BitLocker 그룹 정책 설정

적용 대상:

  • Windows 10
  • Windows 11
  • Windows Server 2016 이상

IT 전문가를 위한 이 문서에서는 BitLocker 드라이브 암호화를 관리하는 데 사용되는 각 그룹 정책 설정의 기능, 위치 및 효과에 대해 설명합니다.

그룹 정책 관리 템플릿 또는 로컬 컴퓨터 정책 설정을 사용하여 사용자가 수행할 수 있는 BitLocker 드라이브 암호화 작업 및 구성(예: BitLocker 드라이브 암호화 제어판)을 제어할 수 있습니다. 이러한 정책 중 구성되는 정책 및 구성 방법은 BitLocker가 구현되는 방법과 최종 사용자에게 원하는 상호 작용 수준에 따라 달라집니다.

참고

별도의 그룹 정책 설정 집합은 TPM(신뢰할 수 있는 플랫폼 모듈)의 사용을 지원합니다. 이러한 설정에 대한 자세한 내용은 신뢰할 수 있는 플랫폼 모듈 그룹 정책 설정을 참조하세요.

BitLocker 그룹 정책 설정은 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화에서 로컬 그룹 정책 편집기 및 GPMC(그룹 정책 관리 콘솔)를 사용하여 액세스할 수 있습니다.

BitLocker 그룹 정책 설정의 대부분은 BitLocker가 처음에 드라이브에 대해 켜져 있을 때 적용됩니다. 컴퓨터가 기존 그룹 정책 설정을 준수하지 않는 경우 BitLocker가 켜지지 않거나 컴퓨터가 호환 상태가 될 때까지 BitLocker 구성이 수정될 수 있습니다. 드라이브가 그룹 정책 설정을 준수하지 않는 경우 규정 준수로 가져올 BitLocker 구성 변경만 허용됩니다. 이 시나리오는 예를 들어 이전에 암호화된 드라이브가 그룹 정책 설정의 변경으로 규정 준수에서 벗어난 경우 발생할 수 있습니다.

드라이브를 준수하기 위해 여러 변경이 필요한 경우 BitLocker 보호를 일시 중단해야 하고 필요한 변경 내용을 적용한 다음 보호를 다시 시작해야 할 수 있습니다. 예를 들어 이동식 드라이브가 처음에 암호로 잠금 해제되도록 구성되었지만 암호를 허용하지 않고 스마트 카드가 필요하도록 그룹 정책 설정이 변경되는 경우 이러한 상황이 발생할 수 있습니다. 이 경우 Manage-bde 명령줄 도구를 사용하여 BitLocker 보호를 일시 중단하고 암호 잠금 해제 메서드를 삭제하고 스마트 카드 메서드를 추가해야 합니다. 이 프로세스가 완료되면 BitLocker가 그룹 정책 설정을 준수하고 드라이브에서 BitLocker 보호를 다시 시작합니다.

다른 시나리오에서는 드라이브가 그룹 정책 설정 변경을 준수하도록 하려면 BitLocker를 사용하지 않도록 설정해야 하고 드라이브의 암호를 해독한 다음 BitLocker를 다시 활성화한 다음 드라이브를 다시 암호화해야 할 수 있습니다. 이 시나리오의 예는 BitLocker 암호화 방법 또는 암호 강도가 변경되는 경우입니다. 이 시나리오에서는 Manage-bde 명령줄을 사용하여 디바이스를 규정 준수로 전환할 수도 있습니다.

BitLocker 그룹 정책 설정 세부 정보

참고

BitLocker 사용과 관련된 Active Directory 구성에 대한 자세한 내용은 BitLocker용 MDT 설정을 참조하세요.

다음 섹션에서는 사용량별로 구성된 BitLocker 그룹 정책 설정의 포괄적인 목록을 제공합니다. BitLocker 그룹 정책 설정에는 특정 드라이브 유형(운영 체제 드라이브, 고정 데이터 드라이브 및 이동식 데이터 드라이브)에 대한 설정과 모든 드라이브에 적용되는 설정이 포함됩니다.

다음 정책 설정을 사용하여 BitLocker로 보호된 드라이브의 잠금을 해제하는 방법을 결정할 수 있습니다.

다음 정책 설정은 사용자가 드라이브에 액세스할 수 있는 방법과 컴퓨터에서 BitLocker를 사용하는 방법을 제어하는 데 사용됩니다.

다음 정책 설정은 BitLocker와 함께 사용되는 암호화 방법 및 암호화 유형을 결정합니다.

다음 정책 설정은 인증 방법이 실패하거나 사용할 수 없는 경우 BitLocker로 보호된 드라이브에 대한 액세스를 복원하는 데 사용할 수 있는 복구 방법을 정의합니다.

다음 정책은 조직에서 사용자 지정된 배포 시나리오를 지원하는 데 사용됩니다.

보안 부팅 및 보호된 DMA 포트가 있는 디바이스가 사전 부팅 PIN을 옵트아웃하도록 허용

항목 정보
정책 설명 이 정책 설정을 사용하면 최신 대기 상태 또는 HSTI를 지원하는 디바이스와 같이 최신 디바이스에서 더 안전한 최신 디바이스에 대해 TPM 전용 보호를 허용하고 이전 디바이스에서 PIN을 요구할 수 있습니다.
도입 Windows 10 버전 1703
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 이 설정은 규격 하드웨어에 대한 시작 시 추가 인증 필요 정책의 TPM을 사용하여 시작 PIN 필요 옵션을 재정의합니다.
사용하도록 설정된 경우 최신 대기 및 HSTI 규격 디바이스의 사용자는 시험판 인증 없이 BitLocker를 켤 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 시작 시 추가 인증 필요 정책의 옵션이 적용됩니다.

참조: 보안 부팅 및 보호된 DMA 포트가 있는 디바이스가 프리부트 PIN을 옵트아웃하도록 허용

부팅 전 인증 옵션 시작 시 추가 인증 필요 정책의 TPM을 사용한 시작 PIN 필요 옵션은 최신 대기를 지원하지 않는 이전 디바이스의 보안을 보장하는 데 도움이 되는 경우가 많습니다. 그러나 시각 장애가 있는 사용자는 PIN을 언제 입력해야 하는지 알 수 있는 가청 방법이 없습니다. 이 설정을 사용하면 보안 하드웨어에 대한 PIN 필수 정책에 대한 예외가 활성화됩니다.

시작 시 네트워크 잠금 해제 허용

이 정책은 BitLocker에서 네트워크 잠금 해제 기능 동작의 일부를 제어합니다. 이 정책은 BitLocker를 실행하는 클라이언트가 암호화 중에 필요한 네트워크 키 보호기를 만들 수 있으므로 네트워크에서 BitLocker 네트워크 잠금 해제를 사용하도록 설정하는 데 필요합니다.

이 정책은 신뢰할 수 있는 네트워크에 연결된 시스템이 네트워크 잠금 해제 기능을 제대로 활용할 수 있도록 BitLocker 드라이브 암호화 네트워크 잠금 해제 인증서 보안 정책(로컬 컴퓨터 정책의 공개 키 정책 폴더에 있음)과 함께 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 신뢰할 수 있는 로컬 영역 네트워크에 연결되고 도메인에 가입된 BitLocker로 보호된 컴퓨터가 TPM 사용 컴퓨터에서 네트워크 키 보호기를 만들고 사용하여 컴퓨터가 시작될 때 운영 체제 드라이브의 잠금을 자동으로 해제할 수 있는지 여부를 제어할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 BitLocker 네트워크 잠금 해제 인증서로 구성된 클라이언트는 네트워크 키 보호기를 만들고 사용할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 클라이언트는 네트워크 키 보호기를 만들고 사용할 수 없습니다.

참조: 시작 시 네트워크 잠금 해제 허용

네트워크 키 보호기를 사용하여 컴퓨터의 잠금을 해제하려면 BitLocker 드라이브 암호화 네트워크 잠금 해제를 호스트하는 컴퓨터와 서버가 네트워크 잠금 해제 인증서를 사용하여 프로비전되어야 합니다. 네트워크 잠금 해제 인증서는 네트워크 키 보호기를 만들고 컴퓨터 잠금을 해제하기 위해 서버와의 정보 교환을 보호하는 데 사용됩니다. 그룹 정책 설정 컴퓨터 구성>Windows 설정>보안 설정>공개 키 정책>BitLocker 드라이브 암호화 네트워크 잠금 해제 인증서를 도메인 컨트롤러에서 사용하여 이 인증서를 조직의 컴퓨터에 배포할 수 있습니다. 이 잠금 해제 방법은 컴퓨터에서 TPM을 사용하므로 TPM이 없는 컴퓨터는 네트워크 잠금 해제를 사용하여 자동으로 잠금을 해제하는 네트워크 키 보호기를 만들 수 없습니다.

참고

안정성 및 보안을 위해 컴퓨터에는 컴퓨터가 유선 네트워크에서 연결이 끊어지거나 시작할 때 도메인 컨트롤러에 연결할 수 없는 경우 사용할 수 있는 TPM 시작 PIN도 있어야 합니다.

네트워크 잠금 해제 기능에 대한 자세한 내용은 BitLocker: 네트워크 잠금 해제를 사용하도록 설정하는 방법을 참조하세요.

시작 시 추가 인증 필요

이 정책 설정은 운영 체제 드라이브에 사용할 수 있는 잠금 해제 옵션을 제어하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 컴퓨터가 시작될 때마다 BitLocker에 추가 인증이 필요한지 여부와 BitLocker를 TPM(신뢰할 수 있는 플랫폼 모듈)과 함께 사용할지 여부를 구성할 수 있습니다. 이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 한 인증 방법이 필요한 경우 다른 메서드를 허용할 수 없습니다. BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 설정을 사용하는 경우 TPM 시작 키 또는 TPM 시작 키 및 PIN과 함께 BitLocker를 사용할 수 없습니다.
사용하도록 설정된 경우 사용자는 BitLocker 설치 마법사에서 고급 시작 옵션을 구성할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 사용자는 TPM이 있는 컴퓨터에서 기본 옵션만 구성할 수 있습니다.

시작 시 추가 인증 옵션 중 하나만 필요할 수 있습니다. 그렇지 않으면 정책 오류가 발생합니다.

참조: 시작 시 추가 인증 필요

TPM이 없는 컴퓨터에서 BitLocker를 사용해야 하는 경우 호환되는 TPM 없이 BitLocker 허용을 선택합니다. 이 모드에서는 시작에 암호 또는 USB 드라이브가 필요합니다. USB 드라이브는 드라이브를 암호화하는 데 사용되는 시작 키를 저장합니다. USB 드라이브를 삽입하면 시작 키가 인증되고 운영 체제 드라이브에 액세스할 수 있습니다. USB 드라이브가 손실되거나 사용할 수 없는 경우 드라이브에 액세스하려면 BitLocker 복구가 필요합니다.

호환되는 TPM이 있는 컴퓨터에서 시작 시 추가 인증 방법을 사용하여 암호화된 데이터에 대한 보호를 개선할 수 있습니다. 컴퓨터가 시작되면 다음을 사용할 수 있습니다.

  • TPM만
  • 시작 키가 포함된 USB 플래시 드라이브 삽입
  • 4자리에서 20자리 PIN(개인 식별 번호)의 항목입니다.
  • PIN과 USB 플래시 드라이브의 조합

TPM 사용 컴퓨터 또는 디바이스에는 다음과 같은 네 가지 옵션이 있습니다.

  • TPM 시작 구성

    • TPM 허용
    • TPM 필요
    • TPM 허용 안 함
  • TPM 시작 PIN 구성

    • TPM을 사용하여 시작 PIN 허용
    • TPM을 사용하여 시작 PIN 필요
    • TPM에서 시작 PIN 허용 안 함
  • TPM 시작 키 구성

    • TPM을 사용하여 시작 키 허용
    • TPM을 사용하여 시작 키 필요
    • TPM에서 시작 키 허용 안 함
  • TPM 시작 키 및 PIN 구성

    • PIN을 사용하여 TPM 시작 키 허용
    • TPM을 사용하여 시작 키 및 PIN 필요
    • PIN을 사용하여 TPM 시작 키 허용 안 함

시작에 향상된 PIN 허용

이 정책 설정은 PIN을 포함하는 잠금 해제 방법을 사용할 때 향상된 PIN을 사용할 수 있도록 허용합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 향상된 시작 PIN이 BitLocker와 함께 사용되는지 여부를 구성할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 설정된 모든 새 BitLocker 시작 PIN은 향상된 PIN이 됩니다. 표준 시작 PIN을 사용하여 보호된 기존 드라이브는 영향을 받지 않습니다.
사용 안 함 또는 구성되지 않은 경우 향상된 PIN은 사용되지 않습니다.

참조: 시작에 향상된 PIN 허용

향상된 시작 PIN은 문자(대문자 및 소문자, 기호, 숫자 및 공백 포함)의 사용을 허용합니다. 이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

중요

모든 컴퓨터가 프리부트 환경에서 향상된 PIN 문자를 지원하는 것은 아닙니다. 사용자가 BitLocker 설치 중에 시스템 검사를 수행하여 향상된 PIN 문자를 사용할 수 있는지 확인하는 것이 좋습니다.

