BitLocker를 위한 조직 준비: 계획 및 정책
적용 대상:
- Windows 10
- Windows 11
- Windows Server 2016 이상
IT 전문가를 위한 이 문서에서는 BitLocker 배포를 계획하는 방법을 설명합니다.
BitLocker 배포 전략이 정의되면 조직의 비즈니스 요구 사항에 따라 적절한 정책 및 구성 요구 사항을 정의합니다. 다음 섹션에서는 정보를 수집하는 데 도움이 됩니다. BitLocker 시스템 배포 및 관리에 대한 의사 결정 프로세스에 도움이 되도록 이 정보를 사용합니다.
환경 감사
BitLocker 배포를 계획하려면 현재 환경을 이해합니다. 비공식 감사를 수행하여 현재 정책, 절차 및 하드웨어 환경을 정의합니다. 기존 디스크 암호화 소프트웨어 회사 보안 정책을 검토합니다. 조직에서 디스크 암호화 소프트웨어를 사용하지 않는 경우 이러한 정책이 존재하지 않습니다. 디스크 암호화 소프트웨어를 사용하는 경우 BitLocker 기능을 사용하도록 조직의 정책을 변경해야 할 수 있습니다.
조직의 현재 디스크 암호화 보안 정책을 문서화하는 데 도움이 되도록 다음 질문에 답변하세요.
BitLocker를 사용할 컴퓨터와 BitLocker를 사용하지 않는 컴퓨터를 결정하는 정책이 있나요?
복구 암호 및 복구 키 스토리지를 제어하기 위한 정책은 무엇인가요?
BitLocker 복구를 수행해야 하는 사용자의 ID 유효성을 검사하기 위한 정책은 무엇인가요?
조직에서 복구 데이터에 액세스할 수 있는 사용자를 제어하기 위한 정책은 무엇인가요?
컴퓨터 서비스 해제 또는 사용 중지를 제어하기 위한 정책은 무엇인가요?
암호화 키 및 인증
BitLocker는 다음을 통해 분실 또는 도난당한 컴퓨터의 데이터에 대한 무단 액세스를 방지하는 데 도움이 됩니다.
- 하드 디스크의 전체 Windows 운영 체제 볼륨 암호화.
- 부팅 프로세스 무결성 확인
TPM(신뢰할 수 있는 플랫폼 모듈)은 컴퓨터 제조업체가 최신 컴퓨터에 설치한 하드웨어 구성 요소입니다. BitLocker와 함께 작동하여 사용자 데이터를 보호합니다. 또한 시스템이 오프라인 상태인 동안 컴퓨터가 변조되지 않았는지 확인합니다.
또한 BitLocker는 사용자가 PIN(개인 식별 번호)을 제공하거나 시작 키가 포함된 이동식 USB 디바이스를 삽입할 때까지 일반 시작 프로세스를 잠글 수 있습니다. 이러한 추가 보안 조치는 다단계 인증을 제공합니다. 또한 올바른 PIN 또는 시작 키가 표시될 때까지 컴퓨터가 최대 절전 모드에서 시작 또는 다시 시작되지 않도록 합니다.
TPM 버전 1.2 이상이 없는 컴퓨터에서는 BitLocker를 사용하여 Windows 운영 체제 볼륨을 암호화할 수 있습니다. 그러나 이 구현을 수행하려면 사용자가 USB 시작 키를 삽입하여 컴퓨터를 시작하거나 최대 절전 모드에서 다시 시작해야 합니다. TPM으로 작업하는 BitLocker에서 제공하는 시작 전 시스템 무결성 확인을 제공하지 않습니다.
