TPM 잠금 관리

2024-07-10
적용 대상: ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

IT 전문가를 위한 이 문서에서는 Windows에서 TPM(신뢰할 수 있는 플랫폼 모듈)에 대한 잠금 기능을 관리하는 방법을 설명합니다.

TPM 잠금 정보

TPM은 변조 또는 악의적인 공격을 방지하기 위해 자체 잠금을 해제합니다. TPM 잠금은 종종 가변적인 시간 동안 또는 컴퓨터가 꺼질 때까지 지속됩니다. TPM은 잠금 모드에 있는 동안 일반적으로 권한 부여 값이 필요한 명령을 받을 때 오류 메시지를 반환합니다. 한 가지 예외는 TPM이 잠금 모드일 때 항상 소유자가 TPM 잠금을 다시 설정하려고 한 번 이상 허용한다는 것입니다.

Windows는 처음 부팅할 때 TPM 소유권을 소유합니다. 기본적으로 Windows는 TPM 소유자 암호를 유지하지 않습니다.

경우에 따라 암호화 키는 키에 액세스하기 위해 유효한 권한 부여 값을 요구하여 TPM으로 보호됩니다. 일반적인 예는 TPM 및 PIN 키 보호기를 사용하도록 BitLocker 드라이브 암호화를 구성하는 것입니다. 이 시나리오에서 사용자는 부팅 프로세스 중에 올바른 PIN을 입력하여 TPM으로 보호되는 볼륨 암호화 키에 액세스해야 합니다. 악의적인 사용자 또는 소프트웨어가 권한 부여 값을 검색하지 못하도록 하기 위해 TPM은 보호 논리를 구현합니다. 보호 논리는 엔터티가 권한 부여 값을 추측하려고 할 수 있음을 감지하는 경우 TPM의 응답을 느리게 하거나 중지하도록 설계되었습니다.

TPM 2.0

TPM 2.0 디바이스에는 Windows에서 구성하는 표준화된 잠금 동작이 있습니다. TPM 2.0 디바이스에는 최대 개수 임계값과 복구 시간이 있습니다. Windows는 최대 개수를 32로 구성하고 복구 시간은 10분으로 구성합니다. 이 구성은 이벤트 없이 전원이 켜진 10분마다 카운터가 1씩 감소한다는 것을 의미합니다.

TPM이 잠금 모드이거나 명령에 느리게 응답하는 경우 다음 절차를 사용하여 잠금 값을 다시 설정할 수 있습니다. TPM 잠금을 다시 설정하려면 TPM 소유자의 권한 부여가 필요합니다. 이 값은 Windows 10 버전 1607 이상부터 기본적으로 더 이상 유지되지 않습니다.

TPM 1.2

TCG(신뢰할 수 있는 컴퓨팅 그룹)의 업계 표준은 TPM 제조업체가 TPM 1.2 및 TPM 2.0 칩에서 일종의 보호 논리를 구현해야 한다고 지정합니다. TPM 1.2 디바이스는 다양한 보호 메커니즘 및 동작을 구현합니다. 일반적으로 TPM 칩은 잘못된 권한 부여 값이 TPM으로 전송되는 경우 응답하는 데 기하급수적으로 더 오래 걸립니다. 일부 TPM 칩은 시간이 지남에 따라 실패한 시도를 저장하지 않을 수 있습니다. 다른 TPM 칩은 실패한 모든 시도를 무기한 저장할 수 있습니다. 따라서 일부 사용자는 TPM으로 전송되는 권한 부여 값을 잘못 입력할 때 지연 시간이 점점 길어질 수 있습니다. 이러한 지연으로 인해 일정 시간 동안 TPM을 사용하지 못할 수 있습니다.

TPM MMC를 사용하여 TPM 잠금 다시 설정

참고

이 절차는 TPM 소유자 암호를 유지하도록 Windows를 구성한 경우에만 사용할 수 있습니다. 기본적으로 이 암호는 버전 1607 이상부터 Windows 10 사용할 수 없습니다.

다음 절차에서는 TPM MMC를 사용하여 TPM 잠금을 다시 설정하는 단계를 설명합니다.

TPM 잠금 다시 설정

TPM MMC(tpm.msc)를 엽니다.
작업 창에서 TPM 잠금 다시 설정을 선택하여 TPM 잠금 다시 설정 마법사를 시작합니다.
다음 방법 중 하나를 선택하여 TPM 소유자 암호를 입력합니다.
- TPM 소유자 암호를 파일에 저장한 경우 소유자 암호 .tpm파일이 있는지 선택한 다음 파일 경로를 입력하거나 찾아보기를 선택하여 파일 위치로 이동합니다.
- TPM 소유자 암호를 수동으로 입력하려면 소유자 암호를 입력하려는 경우 를 선택한 다음, 제공된 텍스트 상자에 암호를 입력합니다.
참고

BitLocker와 TPM을 동시에 사용하도록 설정하고 BitLocker를 켤 때 BitLocker 복구 암호를 인쇄한 경우 TPM 소유자 암호가 인쇄되었을 수 있습니다.

그룹 정책 사용하여 TPM 잠금 설정 관리

다음 목록의 TPM 그룹 정책 설정은 에 있습니다.

컴퓨터 구성>관리 템플릿>체계>신뢰할 수 있는 플랫폼 모듈 서비스

Standard 사용자 잠금 기간

이 정책 설정을 사용하면 권한 부여가 필요한 TPM 명령에 대한 표준 사용자 권한 부여 실패를 계산하기 위한 기간을 분 단위로 관리할 수 있습니다. 권한 부여 실패는 사용자가 TPM에 명령을 보내고 권한 부여 실패가 발생했음을 나타내는 오류 메시지를 받을 때마다 발생합니다. 설정한 기간보다 오래된 권한 부여 실패는 무시됩니다. 잠금 기간 내에 권한 부여 실패가 있는 TPM 명령 수가 임계값과 같으면 사용자는 권한 부여가 필요한 명령을 TPM으로 보낼 수 없습니다.
Standard 사용자 개별 잠금 임계값

이 정책 설정을 사용하면 각 사용자에 대한 TPM에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 이 값은 사용자가 권한 부여가 필요한 명령을 TPM에 보낼 수 없도록 하기 전에 각 사용자가 가질 수 있는 최대 권한 부여 실패 수입니다. 권한 부여 실패 수가 정책 설정에 대해 설정된 기간과 같으면 사용자는 권한 부여가 필요한 명령을 TPM으로 보낼 수 없습니다.
Standard 사용자 총 잠금 임계값

이 정책 설정을 사용하면 모든 표준 사용자에 대한 TPM에 대한 최대 권한 부여 실패 수를 관리할 수 있습니다. 모든 사용자의 총 권한 부여 실패 수가 정책에 대해 설정된 기간과 같으면 모든 사용자는 권한 부여가 필요한 명령을 TPM으로 보낼 수 없습니다.

잠금 설정을 사용하는 사전 공격을 완화하는 방법에 대한 자세한 내용은 TPM 기본 사항을 참조하세요.

TPM cmdlet 사용

Windows PowerShell 사용하여 TPM을 관리할 수 있습니다. 자세한 내용은 Windows PowerShell TPM Cmdlet을 참조하세요.