BitLocker 복구: 알려진 문제

이 문서에서는 드라이브가 복구될 때 BitLocker가 예상대로 작동하지 않거나 BitLocker가 예기치 않게 복구를 시작할 수 있는 일반적인 문제에 대해 설명합니다. 또한 이 문서에서는 이러한 문제를 해결하기 위한 지침을 제공합니다.

참고

이 문서에서 "복구 암호"는 48자리 복구 암호를 참조하고 "복구 키"는 32자리 복구 키를 나타냅니다. 자세한 내용은 BitLocker 키 보호기를 참조하세요.

Windows에서 존재하지 않는 BitLocker 복구 암호를 묻는 메시지를 표시합니다.

Windows에서 BitLocker 복구 암호를 묻는 메시지를 표시합니다. 그러나 BitLocker 복구 암호가 구성되지 않았습니다.

기존 BitLocker 복구 암호에 대한 Windows 확인 프롬프트

BitLocker 및 Active Directory Domain Services(AD DS) FAQ는 이 증상을 유발할 수 있는 상황을 해결하고 문제를 resolve 절차에 대한 정보를 제공합니다.

• 컴퓨터가 도메인에 가입하기 전에 컴퓨터에서 BitLocker를 사용하도록 설정하면 어떻게 될까요?

• 백업이 처음에 실패하면 어떻게 되나요? BitLocker가 백업을 다시 시도합니까?

랩톱의 복구 암호가 백업되지 않았고 랩톱이 잠겨 있습니다.

다음과 같은 경우를 생각해볼 수 있습니다.

Windows 11 또는 Windows 10 노트북의 하드 디스크를 복구해야 합니다. 디스크는 BitLocker 드라이버 암호화를 사용하여 암호화되었습니다. 그러나 BitLocker 복구 암호는 백업되지 않았으며, 랩톱의 일반적인 사용자는 암호를 제공할 수 없습니다.

노트북의 복구 암호에 대한 해결 방법이 백업되지 않았습니다.

다음 방법 중 하나를 사용하여 온라인 클라이언트의 기존 복구 정보를 수동으로 백업하거나 동기화할 수 있습니다.

• 정보를 백업하는 WMI(Windows Management Instrumentation) 스크립트를 만듭니다. 자세한 내용은 BitLocker 드라이브 암호화 공급자를 참조하세요.

• 관리자 권한 명령 프롬프트 창에서 manage-bde.exe 명령을 사용하여 정보를 백업합니다.

  예를 들어 C: 드라이브에 대한 모든 복구 정보를 AD DS에 백업하려면 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

  cmd manage-bde.exe -protectors -adbackup C:

---

참고

BitLocker는 이 백업 프로세스를 자동으로 관리하지 않습니다.

태블릿 디바이스는 를 사용하여 manage-bde.exe -forcerecovery 복구 모드를 테스트할 수 없습니다.

다음과 같은 경우를 생각해볼 수 있습니다.

다음 명령을 실행하여 태블릿 또는 슬레이트 디바이스에서 BitLocker 복구를 테스트해야 합니다.

cmd manage-bde.exe -forcerecovery

---

그러나 복구 암호를 입력한 후에는 디바이스를 시작할 수 없습니다.

태블릿 디바이스가 복구 모드 테스트에 사용을 manage-bde.exe -forcerecovery 지원하지 않는 원인

중요

태블릿 디바이스는 명령을 지원하지 manage-bde.exe -forcerecovery 않습니다.

이 문제는 Windows 부팅 관리자가 시작 전 부팅 단계에서 터치 입력을 처리할 수 없기 때문에 발생합니다. 부팅 관리자가 디바이스가 태블릿임을 감지하면 시작 프로세스를 터치 입력을 처리할 수 있는 WinRE(Windows 복구 환경)로 리디렉션합니다.

WindowsRE가 하드 디스크에서 TPM 보호기를 검색하면 PCR을 다시 봉인합니다. 그러나 manage-bde.exe -forcerecovery 명령은 하드 디스크에서 TPM 보호기를 삭제합니다. 따라서 WinRE는 PCR을 다시 봉인할 수 없습니다. 이 오류는 무한 BitLocker 복구 주기를 트리거하고 Windows가 시작되지 않도록 합니다.

이 동작은 모든 버전의 Windows에 대해 설계되었습니다.