BitLocker 키 보호기
| 키 보호기 | 설명 |
|---|---|
| TPM | 보안 신뢰 루트를 설정하는 데 사용되는 하드웨어 디바이스입니다. BitLocker는 TPM 1.2 이상 버전만 지원합니다. |
| 핀 | TPM 외에만 사용할 수 있는 사용자 입력 숫자 키 보호기입니다. |
| 향상된 PIN | TPM 외에만 사용할 수 있는 사용자 입력 영숫자 키 보호기입니다. |
| 시작 키 | 대부분의 이동식 미디어에 저장할 수 있는 암호화 키입니다. 이 키 보호기는 TPM이 아닌 컴퓨터에서만 사용하거나 보안을 강화하기 위해 TPM과 함께 사용할 수 있습니다. |
| 복구 암호 | 복구 모드에 있을 때 볼륨의 잠금을 해제하는 데 사용되는 48자리 숫자입니다. 일반 키보드에 숫자를 입력할 수 있는 경우가 많습니다. 일반 키보드의 숫자가 응답하지 않는 경우 함수 키(F1-F10)를 사용하여 숫자를 입력할 수 있습니다. |
| 복구 키 | BitLocker 볼륨에서 암호화된 데이터를 복구하는 데 사용할 수 있는 이동식 미디어에 저장된 암호화 키입니다. |
BitLocker 인증 방법
| 인증 방법 | 사용자 상호 작용 필요 | 설명 |
|---|---|---|
| TPM만 | 아니오 | TPM은 초기 부팅 구성 요소의 유효성을 검사합니다. |
| TPM + PIN | 예 | TPM은 초기 부팅 구성 요소의 유효성을 검사합니다. 시작 프로세스를 계속하기 전과 드라이브를 잠금 해제하기 전에 사용자가 올바른 PIN을 입력해야 합니다. 잘못된 PIN을 반복적으로 입력하면 TPM이 잠금 상태가 되어 무차별 암호 대입 공격으로부터 PIN을 보호합니다. 잠금을 트리거하는 반복된 시도 횟수는 변수입니다. |
| TPM + 네트워크 키 | 아니오 | TPM은 초기 부팅 구성 요소의 유효성을 성공적으로 검사하고 WDS 서버에서 유효한 암호화된 네트워크 키를 제공했습니다. 이 인증 방법은 다단계 인증을 유지하면서 시스템 재부팅 시 운영 체제 볼륨의 자동 잠금 해제를 제공합니다. |
| TPM + 시작 키 | 예 | TPM은 초기 부팅 구성 요소의 유효성을 성공적으로 검사하고 시작 키가 포함된 USB 플래시 드라이브가 삽입되었습니다. |
| 시작 키만 | 예 | 복구 키 및/또는 시작 키가 있는 USB 플래시 드라이브에 대한 메시지가 사용자에게 표시되고 컴퓨터를 다시 부팅합니다. |
TPM 1.2 이상 버전이 없는 컴퓨터가 지원되나요?
환경에 TPM 1.2 이상의 버전이 없는 컴퓨터가 지원되는지 여부를 결정합니다. TPM 1.2 이상의 버전이 있는 컴퓨터를 지원하기로 결정한 경우 사용자는 USB 시작 키를 사용하여 시스템을 부팅해야 합니다. 이 시작 키에는 다단계 인증과 유사한 추가 지원 프로세스가 필요합니다.
조직의 기준 수준의 데이터 보호가 필요한 영역은 무엇인가요?
TPM 전용 인증 방법은 보안 정책을 충족하기 위해 기준 수준의 데이터 보호가 필요한 조직에 가장 투명한 사용자 환경을 제공합니다. 총 소유 비용이 가장 낮습니다. TPM 전용은 무인이거나 무인으로 다시 부팅해야 하는 컴퓨터에 더 적합할 수도 있습니다.
그러나 TPM 전용 인증 방법은 가장 낮은 수준의 데이터 보호를 제공합니다. 이 인증 방법은 초기 부팅 구성 요소를 수정하는 공격으로부터 보호합니다. 그러나 보호 수준은 하드웨어 또는 초기 부팅 구성 요소의 잠재적인 약점에 의해 영향을 받을 수 있습니다. BitLocker의 다단계 인증 방법은 전체 데이터 보호 수준을 크게 높입니다.
더 안전한 수준의 데이터 보호가 필요한 조직의 영역은 무엇인가요?
매우 중요한 데이터가 있는 사용자 컴퓨터가 있는 경우 해당 시스템에 다단계 인증을 사용하여 BitLocker를 배포합니다. 사용자가 PIN을 입력하도록 요구하면 시스템에 대한 보호 수준이 크게 증가합니다. BitLocker 네트워크 잠금 해제를 사용하여 네트워크 잠금 해제 키를 제공할 수 있는 신뢰할 수 있는 유선 네트워크에 연결된 경우 이러한 컴퓨터가 자동으로 잠금 해제되도록 할 수도 있습니다.
조직에서 선호하는 다단계 인증 방법은 무엇인가요?
다단계 인증 방법에서 제공하는 보호 차이는 쉽게 정량화할 수 없습니다. 각 인증 방법이 기술 지원팀 지원, 사용자 교육, 사용자 생산성 및 자동화된 시스템 관리 프로세스에 미치는 영향을 고려합니다.
