다음 표에서는 모든 드라이브 유형에 적용할 수 있는 BitLocker 정책을 나열하여 CSP(구성 서비스 공급자) 및/또는 GPO(그룹 정책)를 통해 적용 가능한지 여부를 나타냅니다. 자세한 내용은 정책 이름을 선택합니다.
표준 사용자 암호화 허용
이 정책을 사용하면 현재 로그온한 사용자에게 관리 권한이 없는 동안 정책이 적용되는 시나리오에 디바이스 암호화 필요 정책을 적용할 수 있습니다.
복구 암호에 대한 기본 폴더 선택
BitLocker 드라이브 암호화 설정 마법사에서 복구 암호를 저장할 폴더의 위치를 입력하라는 메시지를 표시할 때 표시되는 기본 경로를 지정합니다. 정규화된 경로를 지정하거나 경로에 대상 컴퓨터의 환경 변수를 포함할 수 있습니다.
- 경로가 유효하지 않으면 BitLocker 설정 마법사에 컴퓨터의 최상위 폴더 보기가 표시됩니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자가 폴더에 복구 암호를 저장하는 옵션을 선택하면 BitLocker 설정 마법사에 컴퓨터의 최상위 폴더 보기가 표시됩니다.
참고
이 정책 설정으로 인해 사용자가 복구 암호를 다른 폴더에 저장할 수 없습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화 |
드라이브 암호화 방법 및 암호 강도 선택
이 정책을 사용하면 고정 데이터 드라이브, 운영 체제 드라이브 및 이동식 데이터 드라이브에 대한 암호화 알고리즘 및 키 암호 강도를 개별적으로 구성할 수 있습니다.
권장 설정: XTS-AES 모든 드라이브에 대한 알고리즘입니다. 키 크기( 128비트 또는 256비트)의 선택은 디바이스의 성능에 따라 달라집니다. 성능이 더 높은 하드 드라이브 및 CPU의 경우 256비트 키를 선택하고 성능이 낮은 경우 128을 사용합니다.
중요
키 크기는 규제 기관 또는 업계에서 필요할 수 있습니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 의 XTS-AES 128-bit기본 암호화 방법을 사용합니다.
참고
이 정책은 암호화된 드라이브에는 적용되지 않습니다. 암호화된 드라이브는 분할하는 동안 드라이브에 의해 설정된 자체 알고리즘을 활용합니다.
이 정책을 사용하면 MICROSOFT ENTRA 조인된 디바이스 및 Microsoft Entra 하이브리드 조인 디바이스에서 OS 및 고정 드라이브에 사용할 때 숫자 복구 암호 회전을 구성할 수 있습니다.
가능한 값은 다음과 같습니다.
-
0: 숫자 복구 암호 회전이 꺼져 있습니다.
-
1: Microsoft Entra 조인된 디바이스에 대해 사용 시 숫자 복구 암호 회전이 켜집니다. 이 값도 기본값입니다.
-
2: 사용 시 숫자 복구 암호 회전은 Microsoft Entra 조인된 디바이스와 Microsoft Entra 하이브리드 조인 디바이스 모두에 대해 켜집니다.
참고
이 정책은 복구 암호에 대한 Micropsoft Entra ID 또는 Active Directory 백업이 필요하도록 구성된 경우에만 적용됩니다.
- OS 드라이브의 경우: 운영 체제 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 사용
- 고정 드라이브의 경우: "고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요.
이 컴퓨터가 잠겨 있을 때 새 DMA 디바이스 사용 안 함
이 정책 설정은 사용자가 Windows에 로그인할 때까지 모든 핫 플러그형 PCI 포트에 대한 DMA(직접 메모리 액세스)를 차단합니다.
사용자가 로그인하면 Windows는 호스트 Thunderbolt PCI 포트에 연결된 PCI 디바이스를 열거합니다. 사용자가 디바이스를 잠그면 사용자가 다시 로그인할 때까지 자식 디바이스가 없는 핫 플러그 Thunderbolt PCI 포트에서 DMA가 차단됩니다.
디바이스가 잠금 해제되었을 때 이미 열거된 디바이스는 분리되거나 시스템이 다시 부팅되거나 최대 절전 모드가 될 때까지 계속 작동합니다.
이 정책 설정은 BitLocker 또는 디바이스 암호화를 사용하도록 설정한 경우에만 적용됩니다.
중요
이 정책은 커널 DMA 보호와 호환되지 않습니다. 커널 DMA 보호는 시스템에 더 높은 보안을 제공하므로 시스템에서 커널 DMA 보호를 지원하는 경우 이 정책을 사용하지 않도록 설정하는 것이 좋습니다. 커널 DMA 보호에 대한 자세한 내용은 커널 DMA 보호를 참조하세요.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화 |
다시 시작할 때 메모리 덮어쓰기 방지
이 정책 설정은 디바이스가 다시 시작될 때 컴퓨터의 메모리를 덮어쓸지 여부를 제어하는 데 사용됩니다. BitLocker 비밀에는 데이터를 암호화하는 데 사용되는 키 자료가 포함됩니다.
- 이 정책 설정을 사용하도록 설정하면 컴퓨터가 다시 시작될 때 메모리를 덮어쓰지 않습니다. 메모리 덮어쓰기를 방지하면 다시 시작 성능이 향상되지만 BitLocker 비밀이 노출될 위험이 높아질 수 있습니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 컴퓨터가 다시 시작될 때 BitLocker 비밀이 메모리에서 제거됩니다.
참고
이 정책 설정은 BitLocker 보호를 사용하는 경우에만 적용됩니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화 |
organization 고유 식별자 제공
이 정책 설정을 사용하면 고유한 조직 식별자를 BitLocker로 암호화된 드라이브에 연결할 수 있습니다. 식별자는 식별 필드 및 허용되는 식별 필드로 저장됩니다.
- 식별 필드를 사용하면 고유한 조직 식별자를 BitLocker로 보호된 드라이브에 연결할 수 있습니다. 이 식별자는 새 BitLocker로 보호되는 드라이브에 자동으로 추가되며 BitLocker 드라이브 암호화: 구성 도구 (
manage-bde.exe)를 사용하여 기존 BitLocker로 보호된 드라이브에서 업데이트할 수 있습니다.
- 허용되는 식별 필드는 BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 권한 거부 정책 설정과 함께 사용하여 organization 이동식 드라이브의 사용을 제어하는 데 도움이 됩니다. organization 또는 기타 외부 조직에서 식별 필드의 쉼표로 구분된 목록입니다. 를 사용하여
manage-bde.exe기존 드라이브에서 식별 필드를 구성할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 BitLocker로 보호된 드라이브의 식별 필드와 organization 사용되는 모든 허용 식별 필드를 구성할 수 있습니다. BitLocker로 보호된 드라이브가 다른 BitLocker 사용 디바이스에 탑재되면 식별 필드와 허용된 식별 필드를 사용하여 드라이브가 다른 organization 있는지 여부를 확인합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 식별 필드가 필요하지 않습니다.
중요
BitLocker로 보호되는 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하려면 식별 필드가 필요합니다. BitLocker는 ID 필드가 드라이브에 있고 디바이스에 구성된 값과 동일한 경우에만 인증서 기반 데이터 복구 에이전트를 관리하고 업데이트합니다. 식별 필드는 260자 이하의 값일 수 있습니다.
|
경로 |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
IdentificationField |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화 |
디바이스 암호화 필요
이 정책 설정은 BitLocker가 필요한지 여부를 결정합니다.
