BitLocker 구성: 알려진 문제

  • 아티클

이 문서에서는 BitLocker의 구성 및 일반 기능에 영향을 주는 일반적인 문제에 대해 설명합니다. 이 문서에서는 이러한 문제를 해결하기 위한 지침도 제공합니다.

BitLocker 암호화는 Windows 10 및 Windows 11 속도가 느립니다.

BitLocker는 백그라운드에서 실행되어 드라이브를 암호화합니다. 그러나 Windows 11 및 Windows 10 BitLocker는 이전 버전의 Windows보다 리소스를 요청하는 데 덜 공격적입니다. 이 동작으로 BitLocker가 컴퓨터 성능에 영향을 줄 수 있습니다.

이러한 변경 내용을 보완하기 위해 BitLocker는 Encrypt-On-Write라는 변환 모델을 사용합니다. 이 모델은 BitLocker를 사용하는 즉시 새 디스크 쓰기가 암호화되도록 합니다. 이 동작은 모든 클라이언트 버전 및 내부 드라이브에서 발생합니다.

중요

이전 버전과의 호환성을 유지하기 위해 BitLocker는 이전 변환 모델을 사용하여 이동식 드라이브를 암호화합니다.

새 변환 모델 사용의 이점

이전 변환 모델을 사용하면 BitLocker 변환이 100% 완료될 때까지 내부 드라이브를 보호되고 데이터 보호 표준을 준수하는 것으로 간주할 수 없습니다. 프로세스가 완료되기 전에 암호화가 시작되기 전에 드라이브에 존재한 데이터(잠재적으로 손상된 데이터)는 암호화 없이 계속 읽고 쓸 수 있습니다. 따라서 데이터를 보호되고 데이터 보호 표준을 준수하는 것으로 간주하려면 중요한 데이터가 드라이브에 저장되기 전에 암호화 프로세스를 완료해야 합니다. 드라이브 크기에 따라 이 지연이 상당할 수 있습니다.

새 변환 모델을 사용하면 BitLocker가 켜지는 즉시 중요한 데이터를 드라이브에 저장할 수 있습니다. 암호화 프로세스는 먼저 완료할 필요가 없으며 암호화는 성능에 부정적인 영향을 주지 않습니다. 단점은 기존 데이터에 대한 암호화 프로세스에 더 많은 시간이 걸린다는 것입니다.

기타 BitLocker 향상된 기능

Windows 7 이후 릴리스된 Windows 버전에서는 BitLocker의 다른 여러 영역이 개선되었습니다.

  • 새로운 암호화 알고리즘인 XTS-AES - Windows 10 버전 1511에 추가된 이 알고리즘은 암호 텍스트를 조작하여 일반 텍스트에서 예측 가능한 변경을 유발하는 암호화된 데이터에 대한 공격 클래스로부터 추가적인 보호를 제공합니다.

    기본적으로 이 알고리즘은 FIPS(Federal Information Processing Standards)를 준수합니다. FIPS는 암호화 소프트웨어를 구현하기 위한 벤치마크를 제공하는 미국 정부 표준입니다.

  • 향상된 관리 기능. BitLocker는 다음 인터페이스를 사용하여 PC 또는 기타 디바이스에서 관리할 수 있습니다.

    • BitLocker 마법사
    • manage-bde.exe
    • 그룹 정책 개체(GPO)
    • MDM(모바일 장치 관리) 정책
    • Windows PowerShell
    • WMI(Windows Management Interface)

  • Microsoft Entra ID(Microsoft Entra ID) 통합 - BitLocker는 복구를 더 쉽게 수행할 수 있도록 복구 정보를 Microsoft Entra ID 저장할 수 있습니다.

  • DMA(직접 메모리 액세스) 포트 보호 - MDM 정책을 사용하여 BitLocker를 관리하면 디바이스의 DMA 포트를 차단하여 시작 중에 디바이스를 보호할 수 있습니다.