태블릿 디바이스에서 복구 모드 테스트에 사용을 manage-bde.exe -forcerecovery 지원하지 않는 해결 방법

다시 시작 루프를 resolve 다음 단계를 수행합니다.

1. BitLocker 복구 화면에서 이 드라이브 건너뛰기를 선택합니다.

2. 고급 옵션>문제 해결>명령 프롬프트를 선택합니다.

3. 명령 프롬프트 창에서 다음 명령을 실행합니다.

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. 명령 프롬프트 창을 닫습니다.

5. 디바이스를 종료합니다.

6. 디바이스를 시작합니다. Windows는 평소와 같이 시작해야 합니다.

Surface에 UEFI 또는 TPM 펌웨어 업데이트를 설치한 후 BitLocker에서 복구 암호를 묻는 메시지를 표시합니다.

다음과 같은 경우를 생각해볼 수 있습니다.

Surface 디바이스에 BitLocker 드라이브 암호화가 켜져 있습니다. Surface TPM의 펌웨어가 업데이트되거나 시스템 펌웨어의 서명을 변경하는 업데이트가 설치됩니다. 예를 들어 SURFACE TPM(IFX) 업데이트가 설치됩니다.

Surface 장치에서 다음 증상 중 하나 이상이 발생합니다.

• 시작 시 Surface 디바이스에서 BitLocker 복구 암호를 묻는 메시지를 표시합니다. 올바른 복구 암호를 입력했지만 Windows가 시작되지 않습니다.

• 시작은 Surface 디바이스의 UEFI(Unified Extensible Firmware Interface) 설정으로 직접 진행됩니다.

• Surface 장치가 무한 다시 시작 루프에 있는 것처럼 보입니다.

Surface에 UEFI 또는 TPM 펌웨어 업데이트를 설치한 후의 원인, BitLocker는 복구 암호를 묻는 메시지를 표시합니다.

이 문제는 Surface 디바이스 TPM이 PCR 7 및 PCR 11의 기본값이 아닌 PCR(플랫폼 구성 레지스터) 값을 사용하도록 구성된 경우에 발생합니다. 예를 들어 다음 설정은 다음과 같이 TPM을 구성할 수 있습니다.

• 보안 부팅이 꺼져 있습니다.
• PCR 값은 그룹 정책별로 명시적으로 정의되었습니다.

Surface 디바이스를 포함하여 연결된 대기 상태(InstantGO 또는 Always On, Always Connected PC라고도 함)를 지원하는 디바이스는 TPM의 PCR 7을 사용해야 합니다. 이러한 시스템의 기본 구성에서 BITLocker는 PCR 7 및 보안 부팅이 올바르게 구성된 경우 PCR 7 및 PCR 11에 바인딩됩니다. 자세한 내용은 BitLocker 그룹 정책 설정: PCR(플랫폼 구성 레지스터) 정보를 참조하세요.

Surface에 UEFI 또는 TPM 펌웨어 업데이트를 설치한 후의 해결 방법, BitLocker는 복구 암호를 묻는 메시지를 표시합니다.

디바이스에서 사용 중인 PCR 값을 확인하려면 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

manage-bde.exe -protectors -get <OSDriveLetter>:

이 명령 <에서 OSDriveLetter> 는 운영 체제 드라이브의 드라이브 문자를 나타냅니다.

이 문제를 resolve 디바이스를 복구하려면 다음 단계를 수행합니다.

1단계: 부팅 드라이브에서 TPM 보호기 사용 안 함

TPM 또는 UEFI 업데이트가 설치되어 있고 Surface 디바이스를 시작할 수 없는 경우 올바른 BitLocker 복구 암호를 입력한 경우에도 BitLocker 복구 암호 및 Surface 복구 이미지를 사용하여 부팅 드라이브에서 TPM 보호기를 제거하여 시작할 수 있는 기능을 복원할 수 있습니다.

BitLocker 복구 암호 및 Surface 복구 이미지를 사용하여 부팅 드라이브에서 TPM 보호기를 제거하려면 다음 단계를 수행합니다.

1. Surface 사용자의 Microsoft.com 계정에서 BitLocker 복구 암호를 가져옵니다. BitLocker가 Microsoft BitLocker 관리 및 모니터링(MBAM), Configuration Manager BitLocker Management 또는 Intune 같은 다른 방법으로 관리되는 경우 관리자에게 도움을 요청하세요.