- 사용하도록 설정하면 다른 디스크 암호화 정책에 대한 경고 허용에 따라 모든 드라이브에서 자동으로 또는 비 자동 으로 암호화 가 트리거됩니다.
- 사용하지 않도록 설정하면 시스템 드라이브에 대해 BitLocker가 꺼져 있지 않지만 사용자에게 BitLocker를 켜라는 메시지가 표시되지 않습니다.
참고
일반적으로 BitLocker는 드라이브 암호화 선택 방법 및 암호 강도 정책 구성을 따릅니다. 그러나 고정 드라이브를 자체 암호화하고 OS 드라이브를 자체 암호화하는 경우 이 정책 설정은 무시됩니다.
암호화 가능한 고정 데이터 볼륨은 OS 볼륨과 유사하게 처리되지만 암호화 가능하려면 다른 조건을 충족해야 합니다.
- 동적 볼륨이 아니어야 합니다.
- 복구 파티션이 아니어야 합니다.
- 숨겨진 볼륨이 아니어야 합니다.
- 시스템 파티션이 아니어야 합니다.
- 가상 스토리지에서 백업해서는 안 됩니다.
- BCD 저장소에 참조가 없어야 합니다.
스마트 카드 인증서 사용 규칙 준수 유효성 검사
이 정책 설정은 스마트 카드 인증서의 OID(개체 식별자)를 BitLocker로 보호된 드라이브에 연결하여 BitLocker에서 사용할 인증서를 결정하는 데 사용됩니다. 개체 식별자는 인증서의 EKU(향상된 키 사용량)에 지정됩니다.
BitLocker는 인증서의 개체 식별자를 이 정책 설정으로 정의된 개체 식별자와 일치시켜 사용자 인증서를 BitLocker로 보호된 드라이브에 인증하는 데 사용할 수 있는 인증서를 식별할 수 있습니다. 기본 OID는 입니다 1.3.6.1.4.1.311.67.1.1.
이 정책 설정을 사용하도록 설정하면 개체 식별자 필드에 지정된 개체 식별자가 스마트 카드 인증서의 개체 식별자와 일치해야 합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 기본 OID가 사용됩니다.
참고
BitLocker는 인증서에 EKU 특성이 필요하지 않습니다. 그러나 인증서에 대해 구성된 경우 BitLocker에 대해 구성된 개체 식별자와 일치하는 개체 식별자로 설정해야 합니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화 |
InstantGo 또는 HSTI를 준수하는 디바이스가 미리 부팅 PIN을 옵트아웃하도록 허용
이 정책 설정을 사용하면 InstantGo 또는 Microsoft HSTI(하드웨어 보안 테스트 인터페이스)를 준수하는 디바이스의 사용자가 시험판 인증을 위한 PIN을 가질 수 없습니다.
정책은 규격 하드웨어에 대한 시작시 추가 인증 필요 정책의 TPM을 사용하여 시작 PIN 필요 및 TPM을 사용하여 시작 키 및 PIN 필요 옵션을 재정의합니다.
- 이 정책 설정을 사용하도록 설정하면 InstantGo 및 HSTI 규격 디바이스의 사용자가 시험판 인증 없이 BitLocker를 켤 수 있습니다.
- 정책을 사용하지 않도록 설정하거나 구성하지 않은 경우 시작 시 추가 인증 필요 정책 옵션이 적용됩니다.
시작에 향상된 PIN 허용
이 설정은 PIN을 포함하는 잠금 해제 메서드를 사용할 때 향상된 PIN을 사용할 수 있도록 합니다.
향상된 시작 PIN은 문자(대문자 및 소문자, 기호, 숫자 및 공백 포함)의 사용을 허용합니다.
중요
모든 컴퓨터가 프리부트 환경에서 향상된 PIN 문자를 지원하는 것은 아닙니다. 사용자가 BitLocker 설정 중에 시스템 검사 수행하여 향상된 PIN 문자를 사용할 수 있는지 확인하는 것이 좋습니다.
|
경로 |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEnhancedPIN |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
시작 시 네트워크 잠금 해제 허용
이 정책 설정은 신뢰할 수 있는 LAN(유선 로컬 영역 네트워크)에 연결된 BitLocker 보호 디바이스가 TPM 사용 컴퓨터에서 네트워크 키 보호기를 만들고 사용하여 컴퓨터가 시작될 때 운영 체제 드라이브의 잠금을 자동으로 해제할 수 있는지 여부를 제어합니다.
이 정책을 사용하도록 설정하면 BitLocker 네트워크 잠금 해제 인증서 로 구성된 디바이스에서 네트워크 키 보호기를 만들고 사용할 수 있습니다. 네트워크 키 보호기를 사용하여 컴퓨터의 잠금을 해제하려면 컴퓨터와 BitLocker 드라이브 암호화 네트워크 잠금 해제 서버를 네트워크 잠금 해제 인증서로 프로비전해야 합니다. 네트워크 잠금 해제 인증서는 네트워크 키 보호기를 만드는 데 사용되며 컴퓨터 잠금을 해제하기 위해 서버와 교환되는 정보를 보호합니다.
그룹 정책 설정 컴퓨터 구성>Windows 설정>보안 설정>공개 키 정책>BitLocker 드라이브 암호화 네트워크 잠금 해제 인증서를 도메인 컨트롤러에서 사용하여 이 인증서를 organization 컴퓨터에 배포할 수 있습니다. 이 잠금 해제 방법은 컴퓨터에서 TPM을 사용하므로 TPM이 없는 컴퓨터는 네트워크 잠금 해제를 사용하여 자동으로 잠금을 해제하는 네트워크 키 보호기를 만들 수 없습니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 클라이언트는 네트워크 키 보호기를 만들고 사용할 수 없습니다.
참고
안정성 및 보안을 위해 컴퓨터에는 컴퓨터가 유선 네트워크 또는 시작 시 서버에서 연결이 끊어질 때 사용할 수 있는 TPM 시작 PIN도 있어야 합니다.
네트워크 잠금 해제 기능에 대한 자세한 내용은 BitLocker: 네트워크 잠금 해제를 사용하도록 설정하는 방법을 참조하세요.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
무결성 유효성 검사를 위해 보안 부팅 허용
이 정책 설정을 사용하면 보안 부팅이 BitLocker 운영 체제 드라이브에 대한 플랫폼 무결성 공급자로 허용되는지 여부를 구성할 수 있습니다.
보안 부팅을 통해 디바이스의 프리부트 환경은 권한 있는 소프트웨어 게시자가 디지털 서명한 펌웨어만 로드합니다.
- 이 정책 설정을 사용하거나 구성하지 않으면 플랫폼이 보안 부팅 기반 무결성 유효성 검사를 수행할 수 있는 경우 BitLocker는 플랫폼 무결성을 위해 보안 부팅을 사용합니다.
- 이 정책 설정을 사용하지 않도록 설정하면 BitLocker는 부팅 기반 무결성 유효성 검사를 보호할 수 있는 시스템에서도 레거시 플랫폼 무결성 유효성 검사를 사용합니다.
이 정책을 사용하도록 설정하고 하드웨어가 BitLocker용 보안 부팅 시나리오를 사용할 수 있는 경우 향상된 부팅 구성 데이터 유효성 검사 프로필 사용 정책 설정이 무시되고 보안 부팅은 BitLocker와 별도로 구성된 보안 부팅 정책 설정에 따라 BCD 설정을 확인합니다.
