2장: 구성 및 배포 작업
게시 날짜: 2007년 5월 29일
Microsoft® BitLocker™ 드라이브 암호화(BitLocker) 및 EFS(파일 시스템 암호화)를 배포하기 전에 여러 가지 사전 구성 작업을 수행하여 환경을 준비해야 합니다. 이 장에 설명되어 있는 작업은 Active Directory® 디렉터리 서비스와 네트워크를 준비하는 데 도움이 될 뿐 아니라 클라이언트 컴퓨터에 BitLocker 및 EFS를 배포하는 데도 도움이 됩니다.
EFS와 BitLocker는 모두 여러 컴퓨터에 구성 설정을 일관적으로 적용하는 데 사용할 수 있는 Active Directory를 활용합니다. 각 기술에 사용할 수 있는 설정은 약간 다릅니다. 그러나 두 기술 모두 Active Directory 그룹 정책 개체(GPO)로 제어할 수 있기 때문에 컴퓨터의 위치, 컴퓨터의 사용 용도 또는 사용자에 따라 어떻게 Active Directory 설계를 활용하여 해당 컴퓨터를 적절히 보호할 수 있는지 고려해 봐야 합니다.
이 장에서는 다음 작업에 대해서 설명합니다.
BitLocker 구성을 선택하여 중요한 데이터 보호
Active Directory 그룹 정책 제어를 통해 BitLocker 키 백업, 설정, 디스크 암호화 및 TPM(신뢰할 수 있는 플랫폼 모듈)의 상호작용이 이루어지는 방식 제어
Active Directory를 사용하여 EFS 암호화 및 인증서 관리 제어
선택한 구성으로 BitLocker를 사용할 수 있도록 클라이언트 컴퓨터 준비
클라이언트 컴퓨터에 BitLocker 설정
도메인에 속한 컴퓨터에서 EFS와 함께 사용할 수 있도록 Microsoft Encrypting File System Assistant(EFS Assistant) 구성
관리 템플릿을 가져와 EFS에 사용할 수 있는 관리 도구 사용자 지정
EFS용 데이터 복구 에이전트 구성
이 페이지에서
인프라 준비 작업
컴퓨터별 구성 작업
자세한 정보
인프라 준비 작업
BitLocker와 EFS는 모두 환경에 배포하기 전에 어느 정도 인프라 준비가 필요합니다. 이 섹션에 설명되어 있는 작업은 최초 배포 전에 한 번만 수행하면 되며 대부분의 경우 반복해서 수행하지 않아도 됩니다.
BitLocker를 위한 인프라 준비
BitLocker를 위한 인프라를 준비하려면 다음 두 가지 단계를 수행해야 합니다.
그룹 정책을 통해 BitLocker 옵션 구성
Windows Vista™에서는 클라이언트 컴퓨터에서 BitLocker의 사용 여부와 동작을 제어하는 데 사용할 수 있는 다양한 BitLocker 제어 설정을 제공합니다. 표준 Windows Server® GPO 관리 툴셋과 Windows Vista 관리 템플릿을 통해 Active Directory GPO를 만들어 이러한 설정을 제어할 수 있습니다. 이러한 도구에 대한 자세한 내용은 Windows Server 2003 온라인 도움말을 참조하십시오.
GPO는 개별 컴퓨터나 Active Directory 사이트, 도메인 및 조직 단위(OU)에 적용할 수 있기 때문에 조직의 컴퓨터에 BitLocker 설정을 할당하는 방법을 융통성 있게 결정할 수 있습니다. 다음과 같은 작업이 가능합니다.
로컬 컴퓨터 GPO를 수정하여 각 컴퓨터에 설정을 할당합니다.
기능이 비슷한 컴퓨터를 하나의 OU로 그룹화한 다음 해당 OU에만 고유 BitLocker 설정을 할당합니다. 예를 들어, 모든 모바일 PC에 대한 OU를 별도로 만들거나 특정 업무 부서에 속하거나 특정 직무를 담당하는 직원이 소유한 모바일 PC에만 해당하는 OU를 별도로 만들 수 있습니다.
도메인이나 포리스트 내의 모든 컴퓨터에 폭넓게 BitLocker 정책을 적용합니다. 이 방법을 사용할 경우 Windows Vista 기반 컴퓨터에 전사적으로 암호화를 쉽게 구현할 수 있습니다. 다른 Windows 버전을 실행하는 컴퓨터는 BitLocker 설정을 무시합니다.
Active Directory 키 저장 준비
Active Directory에 TPM 소유자 암호 정보와 BitLocker 볼륨 복구 데이터를 저장하려면 다음 단계를 수행해야 합니다. 이러한 단계를 수행하려면 BitLocker 클라이언트에서 액세스할 수 있는 모든 도메인 컨트롤러에 Windows Server 2003 서비스 팩 1(SP1) 이상이 실행되고 있어야 합니다.
Active Directory 스키마를 확장합니다.
BitLocker 및 TPM 복구 정보 스키마 개체에 사용 권한을 설정합니다.
Active Directory에서 BitLocker 키 정보를 백업하도록 GPO를 구성합니다.
Active Directory에서 TPM 소유자 암호 정보를 백업하도록 GPO를 구성합니다.
Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information(Windows BitLocker 드라이브 암호화 및 신뢰할 수 있는 플랫폼 모듈 복구 정보를 백업하도록 Active Directory 구성) 가이드에 설명되어 있습니다.
위에 나온 단계를 수행한 후에는 조직의 다른 사용자에게 복구 액세스 권한을 위임할 수 있습니다.
복구 액세스 권한을 위임하려면
액세스 권한을 위임할 사용자 계정이 포함된 Active Directory 보안 그룹을 만들거나 식별합니다.
액세스 권한을 위임하고자 하는 컴퓨터를 보유한 도메인이나 조직 단위(OU)의 ACL(액세스 제어 목록)에 ACE(액세스 제어 항목)를 추가합니다. ACE에서 BitLocker 복구 정보 개체, 키 패키지 및 컴퓨터 개체에 "액세스 제어" 및 "속성 읽기" 권한을 부여해야 합니다.
TPM 정보를 복구하려면 같은 방법으로 TPM 소유자 정보 개체에 "액세스 제어" 및 "속성 읽기" 권한을 부여하면 됩니다.
이 프로세스를 수행하면서 TPM 및 BitLocker 복구 정보에 대한 액세스 권한을 두 개의 서로 다른 사용자 그룹에 부여할 수 있습니다. 이렇게 하면 복구 정보에 대한 액세스 업무를 구분하여 관리하는 데 도움이 됩니다.
EFS를 위한 인프라 준비
EFS를 효과적으로 사용하려면 다음과 같은 인프라 준비 작업을 수행해야 합니다.
Active Directory를 준비하고 그룹 정책 개체를 만듭니다.
데이터 복구 에이전트를 관리 및 구성합니다.
키 복구 에이전트를 관리 및 구성합니다.
Active Directory 준비 및 그룹 정책 개체 만들기
이 섹션에서는 EFS를 지원할 수 있도록 Active Directory 환경을 준비하는 데 필요한 구성 작업에 대해서 설명합니다. 이러한 작업을 수행하지 않으면 Windows XP 또는 Windows Vista를 실행하는 각 클라이언트 컴퓨터에서 EFS를 사용할 수는 있으나 EFS 기능을 중앙에서 관리 및 제어할 수는 없습니다.
EFS 암호화 설정 제어
Windows Vista 및 Windows XP에서는 클라이언트 컴퓨터에서 EFS의 사용 여부와 동작을 제어하는 데 사용할 수 있는 다양한 설정을 제공합니다. 표준 Windows Server GPO 관리 툴셋을 통해 Active Directory GPO를 만들어 이러한 설정을 제어할 수 있습니다. 이러한 도구에 대한 자세한 내용은 Windows Server 2003 온라인 도움말을 참조하십시오.
GPO는 개별 컴퓨터나 Active Directory 사이트, 도메인 및 OU에 적용할 수 있기 때문에 조직의 컴퓨터에 EFS 설정을 할당하는 방법을 융통성 있게 결정할 수 있습니다. 다음과 같은 작업이 가능합니다.
로컬 컴퓨터 GPO를 수정하여 각 컴퓨터에 설정을 할당합니다.