2. 다른 컴퓨터를 사용하여 Surface 복구 이미지 다운로드에서 Surface 복구 이미지를 다운로드합니다. 다운로드한 이미지를 사용하여 USB 복구 드라이브를 만듭니다.

3. USB Surface 복구 이미지 드라이브를 Surface 장치에 삽입하고 디바이스를 시작합니다.

4. 메시지가 표시되면 다음 항목을 선택합니다.

   1. 운영 체제 언어입니다.

   2. 키보드 레이아웃입니다.

5. 고급 옵션>문제 해결>명령 프롬프트를 선택합니다.

6. 명령 프롬프트 창에서 다음 명령을 실행합니다.

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   여기서 각 부분이 나타내는 의미는 다음과 같습니다.

   • <암호> 는 1단계에서 얻은 BitLocker 복구 암호입니다.
   • <DriveLetter> 는 운영 체제 드라이브에 할당된 드라이브 문자입니다.

   참고

   이 명령을 사용하는 방법에 대한 자세한 내용은 manage-bde unlock를 참조하세요.

7. 컴퓨터를 다시 시작합니다.

8. 메시지가 표시되면 1단계에서 가져온 BitLocker 복구 암호를 입력합니다.

참고

TPM 보호기를 사용하지 않도록 설정하면 BitLocker 드라이브 암호화가 더 이상 디바이스를 보호하지 않습니다. BitLocker 드라이브 암호화를 다시 사용하도록 설정하려면 시작을 선택하고 BitLocker 관리를 입력한 다음 Enter 키를 누릅니 다. 단계에 따라 드라이브를 암호화합니다.

2단계: Surface BMR을 사용하여 데이터 복구 및 Surface 장치 다시 설정

Windows가 시작되지 않는 경우 Surface 장치에서 데이터를 복구하려면 1 단계: 부팅 드라이브에서 TPM 보호기를 사용하지 않도록 설정 하여 명령 프롬프트 창으로 이동 섹션의 1~5단계를 수행합니다. 명령 프롬프트 창이 열리면 다음 단계를 수행합니다.

1. 명령 프롬프트에서 다음 명령을 실행합니다.

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   이 명령 <에서 암호> 는 1 단계: 부팅 드라이브에서 TPM 보호기 사용 안 함 섹션의 1단계에서 가져온 BitLocker 복구 암호이며 <, DriveLetter> 는 운영 체제 드라이브에 할당된 드라이브 문자입니다.

2. 드라이브의 잠금이 해제된 후 또는 xcopy.exe 명령을 사용하여 copy 사용자 데이터를 다른 드라이브에 복사합니다.

   참고

   이러한 명령에 대한 자세한 내용은 Windows 명령 문서를 참조하세요.

3. Surface 복구 이미지를 사용하여 디바이스를 다시 설정하려면 Surface용 USB 복구 드라이브 만들기 및 사용 문서의 지침을 따릅니다.

3단계: 기본 PCR 값 복원

이 문제가 되풀이되지 않도록 하려면 보안 부팅 및 PCR 값의 기본 구성을 복원하는 것이 좋습니다.

Surface 장치에서 보안 부팅을 사용하도록 설정하려면 다음 단계를 수행합니다.

1. 관리자 권한 Windows PowerShell 창을 열고 다음 PowerShell cmdlet을 실행하여 BitLocker를 일시 중단합니다.

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   이 명령 <에서 DriveLetter> 는 드라이브에 할당된 문자입니다.

2. 디바이스를 다시 시작한 다음 UEFI 설정을 편집하여 보안 부팅 옵션을 Microsoft 전용으로 설정합니다.

3. 디바이스를 다시 시작하고 Windows에 로그인합니다.

4. 관리자 권한 PowerShell 창을 열고 다음 PowerShell cmdlet을 실행합니다.

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

TPM에서 PCR 설정을 다시 설정하려면 다음 단계를 수행합니다.

1. PCR 설정을 구성하는 그룹 정책 개체를 사용하지 않도록 설정하거나 이러한 정책을 적용하는 모든 그룹에서 디바이스를 제거합니다.

   자세한 내용은 BitLocker 그룹 정책 설정을 참조하세요.

2. 관리자 권한 Windows PowerShell 창을 열고 다음 PowerShell cmdlet을 실행하여 BitLocker를 일시 중단합니다.