Warning
이 정책을 사용하지 않도록 설정하면 제조업체별 펌웨어가 업데이트될 때 BitLocker 복구가 발생할 수 있습니다. 이 정책을 사용하지 않도록 설정한 경우 펌웨어 업데이트를 적용하기 전에 BitLocker를 일시 중단합니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
다른 디스크 암호화에 대한 경고 허용
이 정책을 사용하면 암호화에 대한 모든 알림을 사용하지 않도록 설정하고, 다른 디스크 암호화에 대한 경고 프롬프트를 표시하고, 암호화를 자동으로 켤 수 있습니다.
중요
이 정책은 Microsoft Entra 조인된 디바이스에만 적용됩니다.
이 정책은 디바이스 암호화 필요 정책을 사용하는 경우에만 적용됩니다.
Warning
Microsoft 암호화가 아닌 디바이스에서 BitLocker를 사용하도록 설정하면 디바이스를 사용할 수 없게 렌더링할 수 있으며 Windows를 다시 설치해야 합니다.
이 정책에 대한 예상 값은 다음과 같습니다.
- 사용(기본값): 경고 프롬프트 및 암호화 알림이 허용됨
- 사용 안 함: 경고 프롬프트 및 암호화 알림이 표시되지 않습니다. Windows에서 BitLocker를 자동으로 사용하도록 설정하려고 시도합니다.
참고
경고 프롬프트를 사용하지 않도록 설정하면 OS 드라이브의 복구 키가 사용자의 Microsoft Entra ID 계정에 백업됩니다. 경고 프롬프트를 허용하면 프롬프트를 받는 사용자는 OS 드라이브의 복구 키를 백업할 위치를 선택할 수 있습니다.
고정 데이터 드라이브 백업에 대한 엔드포인트는 다음 순서로 선택됩니다.
- 사용자의 Windows Server Active Directory Domain Services 계정
- 사용자의 Microsoft Entra ID 계정
- 사용자의 개인 OneDrive(MDM/MAM만 해당)
암호화는 이러한 세 위치 중 하나가 성공적으로 백업될 때까지 대기합니다.
BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택
이 정책 설정을 사용하면 필요한 시작 키 정보가 없는 경우 BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법을 제어할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 운영 체제 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다. 사용 가능한 옵션은 다음과 같습니다.
-
인증서 기반 데이터 복구 에이전트 허용: 데이터 복구 에이전트를 BitLocker로 보호된 OS 드라이브와 함께 사용할 수 있는지 여부를 지정합니다. 데이터 복구 에이전트를 사용하려면 먼저 그룹 정책 관리 콘솔 또는 로컬 그룹 정책 편집기 공개 키 정책 항목에서 추가해야 합니다.
-
BitLocker 복구 정보의 사용자 스토리지 구성: 사용자가 48자리 복구 암호 또는 256비트 복구 키를 생성할 수 있는지, 필요한지 또는 생성할 수 있는지 여부를 선택합니다.
-
BitLocker 설치 마법사에서 복구 옵션 생략: 사용자가 드라이브에 대해 BitLocker를 켤 때 복구 옵션을 지정하지 못하도록 합니다. 즉, 사용자는 BitLocker를 켤 때 사용할 복구 옵션을 지정할 수 없습니다. 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.
-
BitLocker 복구 정보를 Active Directory Domain Services 저장: 운영 체제 드라이브용 AD DS에 저장할 BitLocker 복구 정보를 선택합니다.
백업 복구 암호 및 키 패키지를 선택하면 BitLocker 복구 암호와 키 패키지가 모두 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다.
백업 복구 암호만 선택하는 경우 복구 암호만 AD DS에 저장됩니다.
-
운영 체제 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요. 디바이스가 도메인에 연결되고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않으면 사용자가 BitLocker를 사용하도록 설정할 수 없습니다. 이 옵션을 사용하면 복구 암호가 자동으로 생성됩니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 BitLocker 복구에 대한 기본 복구 옵션이 지원됩니다. 기본적으로 DRA가 허용되고 복구 암호 및 복구 키를 포함하여 사용자가 복구 옵션을 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.
Microsoft Entra 하이브리드 조인 디바이스의 경우 BitLocker 복구 암호가 Active Directory 및 Entra ID 모두에 백업됩니다.
이 정책은 TPM(신뢰할 수 있는 플랫폼 모듈) 시작 PIN에 대한 최소 길이를 구성합니다. 시작 PIN의 최소 길이는 4자리여야 하며 최대 길이는 20자리일 수 있습니다.
이 정책 설정을 사용하도록 설정하면 시작 PIN을 설정할 때 사용할 최소 자릿수가 필요할 수 있습니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 6~20자리 길이의 시작 PIN을 구성할 수 있습니다.
TPM은 사전 공격 방지 매개 변수(잠금 임계값 및 잠금 기간 )를 사용하여 TPM이 잠기기 전에 허용되는 실패한 권한 부여 시도 수와 다른 시도를 수행하기 전에 경과해야 하는 시간을 제어하도록 구성할 수 있습니다.
사전 공격 방지 매개 변수는 보안 요구 사항과 유용성의 균형을 맞추는 방법을 제공합니다. 예를 들어 BitLocker를 TPM + PIN 구성과 함께 사용하는 경우 시간에 따라 PIN 추측 수가 제한됩니다. 이 예제의 TPM 2.0은 32개의 PIN 추측만 즉시 허용하도록 구성한 다음 2시간마다 하나만 더 추측하도록 구성할 수 있습니다. 이 시도 횟수는 연간 최대 약 4415회 추측에 해당합니다. PIN이 4자리인 경우 2년 동안 가능한 모든 9999 PIN 조합을 시도할 수 있습니다.
팁
PIN 길이를 늘리려면 공격자에게 더 많은 추측이 필요합니다. 이 경우 각 추측 간의 잠금 기간을 단축하여 합법적인 사용자가 비슷한 수준의 보호를 유지하면서 실패한 시도를 더 빨리 다시 시도할 수 있도록 할 수 있습니다.
참고
최소 PIN 길이가 6자리 미만으로 설정된 경우 Windows는 PIN이 변경될 때 TPM 2.0 잠금 기간을 기본값보다 크게 업데이트하려고 시도합니다. 성공하면 Windows는 TPM이 다시 설정되는 경우에만 TPM 잠금 기간을 기본값으로 다시 설정합니다.
이 정책 설정은 복구 메시지를 구성하고 OS 드라이브가 잠겨 있을 때 preboot 복구 화면에 표시되는 기존 URL을 바꾸는 데 사용됩니다.
-
기본 복구 메시지 및 URL 사용 옵션을 선택하면 기본 BitLocker 복구 메시지 및 URL이 프리부트 키 복구 화면에 표시됩니다. 이전에 사용자 지정 복구 메시지 또는 URL을 구성하고 기본 메시지로 되돌리기 하려는 경우 정책을 사용하도록 설정하고 기본 복구 메시지 및 URL 사용 옵션을 선택해야 합니다.
-
사용자 지정 복구 메시지 사용 옵션을 선택하면 사용자 지정 복구 메시지 옵션 텍스트 상자에 추가한 메시지가 미리 부팅 키 복구 화면에 표시됩니다. 복구 URL을 사용할 수 있는 경우 메시지에 포함
-
사용자 지정 복구 URL 사용 옵션을 선택하면 사용자 지정 복구 URL 옵션 텍스트 상자에 추가한 URL이 기본 복구 메시지의 기본 URL을 대체합니다. 이 URL은 미리 부팅 키 복구 화면에 표시됩니다.