  • BitLocker 네트워크 잠금 해제 - BitLocker 사용 데스크톱 또는 서버 컴퓨터가 도메인 환경의 유선 회사 네트워크에 연결된 경우 시스템을 다시 시작하는 동안 해당 운영 체제 볼륨을 자동으로 잠금 해제할 수 있습니다.

  • 암호화된 하드 드라이브 지원 - 암호화된 하드 드라이브는 하드웨어 수준에서 자체 암호화하고 전체 디스크 하드웨어 암호화를 허용하는 새로운 하드 드라이브 클래스입니다. 이러한 워크로드를 통해 암호화된 하드 드라이브는 BitLocker 성능을 높이고 CPU 사용량 및 전력 소비를 줄입니다.

  • HDD/SSD 하이브리드 디스크 클래스 지원 - BitLocker는 작은 SSD를 Intel Rapid Storage 기술과 같은 HDD 앞의 비휘발성 캐시로 사용하는 디스크를 암호화할 수 있습니다.

Hyper-V Gen 2 VM: BitLocker 암호화 후 볼륨에 액세스할 수 없습니다.

다음과 같은 경우를 생각해볼 수 있습니다.

  1. BitLocker는 Hyper-V에서 실행되는 2세대 VM(가상 머신)을 켭니다.

  2. 데이터는 암호화할 때 데이터 디스크에 추가됩니다.

  3. VM이 다시 시작되고 다음 동작이 관찰됩니다.

    • 시스템 볼륨은 암호화되지 않습니다.

    • 암호화된 볼륨에 액세스할 수 없으며 컴퓨터는 볼륨의 파일 시스템을 알 수 없음으로 나열합니다.

    • 다음 메시지와 유사한 메시지가 표시됩니다.

      디스크를 사용하려면 drive_letter:> 드라이브에서 < 디스크의 서식을 지정해야 합니다.

Hyper-V Gen 2 VM에서 BitLocker 암호화 후 볼륨에 액세스할 수 없는 원인

이 문제는 타사 필터 드라이버 Stcvsm.sys (StorageCraft에서)가 VM에 설치되어 있기 때문에 발생합니다.

Hyper-V Gen 2 VM에서 BitLocker 암호화 후 볼륨에 액세스할 수 없는 경우 해결 방법

이 문제를 resolve 타사 소프트웨어를 제거합니다.

BitLocker 암호화 디스크를 사용하는 가상화된 도메인 컨트롤러에 대한 프로덕션 스냅샷 실패

다음과 같은 경우를 생각해볼 수 있습니다.

Windows Server 2019 또는 2016 Hyper-V Server는 Windows 도메인 컨트롤러로 구성된 VM(게스트)을 호스팅합니다. 도메인 컨트롤러 게스트 VM에서 BitLocker는 Active Directory 데이터베이스 및 로그 파일을 저장하는 디스크를 암호화했습니다. 도메인 컨트롤러 게스트 VM의 "프로덕션 스냅샷"이 시도되면 VSS(볼륨 Snap-Shot) 서비스가 백업을 올바르게 처리하지 않습니다.

이 문제는 환경의 다음과 같은 변형에 관계없이 발생합니다.

  • 도메인 컨트롤러 볼륨의 잠금을 해제하는 방법.
  • VM이 1세대인지 2세대인지 여부입니다.
  • 게스트 운영 체제가 Windows Server 2019, 2016 또는 2012 R2인지 여부입니다.

게스트 VM 도메인 컨트롤러 Windows 로그>애플리케이션 이벤트 뷰어 로그에서 VSS 이벤트 원본은 이벤트 ID 8229를 기록합니다.

ID: 8229
수준: 경고
원본: VSS
메시지: VSS 작성기가 오류 0x800423f4 이벤트를 거부했습니다. 기록기에 일시적이지 않은 오류가 발생했습니다. 백업 프로세스를 다시 시도하면 오류가 다시 발생할 수 있습니다.

이벤트를 처리하는 동안 기록기가 작성기 구성 요소에 적용한 변경 내용은 요청자가 사용할 수 없습니다.

VSS 기록기를 호스팅하는 애플리케이션의 관련 이벤트에 대한 이벤트 로그를 확인합니다.