기능이 비슷한 컴퓨터를 하나의 OU로 그룹화한 다음 해당 OU에만 고유 EFS 설정을 할당합니다. 예를 들어, 모든 모바일 PC에 대한 OU를 별도로 만들거나 특정 업무 부서에 속하거나 특정 직무를 담당하는 직원이 소유한 모바일 PC에만 해당하는 OU를 별도로 만들 수 있습니다.
도메인이나 포리스트 내의 모든 컴퓨터에 폭넓게 EFS 정책을 적용합니다 이 방법을 EFS Assistant와 함께 사용하면 Windows XP 및 Windows Vista 기반 컴퓨터 모두에 전사적으로 암호화를 쉽게 구현할 수 있습니다.
Windows Vista 및 Windows XP에 공통적인 EFS 설정
Active Directory GPO 템플릿을 사용하면 여러 가지 EFS 관련 설정을 제어할 수 있습니다. 이러한 설정과 해당 설명은 다음 표에 나와 있습니다. 자세한 내용은 Windows XP 및 Windows Vista 보안 가이드를 참조하십시오.
표 2.1. Active Directory GPO 템플릿의 EFS 관련 설정
| EFS 사용 |
Windows XP,Windows Vista |
허용 |
| 문서 암호화 |
Windows Vista |
사용 안 함 |
| 스마트 카드 필요 |
Windows Vista |
사용 안 함 |
| 스마트 카드에서 캐시 가능한 사용자 키 만들기 |
Windows Vista |
사용 안 함 |
| 페이지 파일 암호화 사용 |
Windows Vista |
사용 안 함 |
| 인증서 자동 등록 |
Windows XP,Windows Vista |
사용 |
| 자체 서명된 인증서의 키 크기 |
Windows Vista |
2048비트 |
| 자동 인증서 요청을 위한 EFS 템플릿 |
Windows Vista |
없음 |
**EFS 설정 및 해제**
독립 실행형 EFS를 사용할 경우 키를 분실하여 암호화된 파일에 액세스하지 못하게 될 위험이 크기 때문에 일부 조직에서는 기업 CA(인증 기관) 및 도메인 기반 EFS를 구현한 후에야 EFS를 사용하기도 합니다. GPO의 파일 시스템 암호화 개체의 속성에서 **파일 시스템 암호화(EFS)를 사용하여 파일을 암호화할 수 있음** 확인란의 상태를 변경하여 EFS를 사용하도록 설정하거나 사용하지 않도록 설정할 수 있습니다. 파일 시스템 암호화 개체는 **컴퓨터 구성\\Windows 설정\\보안 설정\\공개 키 정책** 경로에 있습니다.
조직이 이전에 GPO를 통해 EFS를 사용하지 않도록 설정한 경우 GPO를 수정하여 EFS를 사용하도록 설정해야 합니다. 로컬 정책이나 레지스트리 변경을 통해 EFS를 사용하지 않도록 설정한 경우에는 해당 로컬 정책을 제거하거나 레지스트리 편집기를 사용하여 EFS를 사용하도록 설정해야 합니다. 레지스트리를 통해 EFS를 설정하려면 **HKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\EFS** 키의 레지스트리에서 **EfsConfiguration**이라는 DWORD 값을 찾습니다. EFS를 사용하지 않도록 설정하려면 이 값을 1로 변경하고, EFS를 사용하도록 설정하려면 0으로 변경합니다. 이 변경 사항은 로컬 컴퓨터에만 적용되며 도메인의 다른 컴퓨터에는 적용되지 않습니다.
**추가 암호화 알고리즘 지원**
계획 단계에서 FIPS(Federal Information Processing Standards) 140-1과 호환되도록 EFS를 배포하기로 결정했으면 Active Directory의 로컬 또는 그룹 정책에서 **시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용** 옵션을 변경하여 FIPS를 사용하도록 설정해야 합니다. 이 옵션은 **컴퓨터 구성\\Windows 설정\\보안 설정\\로컬 설정\\보안 옵션** 경로에 있습니다.
FIPS와의 호환 이외의 다른 이유로 인해 다른 암호화 알고리즘을 사용해야 할 경우 필요한 클라이언트 컴퓨터에서 그룹 정책을 사용하여 **HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\EFS**를 수정해야 합니다.
###### Windows Vista에만 해당하는 EFS 옵션
관리자가 EFS를 위한 조직 정책을 정의 및 구현하는 데 도움이 되도록 Windows Vista에 새로운 그룹 정책 옵션이 많이 추가되었습니다. 다음 그림에서와 같이 이러한 옵션에는 EFS에 스마트 카드를 사용하도록 요구하는 기능, 페이지 파일 암호화, EFS에 대한 최소 키 길이 명시, 사용자의 Documents 폴더를 암호화하는 등의 기능이 포함됩니다. 이러한 옵션에 액세스하려면 GPO에서 파일 시스템 암호화 개체를 편집합니다. 이 개체는 **컴퓨터 구성\\Windows 설정\\보안 설정\\공개 키 정책** 경로에 있습니다.
.gif)
**그림 2.1. Windows Vista 파일 시스템 암호화 속성 옵션**
###### 인증서 자동 등록 제어
Windows XP Professional 및 Windows Vista에서는 사용자가 로그온할 때 사용자 유형에 해당하는 인증서에 자동으로 등록됩니다. 사용자 인증서의 자동 등록은 빠르고 간편하며, 이를 통해 Active Directory 환경에서 스마트 카드 로그온, EFS, SSL, S/MIME 등의 공개 키 구조(PKI) 응용 프로그램을 사용할 수 있습니다. 사용자 자동 등록을 사용할 경우 일반 PKI 배포에 따른 높은 비용도 최소화됩니다. 인증서 자동 등록을 사용하려면 Active Directory에 적절한 인증서 템플릿을 만들어야 합니다. 인증서 템플릿 Microsoft Management Console(MMC) 스냅인을 사용하여 적절한 인증서 템플릿을 추가합니다. 자세한 내용은 "[Certificate Autoenrollment in Windows XP(Windows XP에서 인증서 자동 등록)](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx)" 문서를 참조하십시오.
##### 데이터 복구 에이전트 관리 및 구성
조직은 EFS와 사용할 DRA(데이터 복구 에이전트)를 하나 이상 정의하는 것이 좋습니다. 일반 네트워크 관리자 계정을 DRA로 사용할 수도 있으나 복구 작업에만 사용되는 전용 계정을 사용하는 것이 좋습니다. 조직의 정책이나 법에서 요구할 경우 액세스 감사 및 분리 등 추가적인 요구 사항을 지정할 수 있습니다. 이러한 요구 사항을 충족시키려면 다양한 그룹, 조직, 직무 또는 조직 네트워크의 기타 하위 부서에 DRA를 각각 정의해야 할 수 있습니다.
DRA를 관리하려면 다음과 같은 작업이 필요합니다. 이러한 작업에 대해서는 뒤에 나오는 하위 섹션에 자세히 설명되어 있습니다.
- DRA 사용자 계정 만들기
- DRA를 위한 복구 그룹 만들기 및 채우기
- DRA 인증서를 발급하도록 CA 구성
- DRA 인증서 요청
- EFS DRA 인증서 요청 승인
- 데이터 복구 정책 정의(1장에서 설명한 계획 단계)
- 인증서를 내보내 정책에 할당
- 데이터 복구 에이전트 정의
###### DRA 사용자 계정 만들기
DRA 사용자 계정 관리를 위한 가장 좋은 방법은 데이터 복구에만 사용되는 별도의 사용자 계정을 만드는 것입니다. 이렇게 해야만 권한이 있는 사용자가 데이터를 잘못 복구할 위험을 줄일 수 있기 때문입니다. 전용 DRA 사용자 계정은 사용자가 복구 권한을 부여하는 일반 계정으로 시작됩니다.
**DRA 사용자 계정을 만들려면**
1. Active Directory 사용자 및 컴퓨터를 엽니다.
2. 콘솔 트리에서 사용자 계정을 추가할 폴더를 마우스 오른쪽 단추로 클릭합니다. (Active Directory 사용자 및 컴퓨터/도메인 노드/폴더)
3. **새로 만들기**를 선택하고 **사용자**를 클릭합니다.
4. 계정의 이름을 지정합니다. 사용자 이름을 사용하는 대신 계정에 역할 이름을 지정해야 합니다(예: HR DRA 또는 Engineering DRA).
5. **사용자 로그온 이름**에 사용자 로그온 이름을 입력하고 드롭다운 목록에서 UPN 접미사를 클릭한 후 **다음**을 클릭합니다.