참고
모든 문자와 언어가 사전 부팅에서 지원되는 것은 아닙니다. 사용자 지정 메시지 또는 URL에 사용하는 문자가 부팅 전 복구 화면에 올바르게 표시되는지 테스트하는 것이 좋습니다.
BitLocker 미리 부팅 복구 화면에 대한 자세한 내용은 Preboot 복구 화면을 참조하세요.
이 정책 설정은 BIOS 구성이 있는 컴퓨터 또는 CSM(호환성 지원 모듈)이 사용하도록 설정된 UEFI 펌웨어를 사용하여 운영 체제 드라이브를 잠금 해제하기 전에 TPM이 초기 부팅 구성 요소의 유효성을 검사할 때 TPM이 측정하는 값을 결정합니다.
- 사용하도록 설정하면 BitLocker 암호화 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM이 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되면 TPM은 드라이브의 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 대신 컴퓨터는 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다.
- 사용하지 않도록 설정되거나 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다.
이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다.
중요
이 그룹 정책 설정은 BIOS 구성이 있는 컴퓨터 또는 CSM을 사용하도록 설정된 UEFI 펌웨어가 있는 컴퓨터에만 적용됩니다. 네이티브 UEFI 펌웨어 구성을 사용하는 컴퓨터는 PCR(플랫폼 구성 레지스터)에 서로 다른 값을 저장합니다. 네이 티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 정책 설정을 사용하여 네이티브 UEFI 펌웨어를 사용하는 컴퓨터에 대한 TPM PCR 프로필을 구성합니다.
플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 인덱스 집합으로 구성됩니다. 각 PCR 인덱스는 TPM이 초기 부팅 중에 유효성을 검사하는 특정 측정값을 나타냅니다. 기본 플랫폼 유효성 검사 프로필은 다음 PCR의 변경 내용에 대해 암호화 키를 보호합니다.
| PCR |
설명 |
| PCR 0 |
측정, BIOS 및 플랫폼 확장을 위한 핵심 신뢰 루트 |
| PCR 2 |
옵션 ROM 코드 |
| PCR 4 |
MBR(마스터 부팅 레코드) 코드 |
| PCR 8 |
NTFS 부팅 섹터 |
| PCR 9 |
NTFS 부팅 블록 |
| PCR 10 |
부팅 관리자 |
| PCR 11 |
BitLocker 액세스 제어 |
참고
기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정(악성 또는 권한 부여)에 대한 BitLocker의 민감도는 PCR의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.
다음 목록에서는 사용 가능한 모든 PCR을 식별합니다.
| PCR |
설명 |
| PCR 0 |
측정, BIOS 및 플랫폼 확장을 위한 핵심 신뢰 루트 |
| PCR 1 |
플랫폼 및 마더보드 구성 및 데이터. |
| PCR 2 |
옵션 ROM 코드 |
| PCR 3 |
옵션 ROM 데이터 및 구성 |
| PCR 4 |
MBR(마스터 부팅 레코드) 코드 |
| PCR 5 |
MBR(마스터 부팅 레코드) 파티션 테이블 |
| PCR 6 |
상태 전환 및 절전 모드 해제 이벤트 |
| PCR 7 |
컴퓨터 제조업체별 |
| PCR 8 |
NTFS 부팅 섹터 |
| PCR 9 |
NTFS 부팅 블록 |
| PCR 10 |
부팅 관리자 |
| PCR 11 |
BitLocker 액세스 제어 |
| PCR 12-23 |
향후 사용을 위해 예약됨 |
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
이 정책 설정은 네이티브 UEFI 펌웨어 디바이스에서 OS 드라이브를 잠금 해제하기 전에 TPM이 초기 부팅 구성 요소의 유효성을 검사할 때 측정하는 값을 결정합니다.
- BitLocker를 켜기 전에 이 정책 설정을 사용하도록 설정하면 BitLocker 암호화 OS 드라이브에 대한 액세스 권한을 잠금 해제하기 전에 TPM이 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되면 TPM은 드라이브 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 디바이스는 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 사용 가능한 하드웨어에 대한 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다.
플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 인덱스 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 다음 PCR의 변경 내용에 대해 암호화 키를 보호합니다.
| PCR |
설명 |
| PCR 0 |
핵심 시스템 펌웨어 실행 코드 |
| PCR 2 |
확장 또는 플러그형 실행 파일 코드 |
| PCR 4 |
부팅 관리자 |
| PCR 11 |
BitLocker 액세스 제어 |
참고
PCR7(보안 부팅 상태) 지원을 사용할 수 있는 경우 기본 플랫폼 유효성 검사 프로필은 PCR 7(보안 부팅 상태) 및 BITLocker 액세스 제어(PCR 11)를 사용하여 암호화 키를 보호합니다.
다음 목록에서는 사용 가능한 모든 PCR을 식별합니다.
| PCR |
설명 |
| PCR 0 |
핵심 시스템 펌웨어 실행 코드 |
| PCR 1 |
핵심 시스템 펌웨어 데이터 |
| PCR 2 |
확장 또는 플러그형 실행 파일 코드 |
| PCR 3 |
확장 또는 플러그형 펌웨어 데이터 |
| PCR 4 |
부팅 관리자 |
| PCR 5 |
GPT/파티션 테이블 |
| PCR 6 |
S4 및 S5 전원 상태 이벤트에서 다시 시작 |
| PCR 7 |
보안 부팅 상태 |
| PCR 8 |
확장 없이 0으로 초기화됨(나중에 사용하도록 예약됨) |
| PCR 9 |
확장 없이 0으로 초기화됨(나중에 사용하도록 예약됨) |
| PCR 10 |
확장 없이 0으로 초기화됨(나중에 사용하도록 예약됨) |
| PCR 11 |
BitLocker 액세스 제어 |
| PCR 12 |
데이터 이벤트 및 매우 휘발성이 높은 이벤트 |
| PCR 13 |
부팅 모듈 세부 정보 |
| PCR 14 |
부팅 기관 |
| PCR 15 - 23 |
향후 사용을 위해 예약됨 |
Warning
기본 플랫폼 유효성 검사 프로필에서 변경하면 디바이스의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정(악성 또는 권한 부여)에 대한 BitLocker의 민감도는 PCR의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.
PCR 7을 생략하여 이 정책을 설정하면 무결성 유효성 검사에 보안 부팅 허용 정책이 재정의되어 BitLocker가 플랫폼 또는 BCD(부팅 구성 데이터) 무결성 유효성 검사에 보안 부팅을 사용하지 못하도록 방지합니다.
이 정책을 설정하면 펌웨어가 업데이트되면 BitLocker 복구가 발생할 수 있습니다. PCR 0을 포함하도록 이 정책을 설정한 경우 펌웨어 업데이트를 적용하기 전에 BitLocker를 일시 중단합니다. Windows가 각 디바이스에서 사용 가능한 하드웨어에 따라 최상의 보안 및 유용성을 조합하기 위해 PCR 프로필을 선택할 수 있도록 이 정책을 구성하지 않는 것이 좋습니다.