작업:
PostSnapshot 이벤트

컨텍스트:
실행 컨텍스트: 기록기
기록기 클래스 ID: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
기록기 이름: NTDS
기록기 인스턴스 ID: {d170b355-a523-47ba-a5c8-732244f70e75}
명령줄: C:\Windows\system32\lsass.exe

프로세스 ID: 680

게스트 VM 도메인 컨트롤러 애플리케이션 및 서비스 로그>디렉터리 서비스 이벤트 뷰어 로그에는 다음 이벤트와 유사하게 기록된 이벤트가 있습니다.

Microsoft-Windows-ActiveDirectory_DomainService 1168 오류
내부 처리 내부 오류: Active Directory Domain Services 오류가 발생했습니다.

추가 데이터
오류 값(10진수): -1022

오류 값(16진수): fffffc02

내부 ID: 160207d9

참고

이 이벤트의 내부 ID는 운영 체제 릴리스 버전 및 패치 수준에 따라 다를 수 있습니다.

이 문제가 발생하면 명령이 실행될 때 vssadmin.exe list writersActive Directory Domain Services(NTDS) VSS 기록기에 다음 오류가 표시됩니다.

Writer name: 'NTDS'
 Writer Id: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
 Writer Instance Id: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 State: [11] Failed
 Last error: Non-retryable error

또한 VM은 다시 시작될 때까지 백업할 수 없습니다.

BitLocker 암호화 디스크를 사용하는 가상화된 도메인 컨트롤러의 프로덕션 스냅샷 실패 원인

VSS가 볼륨의 스냅샷 만든 후 VSS 작성기는 "스냅샷 후" 작업을 수행합니다. 호스트 서버에서 "프로덕션 스냅샷"이 시작되면 Hyper-V는 스냅샷된 볼륨을 탑재하려고 합니다. 그러나 암호화되지 않은 액세스에 대한 볼륨의 잠금을 해제할 수는 없습니다. Hyper-V 서버의 BitLocker는 볼륨을 인식하지 못합니다. 따라서 액세스 시도가 실패하고 스냅샷 작업이 실패합니다.

이것은 의도적으로 설계된 동작입니다.

BitLocker 암호화 디스크를 사용하는 가상화된 도메인 컨트롤러에 대한 프로덕션 스냅샷에 대한 해결 방법 실패

가상화된 도메인 컨트롤러의 백업 및 복원을 수행하는 지원되는 방법은 게스트 운영 체제에서 Windows Server Backup 을 실행하는 것입니다.

가상화된 도메인 컨트롤러의 프로덕션 스냅샷 수행해야 하는 경우 프로덕션 스냅샷 시작하기 전에 게스트 운영 체제에서 BitLocker를 일시 중단할 수 있습니다. 그러나 이 방법은 권장되지 않습니다.

가상화된 도메인 컨트롤러 백업에 대한 자세한 내용 및 권장 사항은 Hyper-V를 사용하여 도메인 컨트롤러 가상화: 가상화된 도메인 컨트롤러에 대한 백업 및 복원 고려 사항을 참조하세요.

추가 정보

VSS NTDS 기록기가 암호화된 드라이브에 대한 액세스를 요청하면 LSASS(로컬 보안 기관 하위 시스템 서비스)는 다음 오류와 유사한 오류 항목을 생성합니다.

\# for hex 0xc0210000 / decimal -1071579136
STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

작업은 다음 호출 스택을 생성합니다.

\# Child-SP RetAddr Call Site
 00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
 01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
 02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 2476\]
 03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \[d:\\rs1\\onecore\\ds\\esent\\src\\os\\osfs.cxx @ 1443\]
 04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11503\]
 05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 11759\]
 06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\jetapi.cxx @ 12076\]
 07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2009\]
 08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \[d:\\rs1\\ds\\ds\\src\\jetback\\snapshot.cxx @ 2190\]
 09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\ijetwriter.cpp @ 1704\]
 0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 5228\]
 0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\vswrtimp.cpp @ 3552\]