시작에 대한 최소 PIN 길이 구성

이 정책 설정은 PIN을 포함하는 잠금 해제 메서드가 사용될 때 최소 PIN 길이를 설정하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 TPM 시작 PIN에 대한 최소 길이를 구성할 수 있습니다. 이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다. 시작 PIN의 최소 길이는 4자리여야 하며 최대 길이는 20자리일 수 있습니다. 기본적으로 최소 PIN 길이는 6입니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 사용자가 설정한 시작 PIN의 필수 최소 길이는 4자리에서 20자리 사이로 설정할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 사용자는 6~20자리 길이의 시작 PIN을 구성할 수 있습니다.

참조: 시작에 대한 최소 PIN 길이 구성

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다. 시작 PIN의 최소 길이는 4자리여야 하며 최대 길이는 20자리일 수 있습니다.

원래 BitLocker는 PIN에 대해 4자에서 20자까지의 길이를 허용했습니다. Windows Hello 로그인에 대한 자체 PIN이 있으며 길이는 4~127자일 수 있습니다. BitLocker와 Windows Hello 모두 TPM을 사용하여 PIN 무차별 암호 대입 공격을 방지합니다.

TPM은 사전 공격 방지 매개 변수(잠금 임계값 및 잠금 기간)를 사용하여 TPM이 잠기기 전에 허용되는 실패한 권한 부여 시도 수와 다른 시도를 수행하기 전에 경과해야 하는 시간을 제어하도록 구성할 수 있습니다.

사전 공격 방지 매개 변수는 보안 요구 사항과 유용성의 균형을 맞추는 방법을 제공합니다. 예를 들어 BitLocker를 TPM + PIN 구성과 함께 사용하는 경우 시간에 따라 PIN 추측 수가 제한됩니다. 이 예제의 TPM 2.0은 32개의 PIN 추측만 즉시 허용하도록 구성한 다음 2시간마다 하나만 더 추측하도록 구성할 수 있습니다. 이 시도 횟수는 연간 최대 약 4415회 추측에 해당합니다. PIN이 4자리인 경우 2년 동안 가능한 모든 9999 PIN 조합을 시도할 수 있습니다.

PIN 길이를 늘리려면 공격자에게 더 많은 추측이 필요합니다. 이 경우 각 추측 간의 잠금 기간을 단축하여 합법적인 사용자가 비슷한 수준의 보호를 유지하면서 실패한 시도를 더 빨리 다시 시도할 수 있도록 할 수 있습니다.

Windows 10 버전 1703부터 BitLocker PIN의 최소 길이가 6자로 증가하여 Windows Hello 포함하여 TPM 2.0을 사용하는 다른 Windows 기능에 더 잘 맞춥니다. 2017년 10월 누적 업데이트가 설치된 Windows 10 버전 1709 및 Windows 10 버전 1703부터 전환할 수 있도록 BitLocker PIN 길이는 기본적으로 6자이지만 4자로 줄일 수 있습니다. 최소 PIN 길이가 기본값인 6자에서 줄면 TPM 2.0 잠금 기간이 연장됩니다.

이 컴퓨터가 잠겨 있을 때 새 DMA 디바이스 사용 안 함

이 정책 설정을 사용하면 사용자가 Windows에 로그인할 때까지 모든 핫 플러그형 PCI 포트에 대한 DMA(직접 메모리 액세스)를 차단할 수 있습니다.

항목 정보
정책 설명 이 설정은 외부 PCI 기반 디바이스를 사용하여 BitLocker 키에 액세스하는 공격을 방지하는 데 도움이 됩니다.
도입 Windows 10 버전 1703
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 없음
사용하도록 설정된 경우 사용자가 scree를 잠글 때마다 사용자가 다시 로그인할 때까지 핫 플러그형 PCI 포트에서 DMA가 차단됩니다.
사용 안 함 또는 구성되지 않은 경우 DMA는 사용자가 로그인했는지 여부에 관계없이 디바이스가 켜져 있는 경우 핫 플러그형 PCI 디바이스에서 사용할 수 있습니다.

참조: 이 컴퓨터가 잠겨 있을 때 새 DMA 디바이스 사용 안 함

이 정책 설정은 BitLocker 또는 디바이스 암호화를 사용하도록 설정한 경우에만 적용됩니다. Microsoft 보안 지침 블로그에 설명된 대로 이 설정을 사용하도록 설정하면 무선 네트워크 드라이버, 입력 및 오디오 주변 장치를 포함하여 내부 PCI 기반 주변 장치가 실패할 수 있습니다. 이 문제는 2018년 4월 품질 업데이트에서 해결되었습니다.

표준 사용자가 PIN 또는 암호를 변경하지 못하도록 허용

이 정책 설정을 사용하면 표준 사용자가 운영 체제 드라이브를 보호하는 데 사용되는 PIN 또는 암호를 변경할 수 있는지 여부를 구성할 수 있습니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 표준 사용자가 운영 체제 드라이브를 보호하는 데 사용되는 PIN 또는 암호를 변경할 수 있는지 여부를 구성할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 표준 사용자는 BitLocker PIN 또는 암호를 변경할 수 없습니다.
사용 안 함 또는 구성되지 않은 경우 표준 사용자는 BitLocker PIN 또는 암호를 변경할 수 있습니다.

참조: 표준 사용자가 PIN 또는 암호를 변경할 수 없습니다.

PIN 또는 암호를 변경하려면 사용자가 현재 PIN 또는 암호를 제공할 수 있어야 합니다. 이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

운영 체제 드라이브에 대한 암호 사용 구성

이 정책은 TPM 기반이 아닌 시스템이 암호 보호기를 활용하는 방법을 제어합니다. 암호와 함께 사용하면 복잡성 요구 사항 정책을 충족해야 합니다 . 이 정책을 사용하면 관리자가 암호 보호기를 사용하기 위해 암호 길이와 복잡성을 요구할 수 있습니다. 기본적으로 암호 길이는 8자여야 합니다. 복잡성 구성 옵션은 클라이언트에 대한 도메인 연결의 중요도를 결정합니다. 가장 강력한 암호 보안을 위해 관리자는 도메인 연결이 필요하고 BitLocker 암호가 도메인 로그인 암호 와 동일한 암호 복잡성 요구 사항을 충족해야 하므로 암호 복잡성 필요를 선택해야 합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker로 보호되는 운영 체제 드라이브의 잠금을 해제하는 데 사용되는 암호에 대한 제약 조건을 지정할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 FIPS 규정 준수를 사용하는 경우 암호를 사용할 수 없습니다.
참고: 시스템 암호화: 컴퓨터 구성>Windows 설정> 보안 설정로컬 정책>보안>옵션에 있는 암호화, 해시 및 서명 정책 설정에 FIPS 규격 알고리즘을 사용하여 FIPS 규정 준수를 사용할지 여부를 지정합니다.
사용하도록 설정된 경우 사용자는 정의된 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호에 대한 복잡성 요구 사항을 적용하려면 복잡성 필요를 선택합니다.
사용 안 함 또는 구성되지 않은 경우 운영 체제 드라이브 암호에는 8자의 기본 길이 제약 조건이 적용되며 복잡성 검사가 발생하지 않습니다.

참조: 운영 체제 드라이브에 대한 암호 사용 구성

운영 체제 드라이브에서 TPM이 아닌 보호기가 허용되는 경우 암호, 암호에 대한 복잡성 요구 사항 적용 및 암호에 대한 최소 길이 구성을 모두 프로비전할 수 있습니다. 복잡성 요구 사항 설정이 적용되려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책암호 정책에> 있는 복잡성 요구 사항을 충족해야 합니다.

참고

이러한 설정은 볼륨의 잠금을 해제할 때가 아니라 BitLocker를 켠 경우에 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브를 잠금 해제할 수 있습니다.

복잡성 필요로 설정하면 BitLocker를 사용하도록 설정하여 암호의 복잡성을 확인할 때 도메인 컨트롤러에 대한 연결이 필요합니다. 복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결이 복잡성이 정책에 의해 설정된 규칙을 준수하는지 확인하려고 시도합니다. 도메인 컨트롤러를 찾을 수 없는 경우 암호는 실제 암호 복잡성에 관계없이 허용되며 해당 암호를 보호자로 사용하여 드라이브가 암호화됩니다. 복잡성을 허용하지 않음으로 설정하면 암호 복잡성 유효성 검사가 없습니다.

암호는 8자 이상이어야 합니다. 암호에 대한 최소 길이를 더 많이 구성하려면 최소 암호 길이 상자에 원하는 문자 수를 입력합니다.

이 정책 설정을 사용하도록 설정하면 운영 체제 드라이브에 대한 암호 복잡성 구성 옵션을 다음으로 설정할 수 있습니다.

  • 암호 복잡성 허용
  • 암호 복잡성 거부
  • 암호 복잡성 필요

시작 시 추가 인증 필요(Windows Server 2008 및 Windows Vista)

이 정책 설정은 Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에 사용할 수 있는 잠금 해제 옵션을 제어하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 Windows Vista 또는 Windows Server 2008을 실행하는 컴퓨터의 BitLocker 설치 마법사에서 컴퓨터가 시작될 때마다 필요한 추가 인증 방법을 설정할 수 있는지 여부를 제어할 수 있습니다.
도입 Windows Server 2008 및 Windows Vista
드라이브 유형 운영 체제 드라이브(Windows Server 2008 및 Windows Vista)
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 추가 인증 방법을 선택한 경우 다른 인증 방법을 허용할 수 없습니다.
사용하도록 설정된 경우 BitLocker 설치 마법사에는 사용자가 BitLocker에 대한 고급 시작 옵션을 구성할 수 있는 페이지가 표시됩니다. TPM이 있거나 없는 컴퓨터에 대해 설정 옵션을 추가로 구성할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 설치 마법사에는 사용자가 TPM이 있는 컴퓨터에서 BitLocker를 사용하도록 설정할 수 있는 기본 단계가 표시됩니다. 이 기본 마법사에서는 추가 시작 키 또는 시작 PIN을 구성할 수 없습니다.

참조: 시작 시 추가 인증 필요(Windows Server 2008 및 Windows Vista)

호환되는 TPM이 있는 컴퓨터에서 시작 시 두 가지 인증 방법을 사용하여 암호화된 데이터에 대한 추가 보호를 제공할 수 있습니다. 컴퓨터가 시작되면 시작 키가 포함된 USB 드라이브를 삽입하라는 메시지를 사용자에게 표시할 수 있습니다. 또한 길이가 6~20자리인 시작 PIN을 입력하라는 메시지를 표시할 수도 있습니다.

호환되는 TPM이 없는 컴퓨터에서는 시작 키가 포함된 USB 드라이브가 필요합니다. TPM이 없으면 BitLocker 암호화 데이터는 이 USB 드라이브에 있는 키 자료로만 보호됩니다.

TPM 사용 컴퓨터 또는 디바이스에는 두 가지 옵션이 있습니다.

  • TPM 시작 PIN 구성

    • TPM을 사용하여 시작 PIN 허용
    • TPM을 사용하여 시작 PIN 필요
    • TPM에서 시작 PIN 허용 안 함
  • TPM 시작 키 구성

    • TPM을 사용하여 시작 키 허용
    • TPM을 사용하여 시작 키 필요
    • TPM에서 시작 키 허용 안 함

이러한 옵션은 상호 배타적입니다. 시작 키가 필요한 경우 시작 PIN이 허용되지 않습니다. 시작 PIN이 필요한 경우 시작 키가 허용되지 않습니다. 이러한 정책이 충돌하는 경우 정책 오류가 발생합니다.

TPM 사용 컴퓨터 또는 디바이스에서 고급 페이지를 숨기려면 이러한 옵션을 시작 키 및 시작 PIN에 대해 허용 안 됨으로 설정합니다.

고정 데이터 드라이브에서 스마트 카드 사용 구성

이 정책 설정은 고정 데이터 드라이브에서 스마트 카드 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하여 컴퓨터에서 BitLocker로 보호되는 고정 데이터 드라이브에 대한 사용자 액세스를 인증하는 데 스마트 카드를 사용할 수 있는지 여부를 지정할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브
충돌 BitLocker에서 스마트 카드를 사용하려면 컴퓨터 구성\관리 템플릿\BitLocker 드라이브 암호화\스마트 카드 인증서 사용 규칙 유효성 검사 규칙 준수 정책 설정의 개체 식별자 설정을 스마트 카드 인증서의 개체 식별자와 일치하도록 수정해야 할 수 있습니다.
사용하도록 설정된 경우 스마트 카드를 사용하여 드라이브에 대한 사용자 액세스를 인증할 수 있습니다. 고정 데이터 드라이브에서 스마트 카드 사용 필요 확인란을 선택하여 스마트 카드 인증이 필요할 수 있습니다.
사용하지 않도록 설정된 경우 사용자는 스마트 카드를 사용하여 BitLocker로 보호되는 고정 데이터 드라이브에 대한 액세스를 인증할 수 없습니다.
구성되지 않은 경우 스마트 카드를 사용하여 BitLocker로 보호된 드라이브에 대한 사용자 액세스를 인증할 수 있습니다.

참조: 고정 데이터 드라이브에서 스마트 카드 사용 구성

참고

이러한 설정은 드라이브 잠금 해제 시가 아니라 BitLocker를 켠 경우에 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브 잠금을 해제할 수 있습니다.