PCR 7은 보안 부팅 상태를 측정합니다. PCR 7을 사용하면 BitLocker는 무결성 유효성 검사를 위해 보안 부팅을 사용할 수 있습니다. 보안 부팅을 통해 컴퓨터의 시험판 환경은 권한 있는 소프트웨어 게시자가 디지털 서명한 펌웨어만 로드합니다. PCR 7 측정값은 보안 부팅이 켜져 있는지 여부와 플랫폼에서 신뢰할 수 있는 키를 나타냅니다. 보안 부팅이 켜져 있고 펌웨어가 UEFI 사양에 따라 PCR 7을 올바르게 측정하는 경우 BitLocker는 정확한 펌웨어 및 Bootmgr 이미지의 측정값이 로드된 PCR 0, 2 및 4가 아닌 이 정보에 바인딩할 수 있습니다. 이 프로세스는 펌웨어 및 이미지 업데이트의 결과로 복구 모드에서 BitLocker가 시작될 가능성을 줄이고 프리부트 구성을 관리할 수 있는 더 큰 유연성을 제공합니다.
PCR 7 측정은 부록 A 신뢰할 수 있는 실행 환경 EFI 프로토콜에 설명된 지침을 따라야 합니다.
PCR 7 측정은 최신 대기(Always On, Always Connected PC라고도 함)를 지원하는 시스템의 필수 로고 요구 사항입니다. 이러한 시스템에서 PCR 7 측정 및 보안 부팅이 있는 TPM이 올바르게 구성된 경우 BitLocker는 기본적으로 PCR 7 및 PCR 11에 바인딩됩니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
이 정책 설정을 사용하면 운영 체제 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리하고 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정할 수 있습니다. 하드웨어 기반 암호화를 사용하면 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.
이 정책 설정을 사용하도록 설정하면 하드웨어 기반 암호화를 지원하지 않는 디바이스에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화가 사용되는지 여부를 제어하는 옵션을 지정할 수 있습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호 그룹을 제한할지 지정할 수도 있습니다.
이 정책 설정을 사용하지 않도록 설정하면 BitLocker는 운영 체제 드라이브에서 하드웨어 기반 암호화를 사용할 수 없으며, BitLocker 소프트웨어 기반 암호화는 드라이브가 암호화될 때 기본적으로 사용됩니다.
이 정책 설정을 구성하지 않으면 BitLocker는 하드웨어 기반 암호화 가용성에 관계없이 소프트웨어 기반 암호화를 사용합니다.
참고
드라이브 암호화 선택 방법 및 암호 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘은 드라이브가 분할될 때 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다.
하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호 그룹 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화와 함께 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 사용하지 않도록 설정합니다. 암호화 알고리즘은 OID(개체 식별자)로 지정됩니다. 예시:
- CBC 모드 OID의 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 모드 OID의 AES 256:
2.16.840.1.101.3.4.1.42
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
이 정책 설정은 BitLocker로 보호되는 운영 체제 드라이브의 잠금을 해제하는 데 사용되는 암호에 대한 제약 조건을 지정합니다. 운영 체제 드라이브에서 TPM 보호기가 아닌 보호기가 허용되는 경우 암호를 프로비전하고 복잡성 요구 사항을 적용하며 최소 길이를 구성할 수 있습니다.
중요
복잡성 요구 사항 설정이 적용되려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책암호 정책에 있는 복잡성 요구 사항을 충족해야 합니다. 암호 정책 > 도 사용하도록 설정해야 합니다.
이 정책 설정을 사용하도록 설정하면 사용자가 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호에 복잡성 요구 사항을 적용하려면 복잡성 필요를 선택합니다.
-
복잡성 필요로 설정하면 BitLocker를 사용하도록 설정하여 암호 복잡성의 유효성을 검사할 때 도메인 컨트롤러에 연결해야 합니다.
-
복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결이 복잡성이 정책에 의해 설정된 규칙을 준수하는지 확인하려고 시도합니다. 도메인 컨트롤러를 찾을 수 없는 경우 암호는 실제 암호 복잡성에 관계 없이 허용되며 해당 암호를 보호자로 사용하여 드라이브가 암호화됩니다.
-
복잡성 허용 안 됨으로 설정하면 암호 복잡성의 유효성이 검사되지 않습니다.
암호는 8자 이상이어야 합니다. 암호에 대한 최소 길이를 더 많이 구성하려면 최소 암호 길이에서 원하는 문자 수를 지정합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 8자의 기본 길이 제약 조건이 운영 체제 드라이브 암호에 적용되며 복잡성 검사가 발생하지 않습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
표준 사용자가 PIN 또는 암호를 변경하지 못하도록 허용
이 정책을 사용하면 표준 사용자가 기존 PIN을 먼저 제공할 수 있는 경우 운영 체제 드라이브를 보호하는 데 사용되는 PIN 또는 암호를 변경할 수 있는지 여부를 구성할 수 있습니다.
이 정책을 사용하도록 설정하면 표준 사용자가 BitLocker PIN 또는 암호를 변경할 수 없습니다.
이 정책을 사용하지 않거나 구성하지 않으면 표준 사용자가 BitLocker PIN 및 암호를 변경할 수 있습니다.
이 정책 설정을 사용하면 플랫폼에 프리부트 입력 기능이 없는 경우에도 사용자가 preboot 환경에서 사용자 입력이 필요한 인증 옵션을 켤 수 있습니다. Windows 터치 키보드(예: 태블릿에서 사용됨)는 BitLocker에 PIN 또는 암호와 같은 추가 정보가 필요한 프리부트 환경에서 사용할 수 없습니다.
- 이 정책 설정을 사용하도록 설정하면 디바이스에 사전 부팅 입력(예: 연결된 USB 키보드)의 대체 수단이 있어야 합니다.
- 이 정책을 사용하도록 설정하지 않은 경우 BitLocker 복구 암호의 입력을 지원하려면 태블릿에서 Windows 복구 환경을 사용하도록 설정해야 합니다.
관리자는 USB 키보드 연결과 같은 시험판 입력의 대체 수단이 있는 것으로 확인된 디바이스에 대해서만 이 정책을 사용하도록 설정하는 것이 좋습니다.
WinRE(Windows 복구 환경)를 사용하도록 설정하지 않고 이 정책을 사용하도록 설정하지 않으면 터치 키보드를 사용하는 디바이스에서 BitLocker를 켤 수 없습니다.
이 정책 설정을 사용하도록 설정하지 않으면 시작 시 추가 인증 필요 정책의 다음 옵션을 사용할 수 없을 수 있습니다.
- TPM 시작 PIN 구성: 필수 및 허용
- TPM 시작 키 및 PIN 구성: 필수 및 허용
- 운영 체제 드라이브에 대한 암호 사용 구성
운영 체제 드라이브에 드라이브 암호화 유형 적용
이 정책 설정을 사용하면 BitLocker 드라이브 암호화에서 사용하는 암호화 유형을 구성할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 BitLocker 설정 마법사에서 암호화 유형 옵션이 제공되지 않습니다.
- BitLocker가 켜져 있을 때 전체 드라이브를 암호화하도록 하려면 전체 암호화 를 선택합니다.
- BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브 부분만 암호화하도록 하려면 사용된 공간 전용 암호화 를 선택합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 설정 마법사는 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.
참고
드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다.
볼륨을 축소하거나 확장할 때 이 정책은 무시되며 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화 를 사용하는 드라이브가 확장되면 새 사용 가능한 공간이 전체 암호화를 사용하는 드라이브처럼 초기화되지 않습니다. 사용자는 명령을 manage-bde.exe -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.
시작 시 추가 인증 필요
이 정책 설정은 디바이스가 시작될 때마다 BitLocker에 추가 인증이 필요한지 여부를 구성합니다.
이 정책을 사용하도록 설정하면 사용자는 BitLocker 설치 마법사에서 고급 시작 옵션을 구성할 수 있습니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자는 TPM이 있는 컴퓨터에서 기본 옵션만 구성할 수 있습니다.