6. **암호 및 암호 확인**에 사용자의 암호를 입력한 다음 적절한 암호 옵션을 선택합니다.
7. **확인**을 클릭합니다.
8. 추가로 만들고자 하는 각 DRA에 3-7단계를 반복합니다.
###### DRA에 대한 보안 그룹 만들기
사용할 각 DRA 그룹에 Active Directory 보안 그룹을 만드는 것이 좋습니다. 이렇게 하면 조직의 여러 부서에서 어떤 사용자가 액세스하여 데이터를 복구할 수 있는지 효과적으로 제어할 수 있습니다.
**DRA에 대한 보안 그룹을 만들려면**
1. Active Directory 사용자 및 컴퓨터를 엽니다.
2. **사용자**를 마우스 오른쪽 단추로 클릭하고 **새로 만들기**, **그룹**을 차례로 클릭한 후 **Domain Recovery Agents**(또는 기타 적절한 이름)를 입력한 다음 **확인**을 클릭합니다.
3. **사용자** OU 아래에서 **Domain Recovery Agents**를 마우스 오른쪽 단추로 클릭하고 **속성**을 클릭한 다음 **구성원** 탭을 클릭합니다. 이 그룹에 추가할 사용자를 선택한 다음 **확인**을 클릭합니다.
4. 각각의 추가 DRA 그룹에 2-3단계를 반복합니다.
###### DRA 인증서를 발급하도록 CA 구성
EFS 복구를 위한 키 사용 플래그가 들어 있는 템플릿을 사용하여 인증서를 발급하도록 CA를 구성해야 합니다. 다음 단계에서는 EFS DRA 디지털 인증서를 발급하도록 Microsoft 인증서 서비스를 구성하는 방법에 대해서 설명합니다. 다른 호환되는 CA를 통해 EFS DRA 인증서를 발급할 수도 있으나 타사 CA 서비스에 대한 지침은 본 가이드에는 수록되어 있지 않습니다.
**EFS 복구 인증서를 발급하도록 인증서 서비스를 구성하려면**
1. 인증서 서비스를 관리할 수 있는 사용자 계정으로 Windows에 로그온합니다.
2. 허가된 인증서 서비스 서버에 해당하는 인증 기관 콘솔을 엽니다. 인증 기관 콘솔을 열려면 **시작**을 클릭하고 **모든 프로그램**, **관리 도구**를 차례로 가리킨 다음 **인증 기관**을 선택합니다.
3. 인증 기관 서버 개체를 확장하여 구성 요소를 표시합니다.
4. **인증서 템플릿** 노드를 마우스 오른쪽 단추로 클릭하고 **관리**를 선택하여 다음 그림과 같은 인증서 템플릿 콘솔을 엽니다.
.gif)
**그림 2.2. 인증 기관 콘솔의 인증서 템플릿**
5. EFS 복구 에이전트 인증서 발급에 사용되는 디지털 인증서에서는 기본 키 사이즈인 1024비트를 변경할 수 없습니다. 기본 제공 템플릿의 사본을 만들고 그 결과 생성되는 EFS 복구 에이전트 인증서 템플릿의 사본을 적절히 구성해야 합니다.
**EFS 복구 에이전트** 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 **템플릿 복제**를 선택합니다.
6. 표준 인증서와 구별되도록 새 인증서 템플릿에 새 이름을 할당합니다(예: **Updated EFS Recovery Agent**).
7. **요청 처리** 탭을 클릭하고 키 강도 옵션을 2048비트 이상으로 원하는 대로 구성합니다.
8. **보안** 탭을 클릭하고 EFS 복구 에이전트로 지정할 사용자 계정에 **읽기** 및 **등록** 권한이 있는지 확인합니다.
9. **확인**을 클릭합니다.
10. 원본 EFS 복구 에이전트 인증서 템플릿의 속성 대화 상자를 열고 **보안** 탭을 클릭한 다음 모든 사용자에게 **거부-등록 권한**을 설정합니다. **확인**을 클릭합니다.
11. **인증서 템플릿** 개체를 마우스 오른쪽 단추로 클릭하고 **새로 만들기**, **발급할 인증서 템플릿**을 차례로 선택합니다.
12. 보다 강력한 새로운 EFS 복구 에이전트 인증서를 선택하고 **확인**을 클릭합니다.
13. 인증 기관 콘솔을 닫습니다.
14. 기존의 모든 EFS 복구 에이전트가 보다 강력한 새로운 EFS 복구 에이전트 인증서 템플릿을 사용하는 새 디지털 인증서를 요청하도록 합니다.
15. 새 EFS 복구 에이전트 인증서를 승인 및 발급합니다.
16. 확장명이 .PFX인 새 EFS 복구 에이전트 개인 키를 두 곳 이상의 안전한 위치에 따로따로 저장하거나 백업한 다음 복구에 필요할 때까지 로컬 컴퓨터에서 삭제합니다.
**참고** 모든 EFS DRA 및 KRA 인증서는 새로 구성된 인증서에서 발급되어야 하거나 원래 설정된 키 강도가 있어야 합니다.
이전에 표준 템플릿을 사용하여 EFS 및 EFS 복구 에이전트를 배포한 조직의 경우 강력하지 않은 EFS 복구 에이전트로 이미 암호화된 파일을 새롭고 보다 강력한 EFS 복구 에이전트 인증서로 다시 암호화해야 합니다. 이 프로세스는 각 파일이 수정될 때 파일마다 자동으로 이루어집니다.
**Cipher.exe /U**를 입력한 다음 Enter 키를 눌러 EFS가 로컬 드라이브의 모든 암호화된 파일을 한 번에 업데이트하도록 할 수 있습니다.
암호화된 파일을 모두 새로운 EFS 복구 에이전트 인증서로 다시 암호화하고, 강력하지 않은 원본 EFS 복구 에이전트 키의 백업 사본을 두 곳 이상의 안전한 위치에 따로따로 보관한 후에는 인증 기관 콘솔의 인증서 템플릿 개체에서 원본 복구 키를 삭제할 수 있습니다.
###### 개별 사용자에 대한 DRA 인증서 요청
도메인에 여러 복구 에이전트가 필요하거나 법적인 이유나 조직의 정책에 따라 복구 에이전트가 도메인 관리자와 달라야 하는 환경에서는 특정 사용자를 복구 에이전트로 식별해야 할 수 있습니다. 이러한 사용자에게는 파일 복구 인증서를 발급해야 합니다.
파일 복구 인증서를 발급하려면 다음과 같은 조건이 충족되어야 합니다.
- 기업 CA를 사용할 수 있어야 합니다.
- 기업 CA의 정책에서 지정된 사용자/에이전트가 파일 복구 인증서를 요청하여 얻을 수 있도록 허용해야 합니다.
- 각 사용자가 파일 복구 인증서를 요청해야 합니다.
이 프로세스는 인증서 자동 등록을 통해 자동으로 수행할 수도 있고 다음 절차에 나온 단계에 따라 수동으로 수행할 수도 있습니다.
**EFS 복구 에이전트 인증서를 만들려면**
1. **시작**, **실행**을 차례로 클릭하고 **mmc**를 입력한 다음 **확인**을 클릭합니다.
2. **파일** 메뉴에서 **스냅인 추가/제거**를 클릭한 다음 **추가**를 클릭합니다.
3. **인증서**를 두 번 클릭하고 **내 사용자 계정**을 선택한 다음 **마침**을 클릭합니다. **닫기**를 클릭한 다음 **확인**을 클릭합니다.
4. **인증서 - 현재 사용자** 옆의 더하기 기호(**+**)를 클릭하여 폴더를 확장합니다.
5. **개인**을 마우스 오른쪽 단추로 클릭하고 **모든 작업**을 클릭한 다음 **새 인증서 요청**을 클릭하여 인증서 요청 마법사를 시작합니다.
6. 마법사의 첫 번째 페이지는 정보 페이지입니다. **다음**을 클릭하여 계속합니다.
7. 인증서 템플릿 목록이 표시됩니다. **EFS 복구 에이전트**를 선택하고 **다음**을 클릭합니다.
8. 인증서를 구분할 이름을 입력하고 원할 경우 설명을 추가합니다. **다음**, **마침**을 차례로 클릭하여 인증서를 요청합니다.
9. **확인**을 클릭하여 인증서가 성공적으로 요청되었음을 확인합니다.