고정 데이터 드라이브에서 암호 사용 구성

이 정책 설정은 고정 데이터 드라이브에서 암호 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker로 보호되는 고정 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브
충돌 암호 복잡성을 사용하려면 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책\암호가 복잡성 요구 사항을 충족해야 합니다 . 정책 설정도 사용하도록 설정해야 합니다.
사용하도록 설정된 경우 사용자는 정의된 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호를 사용하도록 요구하려면 고정 데이터 드라이브에 암호 필요를 선택합니다. 암호에 복잡성 요구 사항을 적용하려면 복잡성 필요를 선택합니다.
사용하지 않도록 설정된 경우 사용자는 암호를 사용할 수 없습니다.
구성되지 않은 경우 암호는 암호 복잡성 요구 사항을 포함하지 않고 8자만 필요한 기본 설정에서 지원됩니다.

참조: 고정 데이터 드라이브에서 암호 사용 구성

복잡성 필요로 설정하면 BitLocker를 사용할 때 암호의 복잡성을 확인하기 위해 도메인 컨트롤러에 연결해야 합니다.

복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결이 복잡성이 정책에 의해 설정된 규칙을 준수하는지 확인하려고 시도합니다. 그러나 도메인 컨트롤러를 찾을 수 없는 경우 암호는 실제 암호 복잡성에 관계없이 허용되며 해당 암호를 보호자로 사용하여 드라이브가 암호화됩니다.

복잡성을 허용하지 않음으로 설정하면 암호 복잡성 유효성 검사가 수행되지 않습니다.

암호는 8자 이상이어야 합니다. 암호에 대한 최소 길이를 더 많이 구성하려면 최소 암호 길이 상자에 원하는 문자 수를 입력합니다.

참고

이러한 설정은 드라이브 잠금 해제 시가 아니라 BitLocker를 켠 경우에 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브를 잠금 해제할 수 있습니다.

복잡성 요구 사항 설정이 적용되려면 컴퓨터 구성>Windows 설정보안 설정>>계정 정책 암호 정책> 암호정책> 암호를 설정하는 그룹 정책복잡성 요구 사항도 사용하도록 설정해야 합니다. 이 정책 설정은 컴퓨터별로 구성됩니다. 정책 설정은 로컬 사용자 계정과 도메인 사용자 계정 모두에도 적용됩니다. 암호 복잡성의 유효성을 검사하는 데 사용되는 암호 필터는 도메인 컨트롤러에 있으므로 로컬 사용자 계정은 도메인 액세스에 대해 인증되지 않았기 때문에 암호 필터에 액세스할 수 없습니다. 이 정책 설정을 사용하도록 설정하면 로컬 사용자 계정이 로그인하고 드라이브를 암호화하거나 기존 BitLocker로 보호된 드라이브에서 암호를 변경하려고 하면 액세스 거부 오류 메시지가 표시됩니다. 이 경우 암호 키 보호기를 드라이브에 추가할 수 없습니다.

이 정책 설정을 사용하도록 설정하려면 BitLocker로 보호된 드라이브에 암호 키 보호기를 추가하기 전에 디바이스가 도메인에 연결되어야 합니다. 원격으로 작업하고 도메인에 연결할 수 없는 기간이 있는 사용자는 BitLocker를 켜거나 BitLocker로 보호된 데이터 드라이브에서 암호를 변경하기 위해 도메인에 연결될 시간을 예약할 수 있도록 이 요구 사항을 인식해야 합니다.

중요

FIPS 규정 준수를 사용하는 경우 암호를 사용할 수 없습니다. 시스템 암호화: 컴퓨터 구성>Windows 설정>보안> 설정로컬 정책>보안 옵션에서 암호화, 해시 및 서명 정책 설정에 FIPS 규격 알고리즘을 사용하여 FIPS 규정 준수를 사용할지 여부를 지정합니다.

이동식 데이터 드라이브에서 스마트 카드 사용 구성

이 정책 설정은 이동식 데이터 드라이브와 함께 스마트 카드 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하여 컴퓨터에서 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 사용자 액세스를 인증하는 데 스마트 카드를 사용할 수 있는지 여부를 지정할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 BitLocker에서 스마트 카드를 사용하려면 컴퓨터 구성>관리 템플릿>BitLocker 드라이브 암호화> 스마트카드 인증서 사용 규칙 준수 정책 설정의 개체 식별자 설정도 스마트 카드 인증서의 개체 식별자와 일치하도록 수정해야 할 수 있습니다.
사용하도록 설정된 경우 스마트 카드를 사용하여 드라이브에 대한 사용자 액세스를 인증할 수 있습니다. 이동식 데이터 드라이브에서 스마트 카드 사용 필요 확인란을 선택하여 스마트 카드 인증을 요구할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 사용자는 스마트 카드를 사용하여 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 액세스를 인증할 수 없습니다.
구성되지 않은 경우 스마트 카드는 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 사용자 액세스를 인증하는 데 사용할 수 있습니다.

참조: 이동식 데이터 드라이브에서 스마트 카드 사용 구성

참고

이러한 설정은 드라이브 잠금 해제 시가 아니라 BitLocker를 켠 경우에 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브를 잠금 해제할 수 있습니다.

이동식 데이터 드라이브에서 암호 사용 구성

이 정책 설정은 이동식 데이터 드라이브에서 암호 사용을 요구, 허용 또는 거부하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker로 보호되는 이동식 데이터 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 지정할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 암호 복잡성을 사용하려면 암호가 컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책에 있는 복잡성 요구 사항 정책 설정을 충족해야 합니다.
사용하도록 설정된 경우 사용자는 정의된 요구 사항을 충족하는 암호를 구성할 수 있습니다. 암호를 사용하도록 요구하려면 이동식 데이터 드라이브에 암호 필요를 선택합니다. 암호에 복잡성 요구 사항을 적용하려면 복잡성 필요를 선택합니다.
사용하지 않도록 설정된 경우 사용자는 암호를 사용할 수 없습니다.
구성되지 않은 경우 암호는 암호 복잡성 요구 사항을 포함하지 않고 8자만 필요한 기본 설정에서 지원됩니다.

참조: 이동식 데이터 드라이브에서 암호 사용 구성

암호 사용이 허용되는 경우 암호를 사용해야 하는 경우 암호 복잡성 요구 사항 및 암호 최소 길이를 모두 구성할 수 있습니다. 복잡성 요구 사항 설정이 적용되려면 그룹 정책 설정 암호가 컴퓨터 구성>Windows 설정보안 설정>>계정 정책암호 정책에> 있는 복잡성 요구 사항을 충족해야 합니다.

참고

이러한 설정은 드라이브 잠금 해제 시가 아니라 BitLocker를 켠 경우에 적용됩니다. BitLocker를 사용하면 드라이브에서 사용할 수 있는 보호기를 사용하여 드라이브를 잠금 해제할 수 있습니다.

암호는 8자 이상이어야 합니다. 암호에 대한 최소 길이를 더 많이 구성하려면 최소 암호 길이 상자에 원하는 문자 수를 입력합니다.

복잡성 필요로 설정하면 BitLocker를 사용하도록 설정하여 암호 복잡성의 유효성을 검사할 때 도메인 컨트롤러에 연결해야 합니다.

복잡성 허용으로 설정하면 도메인 컨트롤러에 대한 연결이 복잡성이 정책에 의해 설정된 규칙을 준수하는지 확인하려고 시도합니다. 그러나 도메인 컨트롤러를 찾을 수 없는 경우 암호는 실제 암호 복잡성에 관계없이 계속 허용되며 드라이브는 해당 암호를 보호자로 사용하여 암호화됩니다.

복잡성을 허용하지 않음으로 설정하면 암호 복잡성 유효성 검사가 수행되지 않습니다.

참고

FIPS 규정 준수를 사용하는 경우 암호를 사용할 수 없습니다. 시스템 암호화: 컴퓨터 구성>Windows 설정>보안> 설정로컬 정책>보안 옵션에서 암호화, 해시 및 서명 정책 설정에 FIPS 규격 알고리즘을 사용하여 FIPS 규정 준수를 사용할지 여부를 지정합니다.

이 설정에 대한 자세한 내용은 시스템 암호화: 암호화, 해시 및 서명에 FIPS 규격 알고리즘 사용을 참조하세요.

스마트 카드 인증서 사용 규칙 준수 유효성 검사

이 정책 설정은 BitLocker에서 사용할 인증서를 결정하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 스마트 카드 인증서의 개체 식별자를 BitLocker로 보호된 드라이브에 연결할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 고정 및 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 없음
사용하도록 설정된 경우 개체 식별자 설정에 지정된 개체 식별자는 스마트 카드 인증서의 개체 식별자와 일치해야 합니다.
사용 안 함 또는 구성되지 않은 경우 기본 개체 식별자가 사용됩니다.

참조: 스마트 카드 인증서 사용 규칙 준수 유효성 검사

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

개체 식별자는 인증서의 EKU(확장 키 사용량)에 지정됩니다. BitLocker는 인증서의 개체 식별자를 이 정책 설정으로 정의된 개체 식별자와 일치시켜 사용자 인증서를 BitLocker로 보호된 드라이브에 인증하는 데 사용할 수 있는 인증서를 식별할 수 있습니다.

기본 개체 식별자는 1.3.6.1.4.1.311.67.1.1입니다.

참고

BitLocker는 인증서에 EKU 특성이 필요하지 않습니다. 그러나 인증서에 대해 구성된 경우 BitLocker에 대해 구성된 개체 식별자와 일치하는 개체 식별자로 설정해야 합니다.

슬레이트에서 시험판 키보드 입력이 필요한 BitLocker 인증 사용

항목 정보
정책 설명 이 정책 설정을 사용하면 플랫폼에서 preboot 입력 기능이 부족하다는 것을 나타내더라도 사용자가 preboot 환경에서 사용자 입력이 필요한 인증 옵션을 사용하도록 설정할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 디바이스에는 사전 부팅 입력(예: 연결된 USB 키보드)의 대체 수단이 있어야 합니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 복구 암호 입력을 지원하려면 태블릿에서 Windows 복구 환경을 사용하도록 설정해야 합니다.

참조: 슬레이트에서 시험판 키보드 입력이 필요한 BitLocker 인증 사용

Windows 터치 키보드(예: 태블릿에서 사용됨)는 BitLocker에 PIN 또는 암호와 같은 추가 정보가 필요한 프리부트 환경에서 사용할 수 없습니다.

관리자는 USB 키보드 연결과 같은 시험판 입력의 대체 수단이 있는 것으로 확인된 디바이스에 대해서만 이 정책을 사용하도록 설정하는 것이 좋습니다.

WinRE(Windows 복구 환경)를 사용하도록 설정하지 않고 이 정책을 사용하도록 설정하지 않으면 Windows 터치 키보드를 사용하는 디바이스에서 BitLocker를 설정할 수 없습니다.

이 정책 설정을 사용하도록 설정하지 않으면 시작 시 추가 인증 필요 정책의 다음 옵션을 사용할 수 없을 수 있습니다.

  • TPM 시작 PIN 구성: 필수 및 허용
  • TPM 시작 키 및 PIN 구성: 필수 및 허용
  • 운영 체제 드라이브에 대한 암호 사용 구성

BitLocker에 의해 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부

이 정책 설정은 쓰기 액세스 권한을 부여하기 전에 고정 드라이브의 암호화를 요구하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 고정 데이터 드라이브가 컴퓨터에서 쓰기 가능하도록 BitLocker 보호가 필요한지 여부를 설정할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브
충돌 충돌에 대한 설명은 참조 섹션을 참조하세요.
사용하도록 설정된 경우 BitLocker로 보호되지 않는 모든 고정 데이터 드라이브는 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스 권한으로 탑재됩니다.
사용 안 함 또는 구성되지 않은 경우 컴퓨터의 모든 고정 데이터 드라이브는 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

참조: BitLocker로 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

충돌 고려 사항은 다음과 같습니다.

  1. 이 정책 설정을 사용하도록 설정하면 사용자는 암호화되지 않은 고정 데이터 드라이브에 데이터를 저장하려고 할 때 액세스 거부 오류 메시지를 받습니다. 추가 충돌은 참조 섹션을 참조하세요.

  2. BdeHdCfg.exe 이 정책 설정을 사용할 때 컴퓨터에서 가 실행되면 다음 문제가 발생할 수 있습니다.

    • 시스템 드라이브를 만들기 위해 드라이브를 축소하려고 하면 드라이브 크기가 감소하고 원시 파티션이 만들어집니다. 그러나 원시 파티션의 형식은 지정되지 않습니다. 다음 오류 메시지가 표시됩니다 . 새 활성 드라이브의 형식을 지정할 수 없습니다. BitLocker에 대한 드라이브를 수동으로 준비해야 할 수도 있습니다.

    • 할당되지 않은 공간을 사용하여 시스템 드라이브를 만들려고 하면 원시 파티션이 만들어집니다. 그러나 원시 파티션의 형식은 지정되지 않습니다. 다음 오류 메시지가 표시됩니다 . 새 활성 드라이브의 형식을 지정할 수 없습니다. BitLocker에 대한 드라이브를 수동으로 준비해야 할 수도 있습니다.

    • 기존 드라이브를 시스템 드라이브에 병합하려고 하면 도구에서 필요한 부팅 파일을 대상 드라이브에 복사하여 시스템 드라이브를 만들지 못합니다. 다음 오류 메시지가 표시됩니다. BitLocker 설치 프로그램이 부팅 파일을 복사하지 못했습니다. BitLocker에 대한 드라이브를 수동으로 준비해야 할 수도 있습니다.