참고
시작 시 추가 인증 옵션 중 하나만 필요할 수 있습니다. 그렇지 않으면 정책 오류가 발생합니다.
TPM이 없는 디바이스에서 BitLocker를 사용하려면 호환되는 TPM 없이 BitLocker 허용 옵션을 선택합니다. 이 모드에서는 시작에 암호 또는 USB 드라이브가 필요합니다.
시작 키를 사용하는 경우 드라이브를 암호화하는 데 사용되는 키 정보가 USB 드라이브에 저장되어 USB 키를 만듭니다. USB 키를 삽입하면 드라이브에 대한 액세스가 인증되고 드라이브에 액세스할 수 있습니다. USB 키를 분실하거나 사용할 수 없거나 암호를 잊어버린 경우 BitLocker 복구 옵션 중 하나를 사용하여 드라이브에 액세스해야 합니다.
호환되는 TPM이 있는 컴퓨터에서 시작 시 네 가지 유형의 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 다음을 사용할 수 있습니다.
- TPM만
- 시작 키가 포함된 USB 플래시 드라이브
- PIN(6자리에서 20자리)
- PIN + USB 플래시 드라이브
참고
시작 PIN 및 USB 플래시 드라이브를 사용해야 하는 경우 BitLocker 드라이브 암호화 설정 마법사 대신 명령줄 도구 manage-bde 를 사용하여 BitLocker 설정을 구성해야 합니다.
TPM 사용 디바이스에는 다음과 같은 네 가지 옵션이 있습니다.
TPM 시작 구성
TPM 시작 PIN 구성
- TPM을 사용하여 시작 PIN 허용
- TPM을 사용하여 시작 PIN 필요
- TPM에서 시작 PIN을 허용하지 않음
TPM 시작 키 구성
- TPM을 사용하여 시작 키 허용
- TPM을 사용하여 시작 키 필요
- TPM에서 시작 키 허용 안 함
TPM 시작 키 및 PIN 구성
- PIN을 사용하여 TPM 시작 키 허용
- TPM을 사용하여 시작 키 및 PIN 필요
- PIN을 사용하여 TPM 시작 키를 허용하지 않음
이 정책 설정은 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터를 새로 고쳐야 하는지 여부를 결정합니다. 플랫폼 유효성 검사 데이터 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 집합의 값으로 구성됩니다.
이 정책 설정을 사용하도록 설정하면 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐집니다. 이것이 기본 동작입니다.
이 정책 설정을 사용하지 않도록 설정하면 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐지지 않습니다.
복구 프로세스에 대한 자세한 내용은 BitLocker 복구 개요를 참조하세요.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
향상된 부팅 구성 데이터 유효성 검사 프로필 사용
이 정책 설정은 플랫폼 유효성 검사 중에 확인할 특정 BCD(부팅 구성 데이터) 설정을 결정합니다. 플랫폼 유효성 검사는 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 집합으로 구성된 플랫폼 유효성 검사 프로필의 데이터를 사용합니다.
이 정책 설정을 구성하지 않으면 디바이스에서 기본 Windows BCD 설정을 확인합니다.
참고
BitLocker가 무결성 유효성 검사에 보안 부팅 허용 정책 설정에 정의된 대로 플랫폼 및 BCD 무결성 유효성 검사에 보안 부팅 을 사용하는 경우 이 정책 설정은 무시됩니다. 부팅 디버깅을 제어하는 0x16000010 설정은 항상 유효성을 검사하며 포함 또는 제외 목록에 포함된 경우에는 아무런 효과가 없습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브 |
BitLocker로 보호된 고정 드라이브를 복구하는 방법 선택
이 정책 설정을 사용하면 필요한 시작 키 정보가 없는 경우 BitLocker로 보호되는 고정 데이터 드라이브를 복구하는 방법을 제어할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 고정 데이터 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다. 사용 가능한 옵션은 다음과 같습니다.
-
인증서 기반 데이터 복구 에이전트 허용: 데이터 복구 에이전트를 BitLocker로 보호된 고정 데이터 드라이브와 함께 사용할 수 있는지 여부를 지정합니다. 데이터 복구 에이전트를 사용하려면 먼저 그룹 정책 관리 콘솔 또는 로컬 그룹 정책 편집기 공개 키 정책 항목에서 추가해야 합니다.
-
BitLocker 복구 정보의 사용자 스토리지 구성: 사용자가 48자리 복구 암호 또는 256비트 복구 키를 생성할 수 있는지, 필요한지 또는 생성할 수 있는지 여부를 선택합니다.
-
BitLocker 설치 마법사에서 복구 옵션 생략: 사용자가 드라이브에 대해 BitLocker를 켤 때 복구 옵션을 지정하지 못하도록 합니다. 즉, 사용자는 BitLocker를 켤 때 사용할 복구 옵션을 지정할 수 없습니다. 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.
-
BitLocker 복구 정보를 Active Directory Domain Services 저장: 고정 데이터 드라이브용 AD DS에 저장할 BitLocker 복구 정보를 선택합니다.
백업 복구 암호 및 키 패키지를 선택하면 BitLocker 복구 암호와 키 패키지가 모두 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다.
백업 복구 암호만 선택하는 경우 복구 암호만 AD DS에 저장됩니다.
-
고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요. 디바이스가 도메인에 연결되고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않으면 사용자가 BitLocker를 사용하도록 설정할 수 없습니다. 이 옵션을 사용하면 복구 암호가 자동으로 생성됩니다.
중요
BitLocker 정책 설정으로 보호되지 않는 고정 드라이브에 대한 쓰기 거부 정책 설정을 사용하는 경우 복구 키의 사용을 허용하지 않아야 합니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 BitLocker 복구에 대한 기본 복구 옵션이 지원됩니다. 기본적으로 DRA가 허용되고 복구 암호 및 복구 키를 포함하여 사용자가 복구 옵션을 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.
이 정책 설정을 사용하면 고정 데이터 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리하고 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정할 수 있습니다. 하드웨어 기반 암호화를 사용하면 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.
이 정책 설정을 사용하도록 설정하면 하드웨어 기반 암호화를 지원하지 않는 디바이스에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화가 사용되는지 여부를 제어하는 옵션을 지정할 수 있습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호 그룹을 제한할지 지정할 수도 있습니다.
이 정책 설정을 사용하지 않도록 설정하면 BitLocker는 고정 데이터 드라이브에서 하드웨어 기반 암호화를 사용할 수 없으며, BitLocker 소프트웨어 기반 암호화는 드라이브가 암호화될 때 기본적으로 사용됩니다.
이 정책 설정을 구성하지 않으면 BitLocker는 하드웨어 기반 암호화 가용성에 관계없이 소프트웨어 기반 암호화를 사용합니다.
참고
드라이브 암호화 선택 방법 및 암호 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘은 드라이브가 분할될 때 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다.
하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호 그룹 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화와 함께 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 사용하지 않도록 설정합니다. 암호화 알고리즘은 OID(개체 식별자)로 지정됩니다. 예시:
- CBC 모드 OID의 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 모드 OID의 AES 256:
2.16.840.1.101.3.4.1.42
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브 |
이 정책 설정은 BitLocker로 보호되는 고정 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정합니다. 암호 사용을 허용하도록 선택하는 경우 암호를 사용하고, 복잡성 요구 사항을 적용하고, 최소 길이를 구성하도록 요구할 수 있습니다.