도메인 전체 EFS 복구 정책을 만들려면 이전에 만든 EFS 복구 에이전트 인증서를 .CER 형식으로 내보내야 합니다.
###### EFS DRA 인증서 요청 승인
일반적으로 EFS DRA 인증서 요청은 인증서 서비스에서 수동으로 승인해야 합니다.
**Microsoft 인증서 서비스 서버로 전송된 DRA 요청을 검토 및 승인하려면**
1. 인증서 서비스에서 디지털 인증서 요청을 승인할 수 있는 사용자 계정으로 Windows에 로그온합니다.
2. 허가된 인증서 서비스 서버에 해당하는 인증 기관 콘솔을 엽니다. 인증 기관 콘솔을 열려면 **시작**을 클릭하고 **모든 프로그램**, **관리 도구**를 차례로 가리킨 다음 **인증 기관**을 선택합니다.
3. 인증 기관 서버를 확장하여 구성 요소를 표시합니다.
4. **대기 중인 요청**을 클릭합니다. 오른쪽 창에 승인을 기다리는 대기 중인 인증서 요청 목록이 표시됩니다.
5. 적합한 대기 중인 EFS 복구 에이전트 인증서 요청을 찾아 마우스 오른쪽 단추로 클릭한 다음 **발급**을 선택합니다. 작업을 마치면 인증 기관 콘솔을 닫습니다.
**참고:**
관리자 승인이 필요한 인증서 템플릿을 사용하여 인증서를 수동으로 요청할 경우 요청이 실패할 수 있습니다. 요청이 실패하면 템플릿을 편집하여 관리자 승인 요구 사항을 제거하거나 다른 템플릿을 사용하여 새 요청을 만들어야 합니다.
###### 정책에 할당할 수 있도록 인증서 내보내기
DRA 인증서를 개별 사용자에게 할당한 후, 그룹 정책 개체에 연결하여 복구 정책으로 할당할 수 있도록 해당 인증서를 내보내야 합니다.
**GPO에 할당할 수 있도록 인증서를 내보내려면**
1. **개인** 폴더를 확장합니다.
2. **모든 작업**을 클릭한 다음 **내보내기**를 클릭합니다. **다음**을 클릭하여 내보내기 프로세스를 시작합니다.
3. **아니요, 개인 키를 내보내지 않습니다.** 확인란을 선택하고 **다음**을 클릭합니다.
4. 기본값인 .cer 파일 형식을 그대로 놔두고 **다음**을 클릭합니다.
5. **다음**을 클릭합니다.
6. **마침**을 클릭한 다음 **확인**을 클릭합니다.
7. 인증서 콘솔을 닫습니다.
###### 데이터 복구 에이전트 정의
DRA를 정의하려면 그룹 정책 개체 내의 공개 키 정책 개체를 수정하고 DRA를 추가한 후 DRA의 인증서를 DRA에 연결합니다. DRA를 정의하려면 .CER 형식의 DRA의 인증서가 필요합니다.
**DRA를 정의하려면**
1. **시작**, **실행**을 차례로 클릭하고 **mmc**를 입력한 다음 **확인**을 클릭합니다.
2. **파일** 메뉴에서 **스냅인 추가/제거**를 클릭합니다.
3. **추가**를 클릭하고 **그룹정책**으로 스크롤하여 두 번 클릭합니다.
4. 영향을 받는 컴퓨터에 DRA 정책을 적용하는 데 사용할 그룹 정책 개체를 선택한 다음 **확인**을 클릭합니다.
5. 대상 GPO 옆의 더하기 기호(**+**)를 클릭하여 트리를 확장합니다. **컴퓨터 구성**, **Windows 설정**, **보안 설정**, 및 **공개 키 정책**을 차례로 확장합니다. **파일 시스템 암호화**를 클릭합니다.
6. **파일 시스템 암호화**를 마우스 오른쪽 단추로 클릭한 다음 **데이터 복구 에이전트 추가**를 클릭합니다.
7. **복구 에이전트 추가** 마법사 화면에서 **다음**, **폴더 찾아보기**를 차례로 클릭한 다음 관리자의 **Documents and Settings** 폴더로 이동합니다. **DRA.CER** 파일을 두 번 클릭하고 **다음**을 클릭한 다음 **마침**을 클릭합니다.
##### 키 복구 에이전트 관리 및 구성
EFS 배포에 필요한 다음 구현 작업은 KRA(키 복구 에이전트) 계정과 인프라를 설정하는 것입니다.
###### 키가 저장되도록 인증서 서비스 구성
Windows Server 2003 인증서 서비스 솔루션을 사용할 경우 자동 키 저장이 지원되도록 CA를 구성할 수 있습니다. Windows Server 2003 이상의 서버 버전에서만 자동 키 저장이 가능합니다. 자동 키 저장을 구성하려면 다음 작업을 수행해야 합니다. 이러한 작업에 대해서는 다음에 나오는 하위 섹션에 자세히 설명되어 있습니다.
- 키 복구 에이전트 인증서를 사용하도록 설정
- 키 복구 에이전트 인증서 요청 및 발급
- 인증서 요청 승인
- 인증서 서비스에 키 복구 에이전트 구성
- 저장 기능 플래그를 포함하여 새롭게 발급된 인증서가 저장될 수 있도록 디지털 인증서 템플릿 구성
**키 복구 에이전트 인증서를 사용하도록 설정**
키 복구 에이전트 인증서 요청이 가능하도록 하려면 우선 인증서 서비스에서 해당 인증서를 사용하도록 설정해야 합니다.
**KRA 인증서 요청이 가능하도록 하려면**
1. 키 복구 에이전트가 될 사용자 계정을 하나 이상 선택합니다.
2. 인증서 서비스를 관리할 수 있는 사용자 계정으로 Windows에 로그온합니다.
3. 인증 기관 콘솔을 열고(**시작**, **모든 프로그램**, **관리 도구**, **인증 기관**) 허가된 인증서 서비스 서버에 연결합니다.
4. **인증 기관** 노드를 확장한 다음 **인증서 템플릿** 개체를 마우스 오른쪽 단추로 클릭하고 **관리**를 선택하여 인증서 템플릿 콘솔을 엽니다.
5. **키 복구 에이전트** 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 **속성**을 선택합니다.
6. **보안** 탭을 클릭하고 1단계에서 선택한 KRA로 지정할 사용자 계정에 **읽기** 및 **등록** 권한이 있는지 확인합니다.
7. **요청 처리** 탭에서 **최소 키 크기**가 2048비트 이상으로 설정되어 있는지 확인합니다.
**참고:**
모든 DRA 및 KRA 복구 키를 2048비트 이상으로 설정하는 것이 좋습니다.
8. **확인** 을 클릭합니다.
9. 1024비트 이하의 키가 이미 생성되어 사용되고 있는 경우 보다 긴 새로운 키를 생성하여 강력하지 않은 키를 교체해야 합니다. **키 복구 에이전트** 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 **모든 인증서 소유자 다시 등록** 옵션을 선택합니다.
10. **인증서 템플릿** 개체를 마우스 오른쪽 단추로 클릭하고 **새로 만들기**를 선택한 다음 **발급할 인증서 템플릿**을 선택합니다.
11. **키 복구 에이전트 인증서**를 선택하고 **확인**을 클릭합니다.
12. 인증서 템플릿 및 인증 기관 콘솔을 닫습니다.
**키 복구 에이전트 인증서 요청 및 발급**
지정한 계정을 KRA로 사용하도록 설정한 후 KRA 사용 가능 인증서를 해당 사용자에게 발급해야 합니다.
**참고:**
키 복구 에이전트 인증서는 인증서 콘솔, 웹 등록(사용하도록 설정된 경우) 또는 수동 인증서 요청 파일을 사용하는 등 여러 가지 방법으로 요청할 수 있습니다. 이 가이드에서는 인증서 콘솔을 사용하는 방법에 대해 설명합니다.
**KRA 사용 가능 인증서를 발급하려면**
1. KRA 사용자 계정의 로그온 및 암호를 사용하여 Windows에 로그온합니다.
2. **시작**, **실행**을 차례로 클릭하고 **MMC.EXE**를 입력한 다음 Enter를 누릅니다. 사용자 계정 컨트롤에서 메시지가 표시될 경우 **계속**을 클릭합니다.
3. **파일** 메뉴 옵션을 클릭한 다음 **스냅인 추가/제거**를 선택합니다.