  3. 이 정책 설정을 적용하면 드라이브가 보호되므로 하드 드라이브를 다시 분할할 수 없습니다. 컴퓨터가 이전 버전의 Windows에서 조직에서 업그레이드되고 있고 해당 컴퓨터가 단일 파티션으로 구성된 경우 이 정책 설정을 컴퓨터에 적용하기 전에 필요한 BitLocker 시스템 파티션을 만들어야 합니다.

BitLocker에 의해 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부

이 정책 설정은 쓰기 권한을 부여하기 전에 이동식 드라이브를 암호화하고 다른 조직에서 구성된 BitLocker로 보호되는 이동식 드라이브를 쓰기 액세스 권한으로 열 수 있는지 여부를 제어하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 컴퓨터가 이동식 데이터 드라이브에 데이터를 쓸 수 있도록 BitLocker 보호가 필요한지 여부를 구성할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 충돌에 대한 설명은 참조 섹션을 참조하세요.
사용하도록 설정된 경우 BitLocker로 보호되지 않는 모든 이동식 데이터 드라이브는 읽기 전용으로 탑재됩니다. 드라이브가 BitLocker로 보호되는 경우 읽기 및 쓰기 액세스 권한으로 탑재됩니다.
사용 안 함 또는 구성되지 않은 경우 컴퓨터의 모든 이동식 데이터 드라이브는 읽기 및 쓰기 액세스 권한으로 탑재됩니다.

참조: BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부

다른 조직에서 구성된 디바이스에 대한 쓰기 권한 거부 옵션을 선택한 경우 컴퓨터의 식별 필드와 일치하는 식별 필드가 있는 드라이브에만 쓰기 권한이 부여됩니다. 이동식 데이터 드라이브에 액세스하면 유효한 식별 필드와 허용되는 식별 필드가 확인됩니다. 이러한 필드는 조직 정책 설정 에 대한 고유 식별자 제공 설정에 의해 정의됩니다.

참고

이 정책 설정은 사용자 구성>관리 템플릿시스템>이동식 스토리지 액세스 아래의 정책 설정으로 재정의 > 할 수 있습니다. 이동식 디스크: 쓰기 액세스 거부 정책 설정을 사용하도록 설정하면 이 정책 설정이 무시됩니다.

충돌 고려 사항은 다음과 같습니다.

  1. BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 권한 거부 설정을 사용하는 경우 TPM 및 시작 키 또는 TPM 및 PIN 및 시작 키와 함께 BitLocker를 사용할 수 없습니다.

  2. BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 정책 설정을 사용하는 경우 복구 키의 사용을 허용하지 않아야 합니다.

  3. 다른 조직에서 구성된 드라이브에 대한 쓰기 액세스를 거부해야 하는 경우 조직 정책 설정에 대한 고유 식별자 제공 설정을 사용하도록 설정해야 합니다.

이동식 드라이브에서 BitLocker 사용 제어

이 정책 설정은 사용자가 이동식 데이터 드라이브에서 BitLocker를 켜거나 끄는 것을 방지하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 이동식 데이터 드라이브에서 BitLocker 사용을 제어할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 없음
사용하도록 설정된 경우 사용자가 BitLocker를 구성하는 방법을 제어하는 속성 설정을 선택할 수 있습니다.
사용하지 않도록 설정된 경우 사용자는 이동식 데이터 드라이브에서 BitLocker를 사용할 수 없습니다.
구성되지 않은 경우 사용자는 이동식 데이터 드라이브에서 BitLocker를 사용할 수 있습니다.

참조: 이동식 드라이브에서 BitLocker 사용 제어

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

BitLocker 보호를 일시 중단하는 방법에 대한 자세한 내용은 BitLocker 기본 배포를 참조하세요.

사용자가 BitLocker를 구성하는 방법을 제어하는 속성 설정을 선택하는 옵션은 다음과 같습니다.

  • 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용할 수 있도록 허용 사용자가 이동식 데이터 드라이브에서 BitLocker 설치 마법사를 실행할 수 있도록 합니다.

  • 사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 암호 해독할 수 있도록 허용 사용자가 드라이브에서 BitLocker를 제거하거나 유지 관리를 수행하는 동안 암호화를 일시 중단할 수 있습니다.

드라이브 암호화 방법 및 암호 강도 선택

이 정책 설정은 암호화 방법 및 암호 강도를 제어하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 드라이브의 암호화 방법과 강도를 제어할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 없음
사용하도록 설정된 경우 BitLocker에 대한 암호화 알고리즘 및 키 암호 강도는 드라이브를 암호화하는 데 사용할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 Windows 10 버전 1511부터 BitLocker는 XTS-AES 128비트의 기본 암호화 방법 또는 설정 스크립트에 지정된 암호화 방법을 사용합니다.

참조: 드라이브 암호화 방법 및 암호 강도 선택

이 정책의 값은 BitLocker가 암호화에 사용하는 암호의 강도를 결정합니다. 기업은 보안 강화를 위해 암호화 수준을 제어할 수 있습니다(AES-256은 AES-128보다 더 강).

이 설정을 사용하도록 설정하면 고정 데이터 드라이브, 운영 체제 드라이브 및 이동식 데이터 드라이브에 대한 암호화 알고리즘 및 키 암호 강도를 개별적으로 구성할 수 있습니다.

  • 고정 및 운영 체제 드라이브의 경우 XTS-AES 알고리즘을 사용하는 것이 좋습니다.

  • 이동식 드라이브의 경우 Windows 10 버전 1511 이상을 실행하지 않는 다른 디바이스에서 드라이브를 사용하는 경우 AES-CBC 128비트 또는 AES-CBC 256비트 를 사용해야 합니다.

드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우 암호화 방법을 변경해도 아무런 효과가 없습니다. 이러한 경우 이 정책 설정은 무시됩니다.

Warning

이 정책은 암호화된 드라이브에는 적용되지 않습니다. 암호화된 드라이브는 분할하는 동안 드라이브에 의해 설정된 자체 알고리즘을 활용합니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 XTS-AES 128비트의 기본 암호화 방법 또는 설정 스크립트에 지정된 암호화 방법을 사용합니다.

고정 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성

이 정책은 BitLocker가 고정 데이터 볼륨으로 사용될 때 암호화된 드라이브가 장착된 시스템에 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker가 고정 데이터 드라이브에서 하드웨어 기반 암호화를 사용하고 BitLocker가 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브
충돌 없음
사용하도록 설정된 경우 하드웨어 기반 암호화를 지원하지 않는 컴퓨터에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화가 사용되는지 여부를 제어하는 추가 옵션을 지정할 수 있습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호 그룹을 제한하도록 지정할 수도 있습니다.
사용하지 않도록 설정된 경우 BitLocker는 고정 데이터 드라이브에서 하드웨어 기반 암호화를 사용할 수 없으며 BitLocker 소프트웨어 기반 암호화는 기본적으로 드라이브가 암호화될 때 사용됩니다.
구성되지 않은 경우 BitLocker 소프트웨어 기반 암호화는 하드웨어 기반 암호화 기능에 관계없이 사용됩니다.

참조: 고정 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성

참고

드라이브 암호화 선택 방법 및 암호 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.

드라이브가 분할될 때 하드웨어 기반 암호화에 사용되는 암호화 알고리즘이 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다. 이 설정 의 하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호 그룹 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 사용하지 않도록 설정합니다. 암호화 알고리즘은 OID(개체 식별자)로 지정됩니다. 예를 들면 다음과 같습니다.

  • CBC(암호 블록 체인) 모드 OID의 AES(Advanced Encryption Standard) 128: 2.16.840.1.101.3.4.1.2
  • CBC 모드 OID의 AES 256: 2.16.840.1.101.3.4.1.42

운영 체제 드라이브에 대한 하드웨어 기반 암호화 사용 구성

이 정책은 암호화된 드라이브가 운영 체제 드라이브로 사용될 때 BitLocker가 어떻게 반응하는지 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 운영 체제 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리할 수 있으며 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정합니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 하드웨어 기반 암호화를 지원하지 않는 컴퓨터에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화가 사용되는지 여부를 제어하는 추가 옵션을 지정할 수 있습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호 그룹을 제한하도록 지정할 수도 있습니다.
사용하지 않도록 설정된 경우 BitLocker는 운영 체제 드라이브에서 하드웨어 기반 암호화를 사용할 수 없으며 BitLocker 소프트웨어 기반 암호화는 기본적으로 드라이브가 암호화될 때 사용됩니다.
구성되지 않은 경우 BitLocker 소프트웨어 기반 암호화는 하드웨어 기반 암호화 기능에 관계없이 사용됩니다.

참조: 운영 체제 드라이브에 대한 하드웨어 기반 암호화 사용 구성

하드웨어 기반 암호화를 사용할 수 없는 경우 BitLocker 소프트웨어 기반 암호화가 대신 사용됩니다.

참고

드라이브 암호화 선택 방법 및 암호 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.

드라이브가 분할될 때 하드웨어 기반 암호화에 사용되는 암호화 알고리즘이 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다. 이 설정 의 하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호 그룹 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 사용하지 않도록 설정합니다. 암호화 알고리즘은 OID(개체 식별자)로 지정됩니다. 예를 들면 다음과 같습니다.

  • CBC(암호 블록 체인) 모드 OID의 AES(Advanced Encryption Standard) 128: 2.16.840.1.101.3.4.1.2
  • CBC 모드 OID의 AES 256: 2.16.840.1.101.3.4.1.42

이동식 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성

이 정책은 BitLocker가 이동식 데이터 드라이브로 사용될 때 암호화된 드라이브에 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상시킬 수 있습니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 이동식 데이터 드라이브에서 BitLocker의 하드웨어 기반 암호화 사용을 관리할 수 있으며 하드웨어 기반 암호화에 사용할 수 있는 암호화 알고리즘을 지정합니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 없음
사용하도록 설정된 경우 하드웨어 기반 암호화를 지원하지 않는 컴퓨터에서 하드웨어 기반 암호화 대신 BitLocker 소프트웨어 기반 암호화가 사용되는지 여부를 제어하는 추가 옵션을 지정할 수 있습니다. 하드웨어 기반 암호화에 사용되는 암호화 알고리즘 및 암호 그룹을 제한하도록 지정할 수도 있습니다.
사용하지 않도록 설정된 경우 BitLocker는 이동식 데이터 드라이브에서 하드웨어 기반 암호화를 사용할 수 없으며 BitLocker 소프트웨어 기반 암호화는 기본적으로 드라이브가 암호화될 때 사용됩니다.
구성되지 않은 경우 BitLocker 소프트웨어 기반 암호화는 하드웨어 기반 암호화 기능에 관계없이 사용됩니다.

참조: 이동식 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성

하드웨어 기반 암호화를 사용할 수 없는 경우 BitLocker 소프트웨어 기반 암호화가 대신 사용됩니다.

참고

드라이브 암호화 선택 방법 및 암호 강도 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.

드라이브가 분할될 때 하드웨어 기반 암호화에 사용되는 암호화 알고리즘이 설정됩니다. 기본적으로 BitLocker는 드라이브에 구성된 알고리즘을 사용하여 드라이브를 암호화합니다. 이 설정 의 하드웨어 기반 암호화에 허용되는 암호화 알고리즘 및 암호 그룹 제한 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리즘을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리즘을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 사용하지 않도록 설정합니다. 암호화 알고리즘은 OID(개체 식별자)로 지정됩니다. 예를 들면 다음과 같습니다.

  • CBC(암호 블록 체인) 모드 OID의 AES(Advanced Encryption Standard) 128: 2.16.840.1.101.3.4.1.2
  • CBC 모드 OID의 AES 256: 2.16.840.1.101.3.4.1.42

고정 데이터 드라이브에 드라이브 암호화 유형 적용

이 정책은 고정 데이터 드라이브가 사용된 공간 전용 암호화 또는 전체 암호화를 활용하는지 여부를 제어합니다. 또한 이 정책을 설정하면 BitLocker 설치 마법사가 암호화 옵션 페이지를 건너뛰므로 사용자에게 암호화 선택이 표시되지 않습니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker에서 사용하는 암호화 유형을 구성할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브
충돌 없음
사용하도록 설정된 경우 이 정책은 BitLocker가 드라이브를 암호화하는 데 사용하는 암호화 유형을 정의하며 암호화 유형 옵션은 BitLocker 설치 마법사에 표시되지 않습니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 설치 마법사는 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.

참조: 고정 데이터 드라이브에 드라이브 암호화 유형 적용

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다. 드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다. 전체 암호화를 선택하여 BitLocker가 켜져 있을 때 전체 드라이브를 암호화해야 합니다. BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브의 해당 부분만 암호화하도록 하려면 사용된 공간 전용 암호화를 선택합니다.

참고

볼륨이 축소되거나 확장되고 BitLocker 드라이브에서 현재 암호화 방법을 사용하는 경우 이 정책은 무시됩니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브가 확장되면 전체 암호화를 사용하는 드라이브의 경우처럼 사용 가능한 새 공간이 초기화되지 않습니다. 사용자는 명령을 manage-bde.exe -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde를 참조하세요.

운영 체제 드라이브에 드라이브 암호화 유형 적용

이 정책은 운영 체제 드라이브가 전체 암호화 또는 사용된 공간 전용 암호화를 활용하는지 여부를 제어합니다. 또한 이 정책을 설정하면 BitLocker 설치 마법사가 암호화 옵션 페이지를 건너뛰므로 사용자에게 암호화 선택 항목이 표시되지 않습니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker에서 사용하는 암호화 유형을 구성할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 BitLocker가 드라이브를 암호화하는 데 사용하는 암호화 유형은 이 정책에 의해 정의되며 암호화 유형 옵션은 BitLocker 설치 마법사에 표시되지 않습니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 설치 마법사는 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.