중요
복잡성 요구 사항 설정이 적용되려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책암호 정책에 있는 복잡성 요구 사항을 충족해야 합니다. 암호 정책 > 도 사용하도록 설정해야 합니다.
이 정책 설정을 사용하도록 설정하면 사용자가 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호에 복잡성 요구 사항을 적용하려면 복잡성 필요를 선택합니다.
-
복잡성 필요로 설정하면 BitLocker를 사용하도록 설정하여 암호 복잡성의 유효성을 검사할 때 도메인 컨트롤러에 연결해야 합니다.
-
복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결이 복잡성이 정책에 의해 설정된 규칙을 준수하는지 확인하려고 시도합니다. 도메인 컨트롤러를 찾을 수 없는 경우 암호는 실제 암호 복잡성에 관계 없이 허용되며 해당 암호를 보호자로 사용하여 드라이브가 암호화됩니다.
-
복잡성 허용 안 됨으로 설정하면 암호 복잡성의 유효성이 검사되지 않습니다.
암호는 8자 이상이어야 합니다. 암호에 대한 최소 길이를 더 많이 구성하려면 최소 암호 길이에서 원하는 문자 수를 지정합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 8자의 기본 길이 제약 조건이 운영 체제 드라이브 암호에 적용되며 복잡성 검사가 발생하지 않습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브 |
이 정책 설정을 사용하면 스마트 카드를 사용하여 BitLocker로 보호되는 고정 데이터 드라이브에 대한 사용자 액세스를 인증할 수 있는지 여부를 지정할 수 있습니다.
- 이 정책 설정을 사용하도록 설정하면 스마트 카드를 사용하여 드라이브에 대한 사용자 액세스를 인증할 수 있습니다.
-
고정 데이터 드라이브에서 스마트 카드 사용 필요 옵션을 선택하여 스마트 카드 인증을 요구할 수 있습니다.
- 이 정책 설정을 사용하지 않도록 설정하면 사용자는 스마트 카드를 사용하여 BitLocker로 보호되는 고정 데이터 드라이브에 대한 액세스를 인증할 수 없습니다.
- 이 정책 설정을 구성하지 않으면 스마트 카드를 사용하여 BitLocker로 보호된 드라이브에 대한 사용자 액세스를 인증할 수 있습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브 |
BitLocker에 의해 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부
이 정책 설정은 쓰기 액세스 권한을 부여하기 전에 고정 드라이브의 암호화를 요구하는 데 사용됩니다.
이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되지 않는 모든 고정 데이터 드라이브가 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스 권한으로 탑재됩니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 컴퓨터의 모든 고정 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 탑재됩니다.
참고
이 정책 설정을 사용하도록 설정하면 사용자는 암호화되지 않은 고정 데이터 드라이브에 데이터를 저장하려고 할 때 액세스 거부 오류 메시지를 받습니다.
이 정책 설정을 사용할 때 컴퓨터에서 BitLocker 드라이브 준비 도구를BdeHdCfg.exe 실행하는 경우 다음 문제가 발생할 수 있습니다.
- 시스템 드라이브를 만들기 위해 드라이브를 축소하려고 하면 드라이브 크기가 줄어들고 원시 파티션이 만들어집니다. 그러나 원시 파티션의 형식은 지정되지 않습니다. 다음 오류 메시지가 표시됩니다 . 새 활성 드라이브의 형식을 지정할 수 없습니다. BitLocker에 대한 드라이브를 수동으로 준비해야 할 수도 있습니다.
- 할당되지 않은 공간을 사용하여 시스템 드라이브를 만들려고 하면 원시 파티션이 만들어집니다. 그러나 원시 파티션의 형식은 지정되지 않습니다. 다음 오류 메시지가 표시됩니다 . 새 활성 드라이브의 형식을 지정할 수 없습니다. BitLocker에 대한 드라이브를 수동으로 준비해야 할 수도 있습니다.
- 기존 드라이브를 시스템 드라이브에 병합하려고 하면 도구에서 필요한 부팅 파일을 대상 드라이브에 복사하여 시스템 드라이브를 만들지 못합니다. 다음 오류 메시지가 표시됩니다. BitLocker 설치 프로그램이 부팅 파일을 복사하지 못했습니다. BitLocker에 대한 드라이브를 수동으로 준비해야 할 수도 있습니다.
고정 데이터 드라이브에 드라이브 암호화 유형 적용
이 정책 설정은 고정 데이터 드라이브에서 BitLocker의 사용을 제어합니다.
이 정책을 사용하도록 설정하면 BitLocker가 드라이브를 암호화하는 데 사용하는 암호화 유형이 이 정책에 의해 정의되고 BitLocker 설치 마법사에 암호화 유형 옵션이 표시되지 않습니다.
- BitLocker가 켜져 있을 때 전체 드라이브를 암호화하도록 하려면 전체 암호화 를 선택합니다.
- BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브 부분만 암호화하도록 하려면 사용된 공간 전용 암호화 를 선택합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 설정 마법사는 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.
참고
드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다.
볼륨을 축소하거나 확장할 때 이 정책은 무시되며 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화 를 사용하는 드라이브가 확장되면 새 사용 가능한 공간이 전체 암호화를 사용하는 드라이브처럼 초기화되지 않습니다. 사용자는 명령을 manage-bde.exe -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.
|
경로 |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesEncryptionType |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브 |
BitLocker로 보호된 이동식 드라이브를 복구하는 방법 선택
이 정책 설정을 사용하면 필요한 시작 키 정보가 없는 경우 BitLocker로 보호되는 이동식 데이터 드라이브를 복구하는 방법을 제어할 수 있습니다. 이 정책 설정을 사용하도록 설정하면 BitLocker로 보호되는 이동식 데이터 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다. 사용 가능한 옵션은 다음과 같습니다.
-
인증서 기반 데이터 복구 에이전트 허용: 데이터 복구 에이전트를 BitLocker로 보호된 이동식 데이터 드라이브와 함께 사용할 수 있는지 여부를 지정합니다. 데이터 복구 에이전트를 사용하려면 먼저 그룹 정책 관리 콘솔 또는 로컬 그룹 정책 편집기 공개 키 정책 항목에서 추가해야 합니다.
-
BitLocker 복구 정보의 사용자 스토리지 구성: 사용자가 48자리 복구 암호 또는 256비트 복구 키를 생성할 수 있는지, 필요한지 또는 생성할 수 있는지 여부를 선택합니다.
-
BitLocker 설치 마법사에서 복구 옵션 생략: 사용자가 드라이브에 대해 BitLocker를 켤 때 복구 옵션을 지정하지 못하도록 합니다. 즉, 사용자는 BitLocker를 켤 때 사용할 복구 옵션을 지정할 수 없습니다. 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.
-
BitLocker 복구 정보를 Active Directory Domain Services 저장: 이동식 데이터 드라이브에 대해 AD DS에 저장할 BitLocker 복구 정보를 선택합니다.
백업 복구 암호 및 키 패키지를 선택하면 BitLocker 복구 암호와 키 패키지가 모두 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다.
백업 복구 암호만 선택하는 경우 복구 암호만 AD DS에 저장됩니다.
-
이동식 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요. 디바이스가 도메인에 연결되고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않으면 사용자가 BitLocker를 사용하도록 설정할 수 없습니다. 이 옵션을 사용하면 복구 암호가 자동으로 생성됩니다.
중요
BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 정책 설정을 사용하는 경우 복구 키의 사용을 허용하지 않아야 합니다.