4. **인증서** 스냅인을 선택한 다음 **추가**를 클릭합니다.
5. **내 사용자 계정**을 선택하고 **마침**을 클릭한 다음 **확인**을 클릭합니다.
6. **인증서-현재 사용자** 개체를 확장한 다음 **개인** 개체를 클릭합니다.
7. **개인**을 마우스 오른쪽 단추로 클릭하고 **모든 작업**, **새 인증서 요청**을 차례로 선택합니다.
8. **다음**을 클릭합니다.
9. **인증서 유형** 대화 상자에서 **키 복구 에이전트**를 선택하고 **다음**을 클릭합니다.
10. 이름(예: **My Key Recovery Agent Certificate**)과 설명을 입력하고 **다음**을 클릭한 다음 **마침**을 클릭합니다.
11. 인증서 콘솔이 더 이상 필요 없게 되면 닫습니다.
12. Windows에서 로그아웃합니다.
키 복구 에이전트 인증서를 받을 수 있는 권한이 있는 모든 사용자에 대해 1-2단계를 반복합니다.
**인증서 요청 승인**
일반적으로 KRA 인증서는 인증서 서비스에서 수동으로 승인해야 합니다.
**KRA 인증서 요청을 승인하려면**
1. 인증서 서비스에서 디지털 인증서 요청을 승인할 수 있는 사용자 계정으로 Windows에 로그온합니다.
2. 인증 기관 콘솔을 열고 허가된 인증서 서비스 서버에 연결합니다.
3. **인증 기관** 노드를 확장한 다음 **대기 중인 요청**을 클릭합니다. 오른쪽 창에 승인을 기다리는 대기 중인 인증서 요청이 표시됩니다.
4. 승인할 KRA 인증서 요청을 선택합니다.
5. 각 KRA 요청을 마우스 오른쪽 단추로 클릭한 다음 **발급**을 선택합니다.
6. 인증 기관 콘솔을 닫습니다.
**인증서 서비스에서 키 복구 에이전트 구성**
각각의 키 복구 에이전트를 인증서 서비스에 추가해야 합니다.
**인증서 서비스에 KRA를 추가하려면**
1. 인증서 서비스를 관리할 수 있는 사용자 계정으로 Windows에 로그온합니다.
2. 인증 기관 콘솔을 열고 허가된 인증서 서비스 서버에 연결합니다.
3. **속성**을 선택합니다.
4. **복구 에이전트** 탭을 클릭합니다.
.gif)
**그림 2.3. 인증 기관 콘솔의 서버 개체에 대한 복구 에이전트 탭**
5. **사용할 복구 에이전트의 개수** 상자에 저장된 키를 암호화하는 데 사용할 키 복구 에이전트의 개수를 입력합니다. 이 값은 최소 1 이상이어야 합니다. 그러나 이 값이 "유효" 상태의 복구 에이전트 인증서 개수를 초과할 경우 키 저장이 필요한 새 등록 요청은 실패합니다.
6. **추가**를 클릭하고 이전에 승인한 KRA를 하나 이상 추가합니다. **확인**을 클릭합니다.
7. **예**를 선택합니다. 인증서 서비스를 중지하고 다시 시작하기 전에는 새 키 복구 에이전트가 로드되지 않습니다.
8. 인증 기관 콘솔이 더 이상 필요 없게 되면 닫습니다.
**키 저장이 가능한 새 EFS 인증서 템플릿 만들기**
사용자에게 EFS 디지털 인증서를 발급하는 데 사용되는 디지털 인증서는 키가 자동 저장되도록 구성해야 합니다. 이 옵션은 기본 제공되는 기본 EFS 인증서 템플릿에서는 사용할 수 없습니다. 기본 제공 템플릿을 복사한 다음 EFS 인증서 템플릿 사본에서 키 저장이 자동으로 수행되도록 해야 합니다.
**자동으로 키가 저장되도록 디지털 인증서를 구성하려면**
1. 인증서 서비스를 관리할 수 있는 사용자 계정으로 Windows에 로그온합니다.
2. 인증 기관 콘솔을 열고 허가된 인증서 서비스 서버에 연결합니다.
3. **인증 기관** 노드를 확장한 다음 **인증서템플릿** 노드를 마우스 오른쪽 단추로 클릭하고 **관리**를 선택하여 인증서 템플릿 콘솔을 엽니다.
4. **기본 EFS** 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 **템플릿 복제**를 선택합니다.
5. 새 인증서 템플릿에 표준 인증서 템플릿과 구별되도록 새 이름을 할당합니다(예: Updated Basic EFS).
6. **요청 처리** 탭을 클릭하고 다음 스크린 샷에서와 같이 **주체의 암호화 개인 키 보관** 확인란을 선택합니다.
.gif)
**그림 2.4. 인증 기관 콘솔의 새 템플릿의 속성 대화 상자**
7. 원하는 키 강도를 설정합니다(예: 2048비트).
8. **보안** 탭을 클릭하고 EFS에 참여시킬 사용자 계정에 **읽기** 및 **등록** 권한이 있는지 확인합니다.
9. 자동 등록, 유효 기간 등 기타 인증서 템플릿 옵션을 원하는 대로 설정합니다.
10. **기본 EFS 인증서** 템플릿에서 **보안** 탭을 클릭하고 **등록 권한**에 **거부** 작업을 할당하는 새 액세스 제어 항목을 만듭니다.
**참고:**
모든 발급된 EFS 인증서는 새로 구성된 인증서에서 발급되어야 하며 그렇지 않으면 키가 자동으로 저장되지 않습니다.
11. **확인**을 클릭하고 인증 기관 콘솔을 종료합니다.
##### 오프라인 복구 에이전트 만들기 및 사용
Microsoft는 KRA 및 DRA를 오프라인으로 사용할 수 있도록 구성하고 복구에 필요한 경우에만 사용하도록 강력하게 권장합니다. 오프라인 복구 에이전트를 만드는 일반적인 4단계 절차는 다음과 같습니다.
1. 복구 에이전트에만 사용할 새 사용자 계정을 만듭니다.
2. DRA 또는 KRA 디지털 인증서를 요청하여 생성한 다음 새 계정에 할당합니다.
3. 인증서와 개인 키를 내보내고 네트워크에서 제거한 다음 안전하게 저장합니다.
4. 필요할 때까지 사용할 수 없도록 복구 사용자 계정을 사용하지 않도록 설정합니다.
1단계와 2단계는 본 가이드에 설명되어 있으며, 4단계는 표준 Windows 계정의 유지 관리 작업입니다. 그러나 3단계에는 몇 가지 추가적인 설명이 필요합니다.
###### 복구 인증서 내보내기 및 제거
오프라인으로 사용할 수 있도록 복구 인증서를 내보내고 제거하려면 다음 단계를 수행합니다.
**복구 인증서를 내보내고 제거하려면**
1. 키를 내보낼 복구 사용자 계정으로 Windows에 로그온합니다.
2. **시작**, **실행**을 차례로 클릭하고 **MMC.EXE**를 입력한 다음 Enter를 누릅니다. 사용자 계정 컨트롤에서 메시지가 표시될 경우 **계속**을 클릭합니다.
3. **파일** 메뉴에서 **스냅인 추가/제거**를 클릭합니다.
4. **인증서** 스냅인을 선택한 다음 **추가** 단추를 클릭합니다.
5. **내 사용자 계정**라디오 단추를 선택하고 **마침** 단추를 클릭한 다음 **확인**을 클릭합니다.
6. **인증서-현재 사용자** 개체, **개인**을 차례로 확장한 다음 **인증서**를 클릭합니다.
7. 올바른 복구 디지털 인증서를 찾습니다. 어떤 인증서를 사용할지 모르겠으면 **용도** 필드에 **파일 복구** 또는 **키 복구**로 되어 있는 디지털 인증서를 찾습니다.
8. **모든 작업**을 클릭한 다음 **내보내기**를 클릭하여 인증서 내보내기 마법사를 시작합니다.
9. **다음** 단추를 클릭합니다.
10. **예, 개인 키를 내보냅니다.** 확인란을 선택하고 **다음**을 클릭합니다.
11. **Delete private key if export is successful** 확인란을 선택하고 **다음**을 클릭합니다.
.gif)
**그림 2.5. 인증서 내보내기 마법사의 파일 형식 내보내기 프롬프트**
12. **다음**을 클릭합니다.