참조: 운영 체제 드라이브에 드라이브 암호화 유형 적용

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다. 드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다. 전체 암호화를 선택하여 BitLocker가 켜져 있을 때 전체 드라이브를 암호화해야 합니다. BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브의 해당 부분만 암호화하도록 하려면 사용된 공간 전용 암호화를 선택합니다.

참고

볼륨을 축소하거나 확장할 때 이 정책은 무시되며 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브가 확장되면 전체 암호화를 사용하는 드라이브의 경우처럼 새 사용 가능한 공간이 초기화되지 않습니다. 사용자는 명령을 manage-bde.exe -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde를 참조하세요.

이동식 데이터 드라이브에 드라이브 암호화 유형 적용

이 정책은 고정 데이터 드라이브가 전체 암호화 또는 사용된 공간 전용 암호화를 활용하는지 여부를 제어합니다. 또한 이 정책을 설정하면 BitLocker 설치 마법사가 암호화 옵션 페이지를 건너뛰므로 사용자에게 암호화 선택 항목이 표시되지 않습니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker에서 사용하는 암호화 유형을 구성할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 없음
사용하도록 설정된 경우 BitLocker가 드라이브를 암호화하는 데 사용하는 암호화 유형은 이 정책에 의해 정의되며 암호화 유형 옵션은 BitLocker 설치 마법사에 표시되지 않습니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 설치 마법사는 BitLocker를 켜기 전에 사용자에게 암호화 유형을 선택하도록 요청합니다.

참조: 이동식 데이터 드라이브에 드라이브 암호화 유형 적용

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다. 드라이브가 이미 암호화되었거나 암호화가 진행 중인 경우에는 암호화 유형을 변경할 수 없습니다. 전체 암호화를 선택하여 BitLocker가 켜져 있을 때 전체 드라이브를 암호화해야 합니다. BitLocker가 켜져 있을 때 데이터를 저장하는 데 사용되는 드라이브의 해당 부분만 암호화하도록 하려면 사용된 공간 전용 암호화를 선택합니다.

참고

볼륨을 축소하거나 확장할 때 이 정책은 무시되며 BitLocker 드라이버는 현재 암호화 방법을 사용합니다. 예를 들어 사용된 공간 전용 암호화를 사용하는 드라이브가 확장되면 전체 암호화를 사용하는 드라이브의 경우처럼 새 사용 가능한 공간이 초기화되지 않습니다. 사용자는 명령을 manage-bde.exe -w사용하여 사용된 공간 전용 드라이브의 여유 공간을 초기화할 수 있습니다. 볼륨이 축소되면 새 사용 가능한 공간에 대해 아무 작업도 수행되지 않습니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde를 참조하세요.

BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택

이 정책 설정은 운영 체제 드라이브에 대한 복구 방법을 구성하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 필요한 시작 키 정보가 없는 경우 BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법을 제어할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 정책 설정을 사용하는 경우 복구 키의 사용을 허용하지 않아야 합니다.

데이터 복구 에이전트를 사용하는 경우 조직 정책 설정 에 대한 고유 식별자 제공 설정을 사용하도록 설정해야 합니다.
사용하도록 설정된 경우 사용자가 BitLocker로 보호된 운영 체제 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 기본 복구 옵션은 BitLocker 복구에 지원됩니다. 기본적으로 데이터 복구 에이전트가 허용되고, 복구 옵션을 사용자가 지정할 수 있으며(복구 암호 및 복구 키 포함) 복구 정보는 AD DS에 백업되지 않습니다.

참조: BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

데이터 복구 에이전트 허용 확인란은 BitLocker로 보호되는 운영 체제 드라이브와 함께 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 GPMC(그룹 정책 관리 콘솔) 또는 로컬 그룹 정책 편집기에서 있는 공개 키 정책에서 추가해야 합니다.

데이터 복구 에이전트를 추가하는 방법에 대한 자세한 내용은 BitLocker 기본 배포를 참조하세요.

BitLocker 복구 정보의 사용자 스토리지 구성에서 사용자가 48자리 복구 암호를 생성할 수 있는지, 필수인지 여부를 선택합니다.

사용자가 드라이브에서 BitLocker를 사용하도록 설정할 때 복구 옵션을 지정하지 못하도록 하려면 BitLocker 설정 마법사에서 복구 옵션 생략을 선택합니다. 이 정책 설정은 BitLocker를 사용할 때 사용할 복구 옵션을 지정할 수 없다는 것을 의미합니다. 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

Active Directory Domain Services BitLocker 복구 정보 저장에서 운영 체제 드라이브에 대한 AD DS(Active Directory Domain Services)에 저장할 BitLocker 복구 정보를 선택합니다. 복구 암호 및 키 패키지 저장을 선택하면 BitLocker 복구 암호와 키 패키지가 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다. 복구 암호 저장만 선택한 경우 복구 암호만 AD DS에 저장됩니다.

컴퓨터가 도메인에 연결되어 있고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 않도록 해야 하는 경우 복구 정보가 운영 체제 드라이브용 AD DS에 저장될 때까지 BitLocker 사용 안 함 확인란을 선택합니다.

참고

운영 체제 드라이브에 대한 AD DS에 복구 정보가 저장될 때까지 BitLocker를 사용하도록 설정 안 함 확인란을 선택하면 복구 암호가 자동으로 생성됩니다.

사용자가 BitLocker로 보호된 드라이브(Windows Server 2008 및 Windows Vista)를 복구하는 방법 선택

이 정책 설정은 Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에서 BitLocker로 보호되는 드라이브에 대한 복구 방법을 구성하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker 설치 마법사에서 BitLocker 복구 옵션을 표시하고 지정할 수 있는지 여부를 제어할 수 있습니다.
도입 Windows Server 2008 및 Windows Vista
드라이브 유형 Windows Server 2008 및 Windows Vista를 실행하는 컴퓨터의 운영 체제 드라이브 및 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 이 정책 설정은 키 정보 부족으로 인한 데이터 손실을 방지하기 위해 BitLocker로 암호화된 데이터를 복구하는 관리 방법을 제공합니다. 두 사용자 복구 옵션 모두에 대해 허용 안 함 옵션을 선택한 경우 정책 오류를 방지하려면 Active Directory Domain Services BitLocker 복구 정보 저장(Windows Server 2008 및 Windows Vista) 정책 설정을 사용하도록 설정해야 합니다.
사용하도록 설정된 경우 BitLocker 암호화된 데이터를 복구하기 위해 BitLocker 설치 마법사가 사용자에게 표시하는 옵션을 구성할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 설치 마법사는 복구 옵션을 저장하는 방법을 사용자에게 제공합니다.

참조: 사용자가 BitLocker로 보호된 드라이브를 복구하는 방법 선택(Windows Server 2008 및 Windows Vista)

이 정책은 Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에만 적용됩니다. 이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

필요한 시작 키 정보가 없는 경우 두 가지 복구 옵션을 사용하여 BitLocker 암호화 데이터의 잠금을 해제할 수 있습니다. 사용자는 48자리 숫자 복구 암호를 입력하거나 256비트 복구 키가 포함된 USB 드라이브를 삽입할 수 있습니다.

  • USB 드라이브에 복구 암호를 저장하면 48자리 복구 암호가 텍스트 파일로 저장되고 256비트 복구 키가 숨겨진 파일로 저장됩니다.
  • 폴더에 복구 암호를 저장하면 48자리 복구 암호가 텍스트 파일로 저장됩니다.
  • 복구 암호를 인쇄하면 48자리 복구 암호가 기본 프린터로 전송됩니다.

예를 들어 48자리 복구 암호를 허용하지 않으면 사용자가 복구 정보를 폴더에 인쇄하거나 저장할 수 없습니다.

중요

BitLocker 설치 중에 TPM 초기화가 수행되면 TPM 소유자 정보가 BitLocker 복구 정보와 함께 저장되거나 인쇄됩니다. 48자리 복구 암호는 FIPS 규정 준수 모드에서 사용할 수 없습니다.

중요

데이터 손실을 방지하려면 BitLocker 암호화 키를 복구하는 방법이 있어야 합니다. 두 복구 옵션이 모두 허용되지 않는 경우 AD DS에 대한 BitLocker 복구 정보의 백업을 사용하도록 설정해야 합니다. 그렇지 않으면 정책 오류가 발생합니다.

Active Directory Domain Services BitLocker 복구 정보 저장(Windows Server 2008 및 Windows Vista)

이 정책 설정은 AD DS에서 BitLocker 복구 정보의 스토리지를 구성하는 데 사용됩니다. 이 정책 설정은 키 정보 부족으로 인한 데이터 손실을 방지하기 위해 BitLocker로 암호화된 데이터를 복구하는 관리 방법을 제공합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker 드라이브 암호화 복구 정보의 AD DS 백업을 관리할 수 있습니다.
도입 Windows Server 2008 및 Windows Vista
드라이브 유형 Windows Server 2008 및 Windows Vista를 실행하는 컴퓨터의 운영 체제 드라이브 및 고정 데이터 드라이브.
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 없음
사용하도록 설정된 경우 BitLocker 복구 정보는 컴퓨터에 대해 BitLocker가 켜져 있을 때 자동으로 AD DS에 백업됩니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 복구 정보는 AD DS에 백업되지 않습니다.

참조: Active Directory Domain Services BitLocker 복구 정보 저장(Windows Server 2008 및 Windows Vista)

이 정책은 Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에만 적용됩니다.

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

BitLocker 복구 정보에는 복구 암호 및 고유 식별자 데이터가 포함됩니다. BitLocker로 보호된 드라이브에 대한 암호화 키가 포함된 패키지도 포함될 수 있습니다. 이 키 패키지는 하나 이상의 복구 암호로 보호되며 디스크가 손상되거나 손상되었을 때 특수 복구를 수행하는 데 도움이 될 수 있습니다.

AD DS에 BitLocker 백업 필요를 선택한 경우 컴퓨터가 도메인에 연결되고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않으면 BitLocker를 켤 수 없습니다. BitLocker 복구가 가능하도록 이 옵션은 기본적으로 선택되어 있습니다.

복구 암호는 BitLocker로 보호되는 드라이브에 대한 액세스 권한을 잠금 해제하는 48자리 숫자입니다. 키 패키지에는 하나 이상의 복구 암호로 보호되는 드라이브의 BitLocker 암호화 키가 포함되어 있습니다. 키 패키지는 디스크가 손상되거나 손상되었을 때 특수 복구를 수행하는 데 도움이 될 수 있습니다.

AD DS에 BitLocker 백업 필요 옵션을 선택하지 않으면 AD DS 백업이 시도되지만 네트워크 또는 기타 백업 실패로 인해 BitLocker 설정이 방지되지는 않습니다. 백업 프로세스는 자동으로 다시 시도되지 않으며 BitLocker를 설정하는 동안 복구 암호가 AD DS에 저장되지 않을 수 있습니다. BitLocker를 설정하는 동안 TPM 초기화가 필요할 수 있습니다. 컴퓨터 구성>관리 템플릿>시스템> 신뢰할 수 있는플랫폼 모듈 서비스에서 Active Directory Domain Services TPM 백업 켜기 정책 설정을 사용하도록 설정하여 TPM 정보도 백업되도록 합니다.

이 설정에 대한 자세한 내용은 TPM 그룹 정책 설정을 참조하세요.

복구 암호에 대한 기본 폴더 선택

이 정책 설정은 복구 암호에 대한 기본 폴더를 구성하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker 설치 마법사에서 복구 암호를 저장할 폴더의 위치를 입력하라는 메시지를 표시할 때 표시되는 기본 경로를 지정할 수 있습니다.
도입 Windows Vista
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 없음
사용하도록 설정된 경우 사용자가 폴더에 복구 암호를 저장하는 옵션을 선택할 때 기본 폴더 위치로 사용할 경로를 지정할 수 있습니다. 정규화된 경로를 지정할 수 있습니다. 대상 컴퓨터의 환경 변수도 경로에 포함할 수 있습니다. 경로가 유효하지 않으면 BitLocker 설치 마법사에 컴퓨터의 최상위 폴더 보기가 표시됩니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 설치 마법사는 사용자가 복구 암호를 폴더에 저장하는 옵션을 선택할 때 컴퓨터의 최상위 폴더 보기를 표시합니다.

참조: 복구 암호에 대한 기본 폴더 선택

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

참고

이 정책 설정으로 인해 사용자가 복구 암호를 다른 폴더에 저장할 수 없습니다.

BitLocker로 보호된 고정 드라이브를 복구하는 방법 선택

이 정책 설정은 고정 데이터 드라이브에 대한 복구 방법을 구성하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 필요한 자격 증명이 없는 경우 BitLocker로 보호되는 고정 데이터 드라이브를 복구하는 방법을 제어할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브
충돌 BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 정책 설정을 사용하는 경우 복구 키의 사용을 허용하지 않아야 합니다.