이 정책 설정을 사용하지 않도록 설정하거나 구성하지 않으면 BitLocker 복구에 대한 기본 복구 옵션이 지원됩니다. 기본적으로 DRA가 허용되고 복구 암호 및 복구 키를 포함하여 사용자가 복구 옵션을 지정할 수 있으며 복구 정보는 AD DS에 백업되지 않습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브 |
이 정책 설정을 사용하면 이동식 데이터 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리하고 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정할 수 있습니다. 하드웨어 기반 암호화를 사용하면 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.
이 정책 설정을 사용하도록 설정하면 하드웨어 기반 암호화를 지원하지 않는 디바이스에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화가 사용되는지 여부를 제어하는 옵션을 지정할 수 있습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호 그룹을 제한할지 지정할 수도 있습니다.
이 정책 설정을 사용하지 않도록 설정하면 BitLocker는 이동식 데이터 드라이브에서 하드웨어 기반 암호화를 사용할 수 없으며, BitLocker 소프트웨어 기반 암호화는 드라이브가 암호화될 때 기본적으로 사용됩니다.
이 정책 설정을 구성하지 않으면 BitLocker는 하드웨어 기반 암호화 가용성에 관계없이 소프트웨어 기반 암호화를 사용합니다.
참고
드라이브 암호화 선택 방법 및 암호 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘은 드라이브가 분할될 때 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다.
하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호 그룹 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화와 함께 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 사용하지 않도록 설정합니다. 암호화 알고리즘은 OID(개체 식별자)로 지정됩니다. 예시:
- CBC 모드 OID의 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 모드 OID의 AES 256:
2.16.840.1.101.3.4.1.42
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브 |
이 정책 설정은 BitLocker로 보호되는 이동식 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정합니다. 암호 사용을 허용하도록 선택하는 경우 암호를 사용하고, 복잡성 요구 사항을 적용하고, 최소 길이를 구성하도록 요구할 수 있습니다.
중요
복잡성 요구 사항 설정이 적용되려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책암호 정책에 있는 복잡성 요구 사항을 충족해야 합니다. 암호 정책 > 도 사용하도록 설정해야 합니다.
이 정책 설정을 사용하도록 설정하면 사용자가 정의한 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호에 복잡성 요구 사항을 적용하려면 복잡성 필요를 선택합니다.
-
복잡성 필요로 설정하면 BitLocker를 사용하도록 설정하여 암호 복잡성의 유효성을 검사할 때 도메인 컨트롤러에 연결해야 합니다.
-
복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결이 복잡성이 정책에 의해 설정된 규칙을 준수하는지 확인하려고 시도합니다. 도메인 컨트롤러를 찾을 수 없는 경우 암호는 실제 암호 복잡성에 관계 없이 허용되며 해당 암호를 보호자로 사용하여 드라이브가 암호화됩니다.
-
복잡성 허용 안 됨으로 설정하면 암호 복잡성의 유효성이 검사되지 않습니다.
암호는 8자 이상이어야 합니다. 암호에 대한 최소 길이를 더 많이 구성하려면 최소 암호 길이에서 원하는 문자 수를 지정합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 8자의 기본 길이 제약 조건이 운영 체제 드라이브 암호에 적용되며 복잡성 검사가 발생하지 않습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브 |
이 정책 설정을 사용하면 스마트 카드를 사용하여 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 사용자 액세스를 인증할 수 있는지 여부를 지정할 수 있습니다.
- 이 정책 설정을 사용하도록 설정하면 스마트 카드를 사용하여 드라이브에 대한 사용자 액세스를 인증할 수 있습니다.
-
이동식 데이터 드라이브에서 스마트 카드 사용 필요 옵션을 선택하여 스마트 카드 인증을 요구할 수 있습니다.
- 이 정책 설정을 사용하지 않도록 설정하면 사용자는 스마트 카드를 사용하여 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 액세스를 인증할 수 없습니다.
- 이 정책 설정을 구성하지 않으면 스마트 카드를 사용하여 BitLocker로 보호된 드라이브에 대한 사용자 액세스를 인증할 수 있습니다.
|
경로 |
|
CSP |
사용할 수 없음 |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브 |
이동식 드라이브에서 BitLocker 사용 제어
이 정책 설정은 이동식 데이터 드라이브에서 BitLocker 사용을 제어합니다.
이 정책 설정을 사용하도록 설정하면 사용자가 BitLocker를 구성하는 방법을 제어하는 속성 설정을 선택할 수 있습니다.
-
사용자가 이동식 데이터 드라이브에서 BitLocker 설정 마법사를 실행할 수 있도록 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용을 선택합니다.
-
사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독하도록 허용을 선택하여 사용자가 드라이브에서 BitLocker 암호화를 제거하거나 유지 관리가 수행되는 동안 암호화를 일시 중단하도록 허용합니다.
이 정책 설정을 사용하지 않도록 설정하면 사용자는 이동식 디스크 드라이브에서 BitLocker를 사용할 수 없습니다.
BitLocker에 의해 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부
이 정책 설정은 디바이스가 이동식 데이터 드라이브에 데이터를 쓸 수 있도록 BitLocker 보호가 필요한지 여부를 구성합니다.
이 정책 설정을 사용하도록 설정하면 다음을 수행합니다.
- BitLocker로 보호되지 않는 모든 이동식 데이터 드라이브는 읽기 전용으로 탑재됩니다.
- 드라이브가 BitLocker로 보호되면 읽기 및 쓰기 액세스 권한으로 탑재됩니다.
-
다른 organization 구성된 디바이스에 대한 쓰기 권한 거부 옵션을 선택하면 컴퓨터의 식별 필드와 일치하는 ID 필드가 있는 드라이브만 쓰기 액세스 권한이 부여됩니다.
- 이동식 데이터 드라이브에 액세스하면 유효한 식별 필드와 허용되는 식별 필드가 확인됩니다. 이러한 필드는 (organization 고유 식별자 제공)[] 정책 설정에 의해 정의됩니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 컴퓨터의 모든 이동식 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 탑재됩니다.
참고
이 정책 설정은 정책 설정 이동식 디스크: 쓰기 권한 거부 가 사용하도록 설정된 경우 무시됩니다.
중요
이 정책을 활성화한 경우:
-
TPM 시작 키 또는 TPM 키및 PIN과 함께 BitLocker를 사용할 수 없습니다.
- 복구 키 사용은 허용되지 않아야 합니다.
|
경로 |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
이동식 드라이브RequireEncryption |
|
GPO |
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브 |
이동식 데이터 드라이브에 드라이브 암호화 유형 적용
이 정책 설정은 이동식 데이터 드라이브에서 BitLocker 사용을 제어합니다.
이 정책 설정을 사용하도록 설정하면 BitLocker 설정 마법사에서 암호화 유형 옵션이 제공되지 않습니다.
- BitLocker가 켜져 있을 때 전체 드라이브를 암호화하도록 하려면 전체 암호화 를 선택합니다.
- BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브 부분만 암호화하도록 하려면 사용된 공간 전용 암호화 를 선택합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 설정 마법사는 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.
참고
드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다.
볼륨을 축소하거나 확장할 때 이 정책은 무시되며 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화 를 사용하는 드라이브가 확장되면 새 사용 가능한 공간이 전체 암호화를 사용하는 드라이브처럼 초기화되지 않습니다. 사용자는 명령을 manage-bde.exe -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.
암호화에서 제외된 이동식 드라이브
일반 설정
운영 체제 드라이브
고정 데이터 드라이브