13. **찾아보기**를 클릭한 다음 내보낸 복구 인증서를 저장할 위치를 선택합니다.
14. 백업된 복구 키 및 인증서의 파일 이름을 입력합니다. 키를 쉽게 다시 가져올 수 있도록 파일 확장명을 .PFX로 놔둡니다.
15. **저장**, **다음**, **마침**을 차례로 클릭한 다음 **확인**을 클릭합니다.
16. 결과 백업 파일을 다른 위치로 복사한 후 필요 없으면 현재 위치에서 삭제합니다. EFS 디지털 인증서 또는 파일을 삭제한 후 휴지통을 비우십시오.
17. 백업된 복구 디지털 인증서 및 키를 두 곳 이상의 안전한 위치에 따로따로 보관합니다.
**참고:**
복구 인증서 개인 키를 내보낼 때 FEK 암호화에 사용되는 복구 공개 키는 컴퓨터에 남아 있어야 합니다. 복구 공개 키를 삭제하면 복구 에이전트가 EFS로 보호되는 파일이나 키를 암호화하거나 복구할 수 없습니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 컴퓨터별 구성 작업
앞에서 설명한 인프라 구성 작업뿐 아니라 각 컴퓨터에서도 구성 작업을 수행해야 합니다.
#### BitLocker를 위한 컴퓨터별 구성 작업
컴퓨터에서 BitLocker를 구성하려면 다음 작업을 수행해야 합니다.
- 컴퓨터에서 BitLocker를 실행할 수 있는지 확인합니다.
- TPM이 있으면 사용하도록 설정하고 초기화합니다.
- BitLocker 사용
##### TPM이 지원되도록 BIOS 업데이트
계획 단계에서 BitLocker를 사용할 컴퓨터와 이러한 컴퓨터 중 TPM v1.2 이상 하드웨어 및 호환되는 BIOS가 포함된 컴퓨터를 결정했습니다. BitLocker를 위한 컴퓨터별 구성 작업의 첫 번째 단계는 BitLocker가 필요한 컴퓨터에서 BIOS를 업데이트하는 것입니다.
각 컴퓨터에서 BIOS를 업데이트하는 데 필요한 단계는 제조업체마다 다릅니다. 종종 새 컴퓨터와 함께 제공되는 미디어에 BIOS 펌웨어 업데이트가 포함되기도 하나 대부분 OEM이나 마더보드 공급업체의 웹 사이트에서 이용할 수 있습니다. 일반적으로 모바일 컴퓨터에서는 제조업체에서 제공한 BIOS 이미지를 사용하여 부팅 가능한 CD나 USB 디스크를 만들고 컴퓨터가 전기 콘센트에 연결된 상태에서 이를 사용하여 컴퓨터를 부팅해야 합니다. 이 프로세스를 수행하려면 업데이트할 각 컴퓨터에 물리적으로 접근할 수 있어야 합니다. 제조업체의 지침에 따라 BIOS 펌웨어를 업데이트하고 업데이트를 적용한 후 컴퓨터를 재부팅합니다.
**참고:**
소프트웨어 업데이트 및 성능 향상 등 여러 가지 이유로 인해 참여하는 모든 컴퓨터에 최신 BIOS 펌웨어 업데이트를 적용하는 것이 중요합니다. Windows Vista에서 TPM이나 BitLocker를 사용하기 전에 최신 펌웨어 버전이 설치되어 있는지 확인하십시오.
##### 안정적인 부팅 경로 확인
BitLocker 및 TPM은 통칭 TPM *유효성 검사 플랫폼*(PVP)으로 알려져 있는 일련의 검사를 수행하여 컴퓨터 시작 시 Windows Vista 부팅 프로세스를 통해 부팅 경로의 무결성을 확인합니다. BitLocker가 설치된 후 부팅 프로세스가 많이 바뀐 경우 PVP 결과가 달라지며 무결성 변화가 나타날 수 있습니다. 무결성이 변화될 경우 BitLocker는 추가 복구 방법을 사용하지 않고 운영 체제 볼륨의 잠금 해제를 거부할 수 있습니다.
이런 이유 때문에 BitLocker를 사용하기 전에 하드웨어 및 소프트웨어 부팅 경로가 완벽하게 구성되어 있고 안정적인지 확인하도록 하십시오. 특히 BitLocker를 사용할 각 컴퓨터에는 다음 항목이 있어야 합니다.
- 올바른 부팅 장치를 반영하는 BIOS 구성
- 설치된 ROM 펌웨어를 사용하는 모든 옵션 장치
- 구성된 Wake-on-LAN 이벤트
- 구성된 Windows 부팅 구성 데이터(BCD)
로컬 컴퓨터 정책 및 Active Directory 그룹 정책을 사용하여 시작 프로세스 중에 TPM에서 어떤 부팅 구성 요소(*플랫폼 구성 레지스터* 또는 PCR)를 고려하도록 할지 구성할 수 있습니다. 대부분의 응용 프로그램의 경우 기본 PCR 집합만으로도 훌륭한 보안을 제공하므로 이를 변경하지 않는 것이 좋습니다.
BitLocker를 설치한 후 해당하는 PCR이 있는 구성 요소를 변경하면 BitLocker에서 복구 암호를 요청합니다. PCR 변경의 예로는 BIOS 업데이트, ROM 사용 가능 부팅 장치 추가, MBR(마스터 부트 레코드), 파티션 테이블, 하위 수준 부팅 섹터 데이터, 부팅 구성 데이터 또는 부팅 관리자 수정, 또는 새로운 이중 부팅 시나리오에서 다른 운영 체제 설치 등이 포함됩니다.
**참고:**
Windows Vista MBR(마스터 부트 레코드), 부팅 섹터 코드 및 부팅 관리자는 BitLocker를 위한 중요한 무결성 보호를 제공합니다. Microsoft는 타사 부팅 로더를 사용하지 않을 것을 강력하게 권장합니다. BitLocker를 사용하도록 설정한 후 새 부팅 로더를 추가하면 복구가 시작되고, BitLocker를 사용하도록 설정하기 전에 부팅 로더를 전환하면 BitLocker가 안전한 부팅 환경을 유지하지 못합니다.
##### TPM 사용
TPM이 포함된 BitLocker를 배포하려는 경우 각 클라이언트 컴퓨터에서 TPM을 사용하도록 설정해야 합니다. Windows Vista와 호환되는 것으로 인증된 컴퓨터에는 BitLocker가 BitLocker 설정 프로세스 중에 TPM을 사용할 수 있도록 허용하는 BIOS 버전이 포함되어 있습니다. 이러한 BIOS 버전이 포함되어 있지 않은 경우 TPM을 사용하도록 설정하면 컴퓨터의 BIOS 설정 및 구성 프로그램을 사용해야 합니다. 이러한 프로그램은 컴퓨터의 하드웨어 부팅 프로세스 중에 특정 키 조합을 누르면 대부분 시작됩니다. TPM 옵션은 종종 구성 화면의 **고급 옵션** 또는 **주변기기 구성** 아래에서 찾을 수 있으나 정해진 기본 위치는 없습니다. 이 옵션을 사용하지 않도록 설정한 경우 **사용**을 선택하고 새 BIOS 설정을 저장하고 종료한 다음 필요한 경우 재부팅합니다. 재부팅하면 대부분의 TPM이 포함된 컴퓨터에서는 TPM을 사용할 것인지 확인하라는 메시지가 있는 다음 스크린 샷에 나와 있는 것과 같은 화면이 나타납니다.
.gif)
**그림 2.6. TPM 확인 대화 상자의 예**
##### Windows Vista에서 TPM 초기화
TPM을 BitLocker와 함께 사용할 경우 Windows Vista가 TPM의 소유권을 가질 수 있도록 TPM 칩을 초기화해야 합니다. TPM 소유권 정보는 TPM MMC 스냅인(tpm.msc)을 통해 볼 수 있습니다.
각 컴퓨터마다 TPM을 한 번씩 초기화해야 합니다. 각 운영 체제마다 한 번씩 BitLocker를 사용하도록 설정해야 합니다(컴퓨터가 여러 운영 체제로 부팅되도록 구성된 경우). 즉, 한 컴퓨터에 여러 Windows Vista 부팅이 설치된 경우 설치된 각 Windows Vista마다 BitLocker를 사용하도록 설정해야 합니다.