데이터 복구 에이전트를 사용하는 경우 조직 정책 설정 에 대한 고유 식별자 제공 설정을 사용하도록 설정해야 합니다.
사용하도록 설정된 경우 사용자가 BitLocker로 보호되는 고정 데이터 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 기본 복구 옵션은 BitLocker 복구에 지원됩니다. 기본적으로 데이터 복구 에이전트가 허용되고, 복구 옵션을 사용자가 지정할 수 있으며(복구 암호 및 복구 키 포함) 복구 정보는 AD DS에 백업되지 않습니다.

참조: BitLocker로 보호되는 고정 드라이브를 복구하는 방법 선택

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

데이터 복구 에이전트 허용 확인란은 BitLocker로 보호되는 고정 데이터 드라이브와 함께 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 GPMC(그룹 정책 관리 콘솔) 또는 로컬 그룹 정책 편집기에서 있는 공개 키 정책에서 추가해야 합니다.

BitLocker 복구 정보의 사용자 스토리지 구성에서 사용자가 48자리 복구 암호 또는 256비트 복구 키를 생성할 수 있도록 허용할지, 필요하거나, 생성할 수 있는지 여부를 선택합니다.

사용자가 드라이브에서 BitLocker를 사용하도록 설정할 때 복구 옵션을 지정하지 못하도록 하려면 BitLocker 설정 마법사에서 복구 옵션 생략을 선택합니다. 이 정책 설정은 BitLocker를 사용할 때 사용할 복구 옵션을 지정할 수 없다는 것을 의미합니다. 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

Active Directory Domain Services BitLocker 복구 정보 저장에서 고정 데이터 드라이브에 대해 AD DS에 저장할 BitLocker 복구 정보를 선택합니다. 백업 복구 암호 및 키 패키지를 선택하면 BitLocker 복구 암호와 키 패키지가 AD DS에 저장됩니다. 키 패키지를 저장하면 물리적으로 손상된 드라이브에서 데이터를 복구할 수 있습니다. 이 데이터를 Repair-bde.exe 복구하기 위해 명령줄 도구를 사용할 수 있습니다. 백업 복구 암호만 선택한 경우 복구 암호만 AD DS에 저장됩니다.

BitLocker 복구 도구에 대한 자세한 내용은 Repair-bde를 참조하세요.

컴퓨터가 도메인에 연결되어 있고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 않도록 해야 하는 경우 복구 정보가 고정 데이터 드라이브에 대한 AD DS에 저장될 때까지 BitLocker 사용 안 함 확인란을 선택합니다.

참고

고정 데이터 드라이브에 대한 AD DS에 복구 정보가 저장될 때까지 BitLocker를 사용하도록 설정 안 함 확인란을 선택하면 복구 암호가 자동으로 생성됩니다.

BitLocker로 보호된 이동식 드라이브를 복구하는 방법 선택

이 정책 설정은 이동식 데이터 드라이브에 대한 복구 방법을 구성하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 필요한 자격 증명이 없는 경우 BitLocker로 보호되는 이동식 데이터 드라이브를 복구하는 방법을 제어할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 거부 정책 설정을 사용하는 경우 복구 키의 사용을 허용하지 않아야 합니다.

데이터 복구 에이전트를 사용하는 경우 조직 정책 설정 에 대한 고유 식별자 제공 설정을 사용하도록 설정해야 합니다.
사용하도록 설정된 경우 사용자가 BitLocker로 보호되는 이동식 데이터 드라이브에서 데이터를 복구하는 데 사용할 수 있는 메서드를 제어할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 기본 복구 옵션은 BitLocker 복구에 지원됩니다. 기본적으로 데이터 복구 에이전트가 허용되고, 복구 옵션을 사용자가 지정할 수 있으며(복구 암호 및 복구 키 포함) 복구 정보는 AD DS에 백업되지 않습니다.

참조: BitLocker로 보호되는 이동식 드라이브를 복구하는 방법 선택

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다.

데이터 복구 에이전트 허용 확인란은 BitLocker로 보호되는 이동식 데이터 드라이브와 함께 데이터 복구 에이전트를 사용할 수 있는지 여부를 지정하는 데 사용됩니다. 데이터 복구 에이전트를 사용하려면 먼저 GPMC 또는 로컬 그룹 정책 편집기를 사용하여 액세스하는 공개 키 정책 에서 추가해야 합니다.

BitLocker 복구 정보의 사용자 스토리지 구성에서 사용자가 48자리 복구 암호를 생성할 수 있도록 허용할지, 필수인지, 아니면 생성할 수 있는지 여부를 선택합니다.

사용자가 드라이브에서 BitLocker를 사용하도록 설정할 때 복구 옵션을 지정하지 못하도록 하려면 BitLocker 설정 마법사에서 복구 옵션 생략을 선택합니다. 이 정책 설정은 BitLocker를 사용할 때 사용할 복구 옵션을 지정할 수 없다는 것을 의미합니다. 대신 드라이브에 대한 BitLocker 복구 옵션은 정책 설정에 따라 결정됩니다.

Active Directory Domain Services BitLocker 복구 정보 저장에서 이동식 데이터 드라이브에 대해 AD DS에 저장할 BitLocker 복구 정보를 선택합니다. 백업 복구 암호 및 키 패키지를 선택하면 BitLocker 복구 암호와 키 패키지가 AD DS에 저장됩니다. 백업 복구 암호만 선택한 경우 복구 암호만 AD DS에 저장됩니다.

컴퓨터가 도메인 에 연결되고 BitLocker 복구 정보를 AD DS에 백업하는 데 성공하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 않아야 하는 경우 복구 정보가 AD DS에 저장될 때까지 BitLocker 사용 안 함 확인란을 선택합니다.

참고

고정 데이터 드라이브에 대한 AD DS에 복구 정보가 저장될 때까지 BitLocker를 사용하도록 설정 안 함 확인란을 선택하면 복구 암호가 자동으로 생성됩니다.

부팅 전 복구 메시지 및 URL 구성

이 정책 설정은 전체 복구 메시지를 구성하고 운영 체제 드라이브가 잠겨 있을 때 부팅 전 복구 화면에 표시되는 기존 URL을 바꾸는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 사용자 지정된 메시지 및 URL을 표시하도록 BitLocker 복구 화면을 구성할 수 있습니다.
도입 Windows
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브>부팅 전 복구 메시지 및 URL 구성
충돌 없음
사용하도록 설정된 경우 사용자 지정된 메시지 및 URL이 부팅 전 복구 화면에 표시됩니다. 사용자 지정 복구 메시지 및 URL을 이전에 사용하도록 설정했으며 메시지 및 URL을 기본 메시지 및 URL로 되돌려야 하는 경우 정책 설정을 사용하도록 설정하고 기본 복구 메시지 및 URL 사용 옵션을 선택해야 합니다.
사용 안 함 또는 구성되지 않은 경우 설정이 이전에 사용하도록 설정되지 않은 경우 BitLocker 복구에 대한 기본 부팅 전 복구 화면이 표시됩니다. 이전에 설정을 사용하도록 설정했고 나중에 사용하지 않도록 설정한 경우 BCD(부팅 구성 데이터)의 마지막 메시지가 기본 복구 메시지인지 사용자 지정 메시지인지에 관계없이 표시됩니다.

참조: 부팅 전 복구 메시지 및 URL 구성

부팅 전 복구 메시지 및 URL 정책 구성 설정을 사용하도록 설정하면 고객이 키를 복구하는 데 도움이 되도록 기본 복구 화면 메시지 및 URL을 사용자 지정할 수 있습니다.

설정을 사용하도록 설정하면 다음 세 가지 옵션을 사용할 수 있습니다.

  • 기본 복구 메시지 및 URL 사용 옵션을 선택하면 기본 BitLocker 복구 메시지 및 URL이 부팅 전 복구 화면에 표시됩니다.
  • 사용자 지정 복구 메시지 사용 옵션을 선택한 경우 사용자 지정 복구 메시지 옵션 텍스트 상자에 사용자 지정 메시지를 입력합니다. 사용자 지정 복구 메시지 옵션 텍스트 상자에 입력된 메시지가 부팅 전 복구 화면에 표시됩니다. 복구 URL을 사용할 수 있는 경우 메시지에 포함합니다.
  • 사용자 지정 복구 URL 사용 옵션을 선택한 경우 사용자 지정 복구 URL 옵션 텍스트 상자에 사용자 지정 메시지 URL을 입력합니다. 사용자 지정 복구 URL 옵션 텍스트 상자에 입력된 URL은 부팅 전 복구 화면에 표시되는 기본 복구 메시지의 기본 URL을 대체합니다.

중요

부팅 전 환경에서 모든 문자와 언어가 지원되는 것은 아닙니다. 부팅 전 복구 화면에서 사용자 지정 메시지 및 URL에 사용되는 문자의 올바른 모양을 확인하는 것이 좋습니다.

중요

BCDEdit 명령은 그룹 정책 설정이 설정되기 전에 수동으로 변경할 수 있으므로 이 정책 설정이 구성된 후 구성되지 않음 옵션을 선택하여 정책 설정을 기본 설정으로 반환할 수 없습니다. 기본 부팅 전 복구 화면으로 돌아가려면 정책 설정을 사용하도록 설정한 상태로 두고 부팅 전 복구 메시지 드롭다운 목록 상자의 옵션 선택에서 기본 메시지 사용 옵션을 선택합니다.

무결성 유효성 검사를 위해 보안 부팅 허용

이 정책은 보안 부팅 기능을 사용하여 BitLocker 사용 시스템 볼륨을 처리하는 방법을 제어합니다. 이 기능을 사용하도록 설정하면 부팅 프로세스 중에 보안 부팅 유효성 검사가 강제 적용되고 보안 부팅 정책에 따라 BCD(부팅 구성 데이터) 설정이 확인됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 보안 부팅이 BitLocker 운영 체제 드라이브에 대한 플랫폼 무결성 공급자로 허용되는지 여부를 구성할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 무결성 유효성 검사를 위한 보안 부팅 허용이 사용하도록 설정된 경우 네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 그룹 정책 설정이 사용하도록 설정되지 않았는지 확인하거나, BitLocker가 플랫폼 또는 BCD 무결성 유효성 검사에 보안 부팅을 사용할 수 있도록 PCR 7을 포함해야 합니다.

PCR 7에 대한 자세한 내용은 이 문서의 PCR(플랫폼 구성 레지스터) 정보를 참조하세요.
사용하도록 설정되었거나 구성되지 않은 경우 플랫폼이 보안 부팅 기반 무결성 유효성 검사를 수행할 수 있는 경우 BitLocker는 플랫폼 무결성을 위해 보안 부팅을 사용합니다.
사용하지 않도록 설정된 경우 BitLocker는 부팅 기반 무결성 유효성 검사를 보호할 수 있는 시스템에서도 레거시 플랫폼 무결성 유효성 검사를 사용합니다.

참조: 무결성 유효성 검사를 위해 보안 부팅 허용

보안 부팅을 통해 컴퓨터의 사전 부팅 환경은 권한 있는 소프트웨어 게시자가 디지털 서명한 펌웨어만 로드합니다. 또한 보안 부팅은 Windows Server 2012 및 Windows 8 전에 BitLocker 무결성 검사보다 부팅 전 구성을 보다 유연하게 관리하기 시작했습니다.

이 정책을 사용하도록 설정하고 하드웨어가 BitLocker 시나리오에 대해 보안 부팅을 사용할 수 있는 경우 향상된 부팅 구성 데이터 유효성 검사 프로필 그룹 사용 정책 설정이 무시되고 보안 부팅은 BitLocker와 별도로 구성된 보안 부팅 정책 설정에 따라 BCD 설정을 확인합니다.

Warning

이 정책을 사용하지 않도록 설정하면 제조업체별 펌웨어가 업데이트될 때 BitLocker 복구가 발생할 수 있습니다. 이 정책을 사용하지 않도록 설정한 경우 펌웨어 업데이트를 적용하기 전에 BitLocker를 일시 중단합니다.

조직의 고유 식별자 제공

이 정책 설정은 조직에서 암호화된 모든 드라이브에 적용되는 식별자를 설정하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 고유한 조직 식별자를 BitLocker로 사용하도록 설정된 새 드라이브에 연결할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 BitLocker로 보호되는 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하려면 ID 필드가 필요합니다. BitLocker는 ID 필드가 드라이브에 있고 컴퓨터에 구성된 값과 동일한 경우에만 인증서 기반 데이터 복구 에이전트를 관리하고 업데이트합니다.
사용하도록 설정된 경우 BitLocker로 보호된 드라이브의 식별 필드와 조직에서 사용하는 허용되는 모든 식별 필드를 구성할 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 식별 필드는 필요하지 않습니다.

참조: 조직의 고유 식별자 제공

이러한 식별자는 식별 필드 및 허용된 식별 필드로 저장됩니다. 식별 필드를 사용하면 고유한 조직 식별자를 BitLocker로 보호된 드라이브와 연결할 수 있습니다. 이 식별자는 새 BitLocker로 보호되는 드라이브에 자동으로 추가되며 Manage-bde 명령줄 도구를 사용하여 기존 BitLocker로 보호된 드라이브에서 업데이트할 수 있습니다.

Id 필드는 BitLocker로 보호된 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하고 BitLocker To Go Reader에 대한 잠재적 업데이트를 위해 필요합니다. BitLocker는 드라이브의 식별 필드가 식별 필드에 구성된 값과 일치하는 경우에만 데이터 복구 에이전트를 관리하고 업데이트합니다. 비슷한 방식으로 BitLocker는 드라이브의 식별 필드 값이 식별 필드에 대해 구성된 값과 일치하는 경우에만 BitLocker To Go 판독기를 업데이트합니다.