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   이 명령 <에서 DriveLetter> 는 드라이브에 할당된 문자입니다.

3. 다음 PowerShell cmdlet을 실행합니다.

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

4단계: TPM 또는 UEFI 펌웨어 업데이트 중 BitLocker 일시 중단

이러한 업데이트를 적용하기 전에 BitLocker를 일시적으로 일시 중단하여 시스템 펌웨어 또는 TPM 펌웨어에 업데이트를 설치할 때 이 시나리오를 방지할 수 있습니다.

중요

TPM 및 UEFI 펌웨어 업데이트는 설치하는 동안 여러 을 다시 시작해야 할 수 있습니다. 이 프로세스 중에 BitLocker를 일시 중단 상태로 유지하려면 PowerShell cmdlet Suspend-BitLocker 를 사용해야 하며 Reboot Count 매개 변수를 다음 값 중 하나로 설정해야 합니다.

• 2 이상: 이 값은 BitLocker 디바이스 암호화가 다시 시작되기 전에 디바이스가 다시 시작되는 횟수를 설정합니다. 예를 들어 값을 2 로 설정하면 디바이스가 두 번 다시 시작되면 BitLocker가 다시 시작됩니다.

• 0: 이 값은 BitLocker 드라이브 암호화를 무기한 일시 중단합니다. BitLocker를 다시 시작하려면 PowerShell cmdlet Resume-BitLocker 또는 다른 메커니즘을 사용하여 BitLocker 보호를 다시 시작해야 합니다.

TPM 또는 UEFI 펌웨어 업데이트를 설치하는 동안 BitLocker를 일시 중단하려면 다음을 수행합니다.

1. 관리자 권한 Windows PowerShell 창을 열고 다음 PowerShell cmdlet을 실행합니다.

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   이 PowerShell cmdlet <에서 DriveLetter> 는 드라이브에 할당된 문자입니다.

2. Surface 디바이스 드라이버 및 펌웨어 업데이트를 설치합니다.

3. 펌웨어 업데이트를 설치한 후 컴퓨터를 다시 시작하고 관리자 권한 PowerShell 창을 연 다음 다음 PowerShell cmdlet을 실행합니다.

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

TPM 1.2의 Credential Guard/Device Guard: 다시 시작할 때마다 BitLocker에서 복구 암호를 묻는 메시지를 표시하고 오류 0xC0210000

다음과 같은 경우를 생각해볼 수 있습니다.

디바이스는 TPM 1.2를 사용하고 Windows 10, 버전 1809 실행합니다. 또한 디바이스는 Device Guard 및 Credential Guard와 같은 가상화 기반 보안 기능을 사용합니다. 디바이스가 시작될 때마다 디바이스가 BitLocker 복구 모드로 전환되고 다음 오류 메시지와 유사한 오류 메시지가 표시됩니다.

복구

PC/디바이스를 복구해야 합니다. BitLocker 키가 올바르게 로드되지 않아 필요한 파일에 액세스할 수 없습니다.

오류 코드 0xc0210000

복구 도구를 사용해야 합니다. 디스크 또는 USB 장치와 같은 설치 미디어가 없는 경우 PC 관리자 또는 PC/디바이스 제조업체에 문의하세요.

TPM 1.2에서 Credential Guard/Device Guard의 원인: 다시 시작할 때마다 BitLocker에서 복구 암호를 묻는 메시지를 표시하고 오류 0xC0210000

TPM 1.2는 보안 시작을 지원하지 않습니다. 자세한 내용은 System Guard 보안 시작 및 SMM 보호: System Guard 사용 컴퓨터에서 충족되는 요구 사항을 참조하세요.

이 기술에 대한 자세한 내용은 Windows Defender System Guard: 하드웨어 기반 신뢰 루트가 Windows를 보호하는 방법을 참조하세요.

TPM 1.2에서 Credential Guard/Device Guard에 대한 해결 방법: 다시 시작할 때마다 BitLocker에서 복구 암호를 묻는 메시지를 표시하고 오류 0xC0210000

이 문제를 resolve 다음 두 가지 솔루션 중 하나를 사용합니다.

• 보안 시작을 적용하는 GPO가 적용되는 모든 그룹에서 TPM 1.2를 사용하는 모든 디바이스를 제거합니다.
• 가상화 기반 보안 GPO 켜기를 편집하여 보안 시작 구성을 사용 안 함으로 설정합니다.