일반적인 경우에는 BitLocker 설정 마법사가 TPM을 자동으로 초기화합니다. 그러나 필요한 경우 TPM을 수동으로 초기화할 수도 있습니다.
**Windows Vista에서 TPM을 초기화하려면**
1. BIOS에서 TPM 칩이 사용되도록 설정되었는지 확인합니다.
2. TPM 관리 암호에 사용할 수 있는 적절한 저장 또는 프린터 장치가 있는지 확인합니다.
3. 컴퓨터에 대한 로컬 관리자 권한이 있는 계정으로 Windows Vista에 로그온합니다.
4. MMC 신뢰할 수 있는 플랫폼 모듈 스냅인을 시작합니다. MMC TPM 스냅인을 시작하려면 **검색** 상자에 **TPM.MSC**를 입력하고 Enter를 누릅니다.
5. **계속**을 클릭하면 TPM 콘솔이 나타납니다.
6. Windows Vista가 TPM 칩을 인식하지 못하면 문제를 해결하고 TPM 칩을 사용하도록 설정한 후 이 절차를 다시 시작합니다.
7. **작업** 창에서 **TPM 초기화** 옵션을 클릭합니다.
8. **TPM 소유자 암호 만들기** 대화 상자에 TPM 소유자 암호를 만들라는 메시지가 표시됩니다. 이 암호는 BitLocker 작업 이외의 TPM 관리 작업에만 필요합니다.
마법사에서 암호를 자동으로 만들도록 할 수도 있고(권장 작업) 수동으로 암호를 만들 수도 있습니다. 암호를 수동으로 만들 경우 8자 이상으로 암호를 만들어야 합니다. TPM 소유자 암호는 설정한 후에 언제든지 변경할 수 있습니다. 단, 암호를 변경하려면 현재 암호를 알고 있어야 합니다.
9. 이동식 미디어나 USB 플래시 메모리 장치, 파일 위치, 데스크톱 또는 네트워크 위치 등 기타 유효한 저장 위치에 암호를 저장할 수 있습니다. 원하는 경우 연결된 로컬 또는 네트워크 프린터에서 암호를 인쇄할 수 있습니다. TPM 암호를 저장할 경우 Windows Vista에서는 해당 암호가 .TPM 파일 확장명으로 끝나는 XML 형식 파일로 저장됩니다. 기본적으로 파일에는 컴퓨터의 이름이 지정됩니다. TPM 소유자 암호를 인쇄하거나 두 곳 이상의 안전한 위치에 따로따로 저장해야 합니다.
10. 암호를 입력하고 저장하거나 인쇄하면 TPM이 초기화되기 시작합니다. TPM 초기화 상태를 나타내는 진행 상황 대화 상자가 표시됩니다.
11. 초기화가 완료되면 완료 대화 상자가 표시됩니다. **닫기**를 클릭하여 초기화 프로세스를 종료합니다.
**manage-bde.wsf** 스크립트를 사용하여 Windows Vista에서 TPM을 초기화하고 소유권을 가져올 수도 있습니다.
**cscript manage-bde.wsf -tpm -takeownership -***<password>*
이 명령을 실행하면 TPM의 소유권을 가져오고 TPM 소유자 정보가 지정된 값으로 설정됩니다.
제공된 WMI 인터페이스를 사용하여 TPM 제어를 위한 사용자 지정 스크립트를 작성할 수도 있습니다.
##### BitLocker 사용
BitLocker는 수동으로 다음 절차에 나온 단계를 수행하거나 Windows 배포 마법사를 사용하는 두 가지 방법을 통해 사용하도록 설정할 수 있습니다. Windows 배포 마법사를 사용하여 BitLocker를 사용하도록 설정하는 방법에 대한 자세한 내용은 비즈니스 데스크톱 배포 툴킷의 "Lite Touch 설치 가이드" 섹션에서 [Running the Windows Deployment Wizard(Windows 배포 마법사 실행)](https://go.microsoft.com/fwlink/?linkid=78820)를 참조하십시오.
**참고:**
그룹 정책 설정을 사용하여 최종 사용자가 구성할 수 있는 BitLocker 기능을 제어할 수 있으므로 다음 스크린 샷에 나와 있는 인터페이스는 다를 수 있습니다.
**BitLocker를 수동으로 사용하도록 설정하려면**
1. **보안**을 두 번 클릭합니다.
2. **BitLocker 드라이브 암호화**를 두 번 클릭합니다 사용자 계정 컨트롤에서 메시지가 표시될 경우 **계속**을 클릭합니다.
.gif)
**그림 2.7. 제어판의 BitLocker 드라이브 암호화 화면**
3. **BitLocker 켜기** 옵션을 클릭합니다.
4. 다음 그림에서와 같이 BitLocker 복구 암호를 인쇄하거나 저장할 위치를 선택하라는 메시지가 표시될 수 있습니다. BitLocker 복구 암호를 저장하기로 선택한 경우 48자로 된 BitLocker 복구 암호는 이름이 BitLocker Password ID인 텍스트 파일로 저장됩니다. USB 플래시 메모리 드라이브에 복구 암호를 저장할 경우 256비트 복구 키가 확장명이.BEK인 숨김 파일로 저장됩니다. 모든 파일 저장 위치나 USB 플래시 메모리 드라이브를 선택할 수 있으며 또는 복구 암호를 인쇄할 수도 있습니다. 다음 스크린 샷에서는 복구 암호가 USB 플래시 메모리 드라이브의 폴더에 저장되는 경우를 보여 줍니다.
.gif)
**그림 2.8. BitLocker 복구 암호 옵션**
5. 하나 이상의 안전한 위치에 복구 암호를 따로따로 저장해야 합니다. 이 BitLocker 복구 암호를 분실할 경우 데이터에 액세스하지 못할 수 있습니다. BitLocker 복구 암호를 성공적으로 저장한 후에야 BitLocker를 계속 사용할 수 있습니다.
**참고:**
복구 암호는 텍스트 파일에 일반 텍스트로 작성되므로 무단 액세스로부터 보호해야 합니다.
BitLocker 복구 암호를 한 번 이상 저장한 후 **다음** 단추를 클릭합니다.
6. **볼륨 암호화** 대화 상자에서 **BitLocker 시스템 검사 실행** 옵션을 선택하여 부팅 경로를 신뢰할 수 있는지 그리고 암호화를 시작하기 전에 BitLocker 보호 기능을 찾을 수 있는지 확인합니다. 이 단계는 선택 사항이지만 강력하게 권장됩니다. 오류가 발생할 경우 경고가 표시되고 BitLocker 암호화가 자동으로 수행되지 않습니다.
7. **계속** 단추를 클릭합니다. 시스템 검사를 수행하지 않도록 선택한 경우 **암호화**를 클릭하여 볼륨 암호화를 시작할 수 있습니다.
8. 시스템 검사를 선택한 경우에는 USB 플래시 메모리 미디어를 삽입했는지 확인한 다음(USB 플래시 메모리 미디어에 BitLocker 복구 암호를 저장하도록 선택한 경우) 컴퓨터를 다시 시작하라는 메시지가 나타납니다.
9. 컴퓨터를 다시 시작하는 동안 Windows Vista에서는 USB 키에 저장된 BitLocker 복구 암호를 찾아서 확인한 후 사전 부팅 대화 상자에 성공했음을 나타내는 메시지를 표시합니다.
10. Windows Vista가 다시 시작되면 BitLocker가 부팅 볼륨을 암호화하기 시작하고 다음 스크린 샷에서와 같이 완료된 비율을 나타내는 진행 상황 메시지를 표시합니다.
.gif)
**그림 2.9. BitLocker 암호화 진행 상황 메시지**
첫 번째로 활성화되는 운영 체제 볼륨 암호화에서는 약간의 성능상 지연이 나타납니다. 암호화가 수행되는 동안 사용자는 계속해서 컴퓨터에서 작업할 수 있습니다.
##### BitLocker 구성 및 설치 확인
BitLocker에서 운영 체제 볼륨의 암호화를 마치면 다음 스크린 샷과 같은 디스크 관리 콘솔을 사용하여 상태를 확인할 수 있습니다. 암호화된 볼륨에는 BitLocker Encrypted라는 단어가 포함됩니다.