BitLocker를 관리하는 도구에 대한 자세한 내용은 Manage-bde를 참조하세요.

허용되는 식별 필드는 BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 권한 거부 정책 설정과 함께 사용되어 조직에서 이동식 드라이브의 사용을 제어하는 데 도움이 됩니다. 내부 조직 또는 외부 조직에서 쉼표로 구분된 식별 필드 목록입니다.

기존 드라이브의 식별 필드는 Manage-bde 명령줄 도구를 사용하여 구성할 수 있습니다.

BitLocker로 보호된 드라이브가 다른 BitLocker 사용 컴퓨터에 탑재되면 식별 필드와 허용된 식별 필드를 사용하여 드라이브가 외부 조직에서 온 것인지 여부를 확인합니다.

쉼표로 구분된 여러 값을 식별 및 허용된 식별 필드에 입력할 수 있습니다. 식별 필드는 최대 260자까지 모든 값이 될 수 있습니다.

다시 시작할 때 메모리 덮어쓰기 방지

이 정책 설정은 다음에 컴퓨터를 다시 시작할 때 컴퓨터의 메모리를 덮어쓸지 여부를 제어하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker 비밀을 노출할 위험이 있는 컴퓨터 다시 시작 성능을 제어할 수 있습니다.
도입 Windows Vista
드라이브 유형 모든 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화
충돌 없음
사용하도록 설정된 경우 컴퓨터가 다시 시작될 때 메모리를 덮어쓰지 않습니다. 메모리 덮어쓰기를 방지하면 다시 시작 성능이 향상될 수 있지만 BitLocker 비밀이 노출될 위험이 높아질 수 있습니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 비밀은 컴퓨터가 다시 시작될 때 메모리에서 제거됩니다.

참조: 다시 시작할 때 메모리 덮어쓰기 방지

이 정책 설정은 BitLocker가 켜져 있을 때 적용됩니다. BitLocker 비밀에는 데이터를 암호화하는 데 사용되는 키 자료가 포함됩니다. 이 정책 설정은 BitLocker 보호를 사용하는 경우에만 적용됩니다.

BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정은 BIOS 구성이 있는 컴퓨터 또는 CSM(호환성 지원 모듈)이 사용하도록 설정된 UEFI 펌웨어를 사용하여 운영 체제 드라이브를 잠금 해제하기 전에 TPM이 초기 부팅 구성 요소의 유효성을 검사할 때 TPM이 측정하는 값을 결정합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 컴퓨터의 TPM 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 BitLocker 암호화 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM이 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되면 TPM은 드라이브의 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 대신 컴퓨터는 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다.
사용 안 함 또는 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다.

참조: BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다.

중요

이 그룹 정책 설정은 BIOS 구성이 있는 컴퓨터 또는 CSM을 사용하도록 설정된 UEFI 펌웨어가 있는 컴퓨터에만 적용됩니다. 네이티브 UEFI 펌웨어 구성을 사용하는 컴퓨터는 PCR(플랫폼 구성 레지스터)에 서로 다른 값을 저장합니다. 네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 그룹 정책 설정을 사용하여 네이티브 UEFI 펌웨어를 사용하는 컴퓨터에 대한 TPM PCR 프로필을 구성합니다.

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 인덱스 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 다음 PCR의 변경 내용에 대해 암호화 키를 보호합니다.

  • CRTM(핵심 측정 신뢰 루트), BIOS 및 플랫폼 확장(PCR 0)
  • 옵션 ROM 코드(PCR 2)
  • MBR(마스터 부팅 레코드) 코드(PCR 4)
  • NTFS 부팅 섹터(PCR 8)
  • NTFS 부팅 블록(PCR 9)
  • 부팅 관리자(PCR 10)
  • BitLocker Access Control(PCR 11)

참고

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정(악성 또는 권한 부여)에 대한 BitLocker의 민감도는 PCR의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

다음 목록에서는 사용 가능한 모든 PCR을 식별합니다.

  • PCR 0: 측정, BIOS 및 플랫폼 확장을 위한 핵심 신뢰 루트
  • PCR 1: 플랫폼 및 마더보드 구성 및 데이터.
  • PCR 2: 옵션 ROM 코드
  • PCR 3: 옵션 ROM 데이터 및 구성
  • PCR 4: MBR(마스터 부팅 레코드) 코드
  • PCR 5: MBR(마스터 부팅 레코드) 파티션 테이블
  • PCR 6: 상태 전환 및 절전 모드 해제 이벤트
  • PCR 7: 컴퓨터 제조업체별
  • PCR 8: NTFS 부팅 섹터
  • PCR 9: NTFS 부팅 블록
  • PCR 10: 부팅 관리자
  • PCR 11: BitLocker 액세스 제어
  • PCR 12-23: 향후 사용을 위해 예약됨

TPM 플랫폼 유효성 검사 프로필 구성(Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

이 정책 설정은 Windows Vista, Windows Server 2008 또는 Windows 7을 실행하는 컴퓨터에서 드라이브를 잠금 해제하기 전에 초기 부팅 구성 요소의 유효성을 검사할 때 TPM이 측정하는 값을 결정합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 컴퓨터의 TPM 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다.
도입 Windows Server 2008 및 Windows Vista
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 BitLocker 암호화 운영 체제 드라이브에 대한 액세스를 잠금 해제하기 전에 TPM이 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되면 TPM은 드라이브 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 대신 컴퓨터는 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다.
사용 안 함 또는 구성되지 않은 경우 TPM은 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다.

참조: TPM 플랫폼 유효성 검사 프로필 구성(Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다.

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 인덱스 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 다음 PCR의 변경 내용에 대해 암호화 키를 보호합니다.

  • CRTM(핵심 측정 신뢰 루트), BIOS 및 플랫폼 확장(PCR 0)
  • 옵션 ROM 코드(PCR 2)
  • MBR(마스터 부팅 레코드) 코드(PCR 4)
  • NTFS 부팅 섹터(PCR 8)
  • NTFS 부팅 블록(PCR 9)
  • 부팅 관리자(PCR 10)
  • BitLocker Access Control(PCR 11)

참고

EFI(Extensible Firmware Interface)를 사용하는 컴퓨터의 기본 TPM 유효성 검사 프로필 PCR 설정은 PCR 0, 2, 4 및 11에만 해당합니다.

다음 목록에서는 사용 가능한 모든 PCR을 식별합니다.

  • PCR 0: 측정, EFI 부팅 및 런타임 서비스, 시스템 ROM에 포함된 EFI 드라이버, ACPI 정적 테이블, 포함된 SMM 코드 및 BIOS 코드에 대한 핵심 신뢰 루트
  • PCR 1: 플랫폼 및 마더보드 구성 및 데이터. 시스템 구성에 영향을 주는 핸드오프 테이블 및 EFI 변수
  • PCR 2: 옵션 ROM 코드
  • PCR 3: 옵션 ROM 데이터 및 구성
  • PCR 4: 다른 부팅 디바이스의 MBR(마스터 부팅 레코드) 코드 또는 코드
  • PCR 5: MBR(마스터 부팅 레코드) 파티션 테이블입니다. 다양한 EFI 변수 및 GPT 테이블
  • PCR 6: 상태 전환 및 절전 모드 해제 이벤트
  • PCR 7: 컴퓨터 제조업체별
  • PCR 8: NTFS 부팅 섹터
  • PCR 9: NTFS 부팅 블록
  • PCR 10: 부팅 관리자
  • PCR 11: BitLocker 액세스 제어
  • PCR 12 - 23: 향후 사용을 위해 예약됨

Warning

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정(악성 또는 권한 부여)에 대한 BitLocker의 민감도는 PCR의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정은 네이티브 UEFI 펌웨어 구성이 있는 컴퓨터에서 운영 체제 드라이브를 잠금 해제하기 전에 초기 부팅 구성 요소의 유효성을 검사할 때 TPM이 측정하는 값을 결정합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈) 보안 하드웨어가 BitLocker 암호화 키를 보호하는 방법을 구성할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 PCR 7을 생략하여 이 정책을 설정하면 무결성 유효성 검사에 보안 부팅 허용 그룹 정책 설정이 재정의되고 BitLocker가 플랫폼 또는 BCD(부팅 구성 데이터) 무결성 유효성 검사에 보안 부팅을 사용하지 못하도록 방지합니다.

환경에서 플랫폼 무결성 검사를 위해 TPM 및 보안 부팅을 사용하는 경우 이 정책이 구성됩니다.

PCR 7에 대한 자세한 내용은 이 문서의 PCR(플랫폼 구성 레지스터) 정보를 참조하세요.
사용하도록 설정된 경우 BitLocker를 켜기 전에 TPM이 BitLocker 암호화 운영 체제 드라이브에 대한 액세스 권한을 잠금 해제하기 전에 유효성을 검사하는 부팅 구성 요소를 구성할 수 있습니다. BitLocker 보호가 적용되는 동안 이러한 구성 요소가 변경되면 TPM은 드라이브 잠금을 해제하기 위해 암호화 키를 해제하지 않습니다. 대신 컴퓨터는 BitLocker 복구 콘솔을 표시하고 드라이브 잠금을 해제하기 위해 복구 암호 또는 복구 키를 제공해야 합니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker는 기본 플랫폼 유효성 검사 프로필 또는 설치 스크립트에 지정된 플랫폼 유효성 검사 프로필을 사용합니다.

참조: 네이티브 UEFI 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성

이 정책 설정은 컴퓨터에 호환되는 TPM이 없거나 BitLocker가 TPM 보호를 사용하여 이미 켜져 있는 경우 적용되지 않습니다.

중요

이 그룹 정책 설정은 네이티브 UEFI 펌웨어 구성이 있는 컴퓨터에만 적용됩니다. CSM(호환성 지원 모듈)이 사용하도록 설정된 BIOS 또는 UEFI 펌웨어가 있는 컴퓨터는 PCR(플랫폼 구성 레지스터)에 다른 값을 저장합니다. BIOS 기반 펌웨어 구성에 대한 TPM 플랫폼 유효성 검사 프로필 구성 그룹 정책 설정을 사용하여 BIOS 구성이 있는 컴퓨터 또는 CSM이 사용하도록 설정된 UEFI 펌웨어가 있는 컴퓨터에 대해 TPM PCR 프로필을 구성합니다.

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 인덱스 집합으로 구성됩니다. 기본 플랫폼 유효성 검사 프로필은 핵심 시스템 펌웨어 실행 코드(PCR 0), PCR 2(확장 또는 플러그형 실행 코드), 부팅 관리자(PCR 4) 및 BITLocker 액세스 제어(PCR 11)의 변경 내용에 대해 암호화 키를 보호합니다.

다음 목록에서는 사용 가능한 모든 PCR을 식별합니다.

  • PCR 0: 핵심 시스템 펌웨어 실행 코드

  • PCR 1: 핵심 시스템 펌웨어 데이터

  • PCR 2: 확장 또는 플러그형 실행 파일 코드

  • PCR 3: 확장 또는 플러그형 펌웨어 데이터

  • PCR 4: 부팅 관리자

  • PCR 5: GPT/파티션 테이블

  • PCR 6: S4 및 S5 전원 상태 이벤트에서 다시 시작

  • PCR 7: 보안 부팅 상태

    이 PCR에 대한 자세한 내용은 이 문서의 PCR(플랫폼 구성 레지스터) 정보를 참조하세요.

  • PCR 8: 확장 없이 0으로 초기화됨(나중에 사용하도록 예약됨)

  • PCR 9: 확장 없이 0으로 초기화됨(나중에 사용하도록 예약됨)

  • PCR 10: 확장 없이 0으로 초기화됨(나중에 사용하도록 예약됨)

  • PCR 11: BitLocker 액세스 제어

  • PCR 12: 데이터 이벤트 및 매우 휘발성이 높은 이벤트

  • PCR 13: 부팅 모듈 세부 정보

  • PCR 14: 부팅 기관

  • PCR 15 - 23: 향후 사용을 위해 예약됨

Warning

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정(악성 또는 권한 부여)에 대한 BitLocker의 민감도는 PCR의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

BitLocker 복구 후 플랫폼 유효성 검사 데이터 다시 설정

이 정책 설정은 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터를 새로 고쳐야 하는지 여부를 결정합니다. 플랫폼 유효성 검사 데이터 프로필은 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 집합의 값으로 구성됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐지는지 여부를 제어할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 없음
사용하도록 설정된 경우 BitLocker 복구 후 Windows가 시작되면 플랫폼 유효성 검사 데이터가 새로 고쳐집니다.
사용하지 않도록 설정된 경우 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터는 새로 고쳐지지 않습니다.
구성되지 않은 경우 BitLocker 복구 후 Windows가 시작되면 플랫폼 유효성 검사 데이터가 새로 고쳐집니다.

참조: BitLocker 복구 후 플랫폼 유효성 검사 데이터 다시 설정

복구 프로세스에 대한 자세한 내용은 BitLocker 복구 가이드를 참조하세요.

