BitLockerVolume cmdlet을 사용하면 됩니다.
Get-BitLockerVolume cmdlet 출력은 볼륨 유형, 보호기, 보호 상태 및 기타 세부 사항에 대한 정보를 제공합니다.
팁
경우에 따라 Get-BitLockerVolume을 사용할 때 출력 디스플레이의 공간 부족으로 인해 일부 보호기가 표시되지 않을 수 있습니다. 볼륨의 모든 보호기가 표시되지 않는 경우 Windows PowerShell 파이프 명령(|)을 사용하여 전체 보호기 목록의 형식을 지정할 수 있습니다.
Get-BitLockerVolume C: | fl
볼륨에서 BitLocker를 프로비전하기 전에 기존 보호기를 제거하려는 경우 Remove-BitLockerKeyProtector cmdlet을 사용할 수 있습니다. 이 작업을 수행하려면 제거할 보호기와 관련된 GUID가 필요합니다.
간단한 스크립트를 위해 아래와 같이 각 Get-BitLockerVolume 값을 다른 변수로 반환하도록 파이프할 수 있습니다.
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
이를 사용하여 $keyprotectors 변수의 정보를 표시하면 각 보호기의 GUID를 확인할 수 있습니다.
이 정보를 사용하여 다음 명령을 통해 특정 볼륨의 키 보호기를 제거할 수 있습니다.
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
참고
BitLocker cmdlet을 실행하려면 키 보호기 GUID를 따옴표로 묶어야 합니다. 중괄호로 묶인 전체 GUID가 명령에 포함되어야 합니다.
운영 체제 볼륨에서 BitLocker Windows PowerShell cmdlet 사용
BitLocker Windows PowerShell cmdlet을 사용하는 것은 운영 체제 볼륨을 암호화하기 위해 manage-bde 도구를 사용하는 작업과 비슷합니다. Windows PowerShell은 사용자에게 많은 유연성을 제공합니다. 예를 들어 사용자는 볼륨을 암호화하기 위한 부분 명령으로 원하는 보호기를 추가할 수 있습니다. 아래는 BitLocker Windows PowerShell에서 이 작업을 수행하기 위한 일반 사용자 시나리오 및 단계의 예제입니다.
다음 예제에서는 TPM 보호기만 사용하여 운영 체제 드라이브에서 BitLocker를 사용하도록 설정하는 방법을 보여 줍니다.
Enable-BitLocker C:
아래 예제에서는 1개의 추가 보호기인 StartupKey 보호기를 추가하고 BitLocker 하드웨어 테스트를 건너뛰도록 선택합니다. 이 예제에서는 다시 부팅할 필요 없이 암호화가 즉시 시작됩니다.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
데이터 볼륨에서 BitLocker Windows PowerShell cmdlet 사용
Windows PowerShell을 사용하는 데이터 볼륨 암호화는 운영 체제 볼륨의 경우와 같습니다. 볼륨을 암호화하기 전에 원하는 보호기를 추가해야 합니다. 다음 예제에서는 $pw 변수를 암호로 사용하여 E: 볼륨에 암호 보호기를 추가합니다. $pw 변수는 SecureString 값으로 보관되어 사용자 정의 암호를 저장합니다.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Windows PowerShell에서 AD 계정 또는 그룹 보호기 사용
Windows 8 및 Windows Server 2012에 도입된 ADAccountOrGroup 보호기는 Active Directory SID 기반 보호기입니다. 이 보호기는 사전 부팅 환경에서 운영 체제 볼륨의 잠금을 해제하지는 않지만 운영 체제와 데이터 볼륨 둘 다에 추가할 수 있습니다. 보호기를 사용하려면 보호기와 연결할 도메인 계정 또는 그룹에 대한 SID가 필요합니다. BitLocker는 디스크가 제대로 장애 조치(failover)를 수행하고 클러스터의 구성원 컴퓨터에서 잠금이 해제될 수 있도록 하는 CNO(클러스터 이름 개체)를 위한 SID 기반 보호기를 추가하여 클러스터 인식 디스크를 보호할 수 있습니다.
경고
ADAccountOrGroup 보호기는 운영 체제 볼륨에서 사용되는 경우 추가 보호기(예: TPM, PIN, 복구 키)를 사용해야 합니다.
ADAccountOrGroup 보호기를 볼륨에 추가하려면 실제 도메인 SID 또는 그룹 이름 앞에 도메인과 백슬래시가 와야 합니다. 아래 예제에서는 CONTOSO\Administrator 계정이 데이터 볼륨 G에 보호기로 추가됩니다.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
계정 또는 그룹에 대해 SID를 사용하려는 사용자가 첫 번째로 수행할 단계는 계정과 연결된 SID를 확인하는 것입니다. Windows PowerShell에서 사용자 계정에 대한 특정 SID를 가져오려면 다음 명령을 사용합니다.
참고
이 명령을 사용하려면 RSAT-AD-PowerShell 기능이 필요합니다.
get-aduser -filter {samaccountname -eq "administrator"}
팁
위의 PowerShell 명령 외에 WHOAMI /ALL을 사용하여 로컬로 로그온한 사용자 및 그룹 구성원에 대한 정보를 찾을 수 있습니다. 그러면 추가 기능을 사용하지 않아도 됩니다.
다음 예제에서는 계정의 SID를 사용하여 ADAccountOrGroup 보호기를 이전에 암호화된 운영 체제 볼륨에 추가합니다.
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500
참고
Active Directory 기반 보호기는 일반적으로 장애 조치(failover) 클러스터 사용 볼륨의 잠금을 해제하기 위해 사용됩니다.