.gif)
**그림 2.10. 디스크 관리 콘솔**
Active Directory에 복구 키를 저장한 경우 Active Directory에 저장된 복구 정보가 정확한지 확인해야 합니다. 복구 정보를 확인하려면 BitLocker 복구 암호 뷰어(Microsoft 기술 자료 문서 928202, "[How to use the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool to view recovery passwords for Windows Vista(Active Directory 사용자 및 컴퓨터 도구용 BitLocker 복구 암호 뷰어를 사용하여 Windows Vista의 복구 암호를 보는 방법)](https://support.microsoft.com/kb/928202)"를 얻어서 설치한 후 이를 사용하여 하나 이상 테스트 컴퓨터에서 복구 정보를 사용할 수 있는지 확인합니다. BitLocker 복구 암호 뷰어를 사용하면 필요한 경우 간편하게 권한이 있는 지원 센터 또는 지원 담당자가 복구 정보를 검색하도록 허용할 수도 있습니다. 암호 복구와 관련한 정책 문제에 대한 자세한 내용은 [Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information(Windows BitLocker 드라이브 암호화 및 신뢰할 수 있는 플랫폼 모듈 복구 정보를 백업하도록 Active Directory 구성)](https://go.microsoft.com/fwlink/?linkid=67438) 가이드를 참조하십시오.
#### EFS를 위한 컴퓨터별 구성 작업
EFS에는 컴퓨터별 구성 작업이 비교적 적게 필요합니다. EFS를 처음 배포할 경우 대상 컴퓨터에서 보호하고자 하는 파일이나 폴더를 암호화하기만 하면 됩니다.
##### 파일 및 폴더 암호화
대상 컴퓨터에서 EFS를 사용하도록 설정한 후에는 조직의 사용자가 해당 컴퓨터에서 파일 및 폴더를 암호화할 수 있습니다. 이 툴킷과 함께 제공되는 EFS Assistant를 사용하여 암호화 정책을 만들거나 Windows와 함께 제공되는 두 개의 인터페이스 중 하나를 사용하여 EFS 암호화를 사용하도록 설정하는 방법을 사용자에게 알릴 수도 있습니다.
###### Windows 탐색기 사용
**Windows 탐색기를 사용하여 파일이나 폴더의 암호화 상태를 변경하려면**
1. **속성**을 클릭합니다.
2. **일반** 탭에서 **고급** 단추를 클릭한 다음 **데이터 보호를 위해 내용을 암호화** 확인란을 선택합니다.
3. **확인**을 두 번 클릭하여 파일 암호화를 확인합니다.
.gif)
**그림 2.11. Windows 탐색기의 고급 특성 대화 상자**
폴더의 개별 파일을 처음으로 암호화할 경우 해당 파일만 암호화할지 아니면 전체 상위 폴더를 모두 암호화할지 묻는 메시지가 나타납니다. 전체 상위 폴더를 암호화할 경우 전체 폴더 및 모든 하위 파일과 폴더에 EFS가 사용되도록 설정됩니다.
.gif)
**그림 2.12. Windows 탐색기의 암호화 경고 대화 상자**
###### Cipher.exe 사용
**Cipher.exe**를 사용하여 파일 및 폴더를 암호화할 수도 있습니다. Cipher.exe를 사용하여 암호화하려면 명령 프롬프트에서 암호화할 파일이나 폴더가 들어 있는 디렉터리로 변경합니다. 전체 디렉터리 및 그 안에 들어 있는 모든 파일과 폴더를 암호화하려면 **Cipher.exe /e**를 입력한 다음 Enter를 누릅니다. 또는 **/e** 스위치 다음에 암호화할 파일이나 폴더의 이름을 포함시켜 암호화할 파일이나 폴더 목록을 지정할 수 있습니다.
###### 공유 파일 암호화
**공유 파일에 사용자를 추가하려면**
1. **속성**을 클릭합니다.
2. **일반** 탭에서 **고급** 단추를 클릭한 다음 **자세히** 단추를 클릭합니다.
EFS 디지털 인증서를 보유한 사용할 수 있는 다른 사용자가 표시됩니다.
3. **확인**을 클릭합니다.
4. **확인**을 두 번 클릭하여 Windows 탐색기로 돌아갑니다.
**참고:**
Windows Vista에서는 **Cipher.exe** 명령에 **/adduser** 매개 변수를 사용하여 EFS로 보호되는 파일에 사용자를 추가할 수도 있습니다.
###### 파일 또는 폴더의 암호화 상태 확인
특정 파일이나 폴더가 암호화되었는지 확실하지 않으면 여러 가지 방법을 통해 암호화 상태를 확인할 수 있습니다. 이러한 방법 중 두 가지는 Windows 탐색기에서 육안으로 확인하는 것과 **Cipher.exe**를 사용하는 것입니다.
**Windows 탐색기**
Windows 탐색기에서 EFS로 보호되는 파일 및 폴더는 다음 스크린 샷에서와 같이 녹색 글꼴로 강조 표시되거나 파일 특성에 E가 나타납니다.
.gif)
**그림 2.13. Windows 탐색기의 EFS로 보호되는 파일**
녹색 강조 표시는 Windows XP Professional 이상인 Windows 버전에서 기본적으로 설정되는 특징입니다. Windows XP에서 이 기능을 설정하거나 해제하려면 **폴더 옵션**을 클릭한 다음 **암호화되거나 압축된 NTFS 파일을 컬러로 표시** 특성 확인란을 선택하거나 해제합니다.
Windows Vista에서 이 설정에 액세스하려면 Windows 탐색기를 열고 **구성** 메뉴에서 **폴더 및 검색 옵션**, **보기** 탭을 차례로 클릭한 다음 **암호화되거나 압축된 NTFS 파일을 컬러로 표시** 확인란을 선택하거나 해제합니다.
Windows XP Professional에서 이 설정에 액세스하려면 Windows 탐색기를 열고 **도구** 메뉴에서 **폴더 옵션**을 클릭합니다. 그리고 **보기** 탭을 클릭합니다.
일부 Windows 버전에서는 Windows 탐색기에서 파일 또는 폴더 특성이 쉽게 보이지 않을 수 있습니다. **자세히** 보기로 파일을 표시했는지 확인합니다. 그래도 파일 또는 폴더 특성이 표시되지 않으면 **자세히** 보기에 추가해야 합니다. 파일 또는 폴더 특성을 추가하려면 **자세히** 보기에서 열 머리글을 마우스 오른쪽 단추로 클릭하고 **추가**를 클릭한 다음 **특성**을 선택합니다.
**Cipher.exe**
**Cipher.exe**를 사용하여 EFS로 보호되는 파일을 보고, 암호화하고 암호를 해독할 수도 있습니다. 파일의 EFS 상태를 확인하려면 Windows에서 명령줄 프롬프트틀 열고 해당하는 파일 또는 폴더 위치로 변경한 다음 명령줄 매개 변수 없이 **Cipher.exe**를 입력한 후 Enter를 누릅니다. Cipher 유틸리티는 암호화되지 않은 파일 또는 폴더 옆에는 **U**를, 암호화된 파일 또는 폴더 옆에는 **E**를 표시합니다.
[](#mainsection)[페이지 위쪽](#mainsection)
### 자세한 정보
- [Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information((Windows BitLocker 드라이브 암호화 및 신뢰할 수 있는 플랫폼 모듈 복구 정보를 백업하도록 Active Directory 구성)](https://go.microsoft.com/fwlink/?linkid=67438)
- [Certificate Autoenrollment in Windows XP(Windows XP에서 인증서 자동 등록)](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx)
- [Running the Windows Deployment Wizard(Windows 배포 마법사 실행)](https://go.microsoft.com/fwlink/?linkid=78820)
- [How to use the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool to view recovery passwords for Windows Vista(Active Directory 사용자 및 컴퓨터 도구에 BitLocker 복구 암호 뷰어를 사용하여 Windows Vista의 복구 암호를 보는 방법)](https://support.microsoft.com/kb/928202)
**다운로드**
[Data Encryption Toolkit for Mobile PCs 받기](https://go.microsoft.com/fwlink/?linkid=81666)
**업데이트 알림**
[업데이트 및 새 릴리스에 대해 알아보려면 등록](https://go.microsoft.com/fwlink/?linkid=54982)
**사용자 의견**
[사용자 의견 및 제안 보내기](mailto:secwish@microsoft.com?subject=data%20encryption%20toolkit%20for%20mobile%20pcs,%20data%20encryption%20toolkit%20계획%20및%20구현%20가이드)
[](#mainsection)[페이지 위쪽](#mainsection)