향상된 부팅 구성 데이터 유효성 검사 프로필 사용

이 정책 설정은 플랫폼 유효성 검사 중에 확인할 특정 BCD(부팅 구성 데이터) 설정을 결정합니다. 플랫폼 유효성 검사는 0에서 23까지의 PCR(플랫폼 구성 레지스터) 인덱스 집합으로 구성된 플랫폼 유효성 검사 프로필의 데이터를 사용합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 플랫폼 유효성 검사 중에 확인할 BCD(부팅 구성 데이터) 설정을 지정할 수 있습니다.
도입 Windows Server 2012 및 Windows 8
드라이브 유형 운영 체제 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>운영 체제 드라이브
충돌 BitLocker가 플랫폼 및 부팅 구성 데이터 무결성 유효성 검사에 보안 부팅을 사용하는 경우 향상된 부팅 구성 데이터 유효성 검사 프로필 사용 그룹 정책 설정은 무시됩니다(무결성 유효성 검사 그룹 정책 보안 부팅 허용 설정에 의해 정의됨).
사용하도록 설정된 경우 추가 BCD 설정을 추가할 수 있으며 지정된 BCD 설정을 제외할 수 있습니다. 또한 포함 목록과 제외 목록을 결합하여 사용자 지정된 BCD 유효성 검사 프로필을 만들 수 있습니다. 사용자 지정된 BCD 유효성 검사 프로필은 BCD 설정을 확인하는 기능을 제공합니다.
사용하지 않도록 설정된 경우 컴퓨터는 Windows 7에서 사용하는 기본 BCD 프로필과 유사한 BCD 프로필 유효성 검사로 돌아갑니다.
구성되지 않은 경우 컴퓨터는 Windows에서 기본 BCD 설정을 확인합니다.

참조: 향상된 부팅 구성 데이터 유효성 검사 프로필 사용

참고

부팅 디버깅(0x16000010)을 제어하는 설정은 항상 유효성이 검사되며 포함 또는 제외 목록에 포함된 경우에는 아무런 효과가 없습니다.

이전 버전의 Windows에서 BitLocker로 보호된 고정 데이터 드라이브에 대한 액세스 허용

이 정책 설정은 BitLocker To Go Reader를 사용하여 드라이브에 대한 액세스를 허용할지 여부와 드라이브에 BitLocker To Go 판독기를 설치할 수 있는지 여부를 제어하는 데 사용됩니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 FAT 파일 시스템으로 포맷된 고정 데이터 드라이브의 잠금을 해제하고 Windows Vista를 실행하는 컴퓨터, SP3(서비스 팩 3이 있는 Windows XP) 또는 WINDOWS XP sp2(서비스 팩 2)에서 볼 수 있는지 여부를 구성할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 고정 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>고정 데이터 드라이브
충돌 없음
사용하도록 설정된 경우 및 구성되지 않은 경우 FAT 파일 시스템으로 포맷된 고정 데이터 드라이브는 Windows Server 2008, Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 잠금을 해제할 수 있으며 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 액세스 권한을 갖습니다.
사용하지 않도록 설정된 경우 FAT 파일 시스템으로 포맷되고 BitLocker로 보호되는 고정 데이터 드라이브는 Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 잠금을 해제할 수 없습니다. BitLocker To Go Reader(bitlockertogo.exe)가 설치되어 있지 않습니다.

참조: 이전 버전의 Windows에서 BitLocker로 보호되는 고정 데이터 드라이브에 대한 액세스 허용

참고

이 정책 설정은 NTFS 파일 시스템으로 포맷된 드라이브에는 적용되지 않습니다.

이 정책 설정을 사용하도록 설정하면 FAT 형식의 고정 드라이브에 BitLocker To Go Reader 설치 안 함 확인란을 선택하여 사용자가 고정 드라이브에서 BitLocker To Go Reader를 실행하지 못하도록 합니다. Id 필드가 지정되지 않은 드라이브에 BitLocker To Go Reader(bitlockertogo.exe)가 있거나 드라이브에 조직 정책 설정에 대한 고유 식별자 제공 설정에 지정된 것과 동일한 식별 필드가 있는 경우 사용자에게 BitLocker를 업데이트하라는 메시지가 표시되고 BitLocker To Go 판독기가 드라이브에서 삭제됩니다. 이 경우 Windows Vista를 실행하는 컴퓨터, SP3이 있는 Windows XP 또는 SP2가 있는 Windows XP에서 고정 드라이브를 잠금 해제하려면 BitLocker To Go Reader를 컴퓨터에 설치해야 합니다. 이 확인란을 선택하지 않으면 고정 드라이브에 BitLocker To Go Reader가 설치되어 사용자가 Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 드라이브의 잠금을 해제할 수 있습니다.

이전 버전의 Windows에서 BitLocker로 보호된 이동식 데이터 드라이브에 대한 액세스 허용

이 정책 설정은 BitLocker To Go 판독기를 사용하는 이동식 데이터 드라이브에 대한 액세스와 BitLocker To Go 판독기를 드라이브에 설치할 수 있는지 여부를 제어합니다.

항목 정보
정책 설명 이 정책 설정을 사용하면 FAT 파일 시스템으로 포맷된 이동식 데이터 드라이브의 잠금을 해제하고 Windows Vista를 실행하는 컴퓨터, SP3가 있는 Windows XP 또는 SP2가 있는 Windows XP에서 볼 수 있는지 여부를 구성할 수 있습니다.
도입 Windows Server 2008 R2 및 Windows 7
드라이브 유형 이동식 데이터 드라이브
정책 경로 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>이동식 데이터 드라이브
충돌 없음
사용하도록 설정된 경우 및 구성되지 않은 경우 FAT 파일 시스템으로 포맷된 이동식 데이터 드라이브는 Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서 잠금을 해제할 수 있으며 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제는 BitLocker로 보호되는 드라이브에 대한 읽기 전용 액세스 권한을 갖습니다.
사용하지 않도록 설정된 경우 BitLocker로 보호되는 FAT 파일 시스템으로 포맷된 이동식 데이터 드라이브는 Windows Vista, WINDOWS XP SP3 또는 WINDOWS XP SP2를 실행하는 컴퓨터에서는 잠금을 해제할 수 없습니다. BitLocker To Go Reader(bitlockertogo.exe)가 설치되어 있지 않습니다.

참조: 이전 버전의 Windows에서 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 액세스 허용

참고

이 정책 설정은 NTFS 파일 시스템으로 포맷된 드라이브에는 적용되지 않습니다.

이 정책 설정을 사용하도록 설정하면 FAT 형식의 이동식 드라이브에 BitLocker To Go Reader 설치 안 함 확인란을 선택하여 사용자가 이동식 드라이브에서 BitLocker To Go Reader를 실행하지 못하도록 합니다. Id 필드가 지정되지 않은 드라이브에 BitLocker To Go Reader(bitlockertogo.exe)가 있거나 드라이브에 조직 정책 설정에 대한 고유 식별자 제공 설정에 지정된 것과 동일한 식별 필드가 있는 경우 사용자에게 BitLocker를 업데이트하라는 메시지가 표시되고 BitLocker To Go 판독기가 드라이브에서 삭제됩니다. 이 경우 Windows Vista를 실행하는 컴퓨터, SP3이 있는 Windows XP 또는 SP2가 있는 Windows XP에서 이동식 드라이브의 잠금을 해제하려면 컴퓨터에 BitLocker To Go Reader를 설치해야 합니다. 이 확인란을 선택하지 않으면 이동식 드라이브에 BitLocker To Go Reader가 설치되어 사용자가 BitLocker To Go 판독기가 설치되지 않은 Windows Vista 또는 Windows XP를 실행하는 컴퓨터에서 드라이브의 잠금을 해제할 수 있습니다.

FIPS 설정

FIPS 준수에 대한 FIPS(Federal Information Processing Standard) 설정을 구성할 수 있습니다. FIPS 규정 준수의 영향으로 사용자는 복구를 위해 또는 키 보호기로 BitLocker 암호를 만들거나 저장할 수 없습니다. 복구 키의 사용이 허용됩니다.

항목 정보
정책 설명 참고
도입 Windows Server 2003 with SP1
드라이브 유형 시스템 수준
정책 경로 로컬 정책>보안 옵션>시스템 암호화: 암호화, 해시 및 서명에 FIPS 규격 알고리즘 사용
충돌 터미널 서비스와 같은 일부 애플리케이션은 모든 운영 체제에서 FIPS-140을 지원하지 않습니다.
사용하도록 설정된 경우 사용자는 복구 암호를 어떤 위치에도 저장할 수 없습니다. 이 정책 설정에는 AD DS 및 네트워크 폴더가 포함됩니다. 또한 WMI 또는 BitLocker 드라이브 암호화 설정 마법사를 사용하여 복구 암호를 만들 수 없습니다.
사용 안 함 또는 구성되지 않은 경우 BitLocker 암호화 키가 생성되지 않음

참조: FIPS 설정

BitLocker에 대한 암호화 키가 생성되기 전에 이 정책을 사용하도록 설정해야 합니다. 이 정책을 사용하도록 설정하면 BitLocker는 복구 암호를 만들거나 사용하지 않으므로 복구 키를 대신 사용해야 합니다.

선택적 복구 키는 USB 드라이브에 저장할 수 있습니다. FIPS를 사용하는 경우 복구 암호를 AD DS에 저장할 수 없으므로 그룹 정책 AD DS 백업이 필요한 경우 오류가 발생합니다.

FIPS 설정은 보안 정책 편집기(Secpol.msc)를 사용하거나 Windows 레지스트리를 편집하여 편집할 수 있습니다. 관리자만 이러한 절차를 수행할 수 있습니다.

이 정책을 설정하는 방법에 대한 자세한 내용은 시스템 암호화: 암호화, 해시 및 서명에 FIPS 규격 알고리즘 사용을 참조하세요.

전원 관리 그룹 정책 설정: 절전 모드 및 최대 절전 모드

컴퓨터의 PC 기본 전원 설정으로 인해 컴퓨터가 절전 모드로 자주 전환되어 유휴 상태일 때 전원을 절약하고 시스템의 배터리 수명을 연장할 수 있습니다. 컴퓨터가 절전 모드로 전환되면 열려 있는 프로그램과 문서가 메모리에 유지됩니다. 컴퓨터가 절전 모드에서 다시 시작되면 사용자는 암호화된 데이터에 액세스하기 위해 PIN 또는 USB 시작 키를 사용하여 다시 인증할 필요가 없습니다. 절전 모드에서 다시 시작하면 다시 인증할 필요가 없으면 데이터 보안이 손상되는 조건이 발생할 수 있습니다.

그러나 컴퓨터가 드라이브를 최대 절전 모드로 전환하고 최대 절전 모드에서 다시 시작하면 드라이브의 잠금이 해제됩니다. 즉, BitLocker에서 다단계 인증을 사용하는 경우 사용자가 PIN 또는 시작 키를 제공해야 합니다. 따라서 BitLocker를 사용하는 조직은 보안 향상을 위해 절전 모드 대신 최대 절전 모드를 사용할 수 있습니다. 이 설정은 시작 시 및 최대 절전 모드에서 다시 시작할 때 투명한 사용자 환경을 제공하기 때문에 TPM 전용 모드에 영향을 주지 않습니다.

사용 가능한 모든 절전 모드 상태를 사용하지 않도록 설정하려면 컴퓨터 구성>관리 템플릿>시스템>전원 관리 에 있는 그룹 정책 설정을 사용하지 않도록 설정합니다.

  • 절전 모드일 때 대기 상태 허용(S1-S3) (연결됨)
  • 대기 상태 허용(S1-S3) 절전 모드(배터리)

PCR(플랫폼 구성 레지스터) 정보

플랫폼 유효성 검사 프로필은 0에서 23까지의 PCR 인덱스 집합으로 구성됩니다. 값의 범위는 운영 체제 버전과 관련될 수 있습니다.

기본 플랫폼 유효성 검사 프로필에서 변경하면 컴퓨터의 보안 및 관리 효율성에 영향을 줍니다. 플랫폼 수정(악성 또는 권한 부여)에 대한 BitLocker의 민감도는 PCR의 포함 또는 제외(각각)에 따라 증가하거나 감소합니다.

PCR 7 정보

PCR 7은 보안 부팅 상태를 측정합니다. PCR 7을 사용하면 BitLocker는 무결성 유효성 검사를 위해 보안 부팅을 사용할 수 있습니다. 보안 부팅을 통해 컴퓨터의 시험판 환경은 권한 있는 소프트웨어 게시자가 디지털 서명한 펌웨어만 로드합니다. PCR 7 측정값은 보안 부팅이 켜져 있는지 여부와 플랫폼에서 신뢰할 수 있는 키를 나타냅니다. 보안 부팅이 켜져 있고 펌웨어가 UEFI 사양에 따라 PCR 7을 올바르게 측정하는 경우 BitLocker는 정확한 펌웨어 및 Bootmgr 이미지의 측정값이 로드된 PCR 0, 2 및 4가 아닌 이 정보에 바인딩할 수 있습니다. 이 프로세스는 펌웨어 및 이미지 업데이트의 결과로 복구 모드에서 BitLocker가 시작될 가능성을 줄이고 프리부트 구성을 관리할 수 있는 더 큰 유연성을 제공합니다.

PCR 7 측정은 부록 A 신뢰할 수 있는 실행 환경 EFI 프로토콜에 설명된 지침을 따라야 합니다.

PCR 7 측정은 Microsoft Surface RT와 같은 최신 대기(Always On, Always Connected PC라고도 함)를 지원하는 시스템의 필수 로고 요구 사항입니다. 이러한 시스템에서 PCR 7 측정 및 보안 부팅이 있는 TPM이 올바르게 구성된 경우 BitLocker는 기본적으로 PCR 7 및 PCR 11에 바인딩됩니다.