TPM 하드웨어 구성
배포 계획에서 지원되는 TPM 기반 하드웨어 플랫폼을 식별합니다. 조직에서 사용하는 OEM의 하드웨어 모델을 문서화하여 구성을 테스트하고 지원합니다. TPM 하드웨어는 계획 및 배포의 모든 측면에서 특별히 고려해야 합니다.
TPM 1.2 상태 및 초기화
TPM 1.2의 경우 여러 가지 가능한 상태가 있습니다. Windows는 TPM을 자동으로 초기화하여 사용하도록 설정, 활성화 및 소유된 상태로 가져옵니다. 이 상태는 BitLocker가 TPM을 사용하기 전에 필요한 상태입니다.
인증 키
BitLocker에서 TPM을 사용하려면 RSA 키 쌍인 인증 키가 포함되어야 합니다. 키 쌍의 프라이빗 절반은 TPM 내부에 보관되며 TPM 외부에서 공개되거나 액세스할 수 없습니다. TPM에 인증 키가 없는 경우 BitLocker는 TPM이 BitLocker 설정의 일부로 자동으로 생성하도록 강제합니다.
인증 키는 TPM 수명 주기의 다양한 지점에서 만들 수 있지만 TPM의 수명 동안 한 번만 만들어야 합니다. TPM에 대한 인증 키가 없는 경우 TPM 소유권을 가져오기 전에 만들어야 합니다.
TPM 및 TCG에 대한 자세한 내용은 신뢰할 수 있는 컴퓨팅 그룹: TPM(신뢰할 수 있는 플랫폼 모듈) 사양(https://go.microsoft.com/fwlink/p/?linkid=69584)을 참조하세요.
TPM이 아닌 하드웨어 구성
TPM을 포함하지 않는 디바이스는 드라이브 암호화를 통해 계속 보호할 수 있습니다. Windows To Go 작업 영역은 시작 암호를 사용하여 BitLocker로 보호할 수 있으며 TPM이 없는 PC는 시작 키를 사용할 수 있습니다.
다음 질문을 사용하여 TPM이 아닌 구성의 배포에 영향을 줄 수 있는 문제를 식별합니다.
- 암호 복잡성 규칙이 마련되어 있나요?
- 이러한 각 컴퓨터에 대한 USB 플래시 드라이브에 대한 예산이 있나요?
- 기존 비TPM 디바이스는 부팅 시 USB 디바이스를 지원합니까?
BitLocker를 사용하도록 설정하는 동안 BitLocker 시스템 확인 옵션을 사용하여 개별 하드웨어 플랫폼을 테스트합니다. 시스템 검사를 통해 BitLocker가 볼륨을 암호화하기 전에 USB 디바이스 및 암호화 키에서 복구 정보를 올바르게 읽을 수 있는지 확인합니다. CD 및 DVD 드라이브는 블록 스토리지 디바이스 역할을 할 수 없으며 BitLocker 복구 자료를 저장하는 데 사용할 수 없습니다.
디스크 구성 고려 사항
올바르게 작동하려면 BitLocker에 특정 디스크 구성이 필요합니다. BitLocker에는 다음 요구 사항을 충족하는 두 개의 파티션이 필요합니다.
- 운영 체제 파티션에는 운영 체제 및 해당 지원 파일이 포함됩니다. NTFS 파일 시스템으로 포맷해야 합니다.
- 시스템 파티션(또는 부팅 파티션)에는 BIOS 또는 UEFI 펌웨어가 시스템 하드웨어를 준비한 후 Windows를 로드하는 데 필요한 파일이 포함됩니다. BitLocker는 이 파티션에서 사용할 수 없습니다. BitLocker가 작동하려면 시스템 파티션을 암호화해서는 안 되며 운영 체제와 다른 파티션에 있어야 합니다. UEFI 플랫폼에서 시스템 파티션은 FAT 32 파일 시스템으로 포맷되어야 합니다. BIOS 플랫폼에서 시스템 파티션은 NTFS 파일 시스템으로 포맷되어야 합니다. 크기가 350MB 이상이어야 합니다.
Windows 설치 프로그램은 BitLocker 암호화를 지원하도록 컴퓨터의 디스크 드라이브를 자동으로 구성합니다.
Windows 복구 환경(Windows RE)은 Windows PE(Windows 사전 설치 환경)를 기반으로 하는 확장 가능한 복구 플랫폼입니다. 컴퓨터가 시작되지 않으면 Windows가 자동으로 이 환경으로 전환되고 Windows RE 시작 복구 도구는 부팅할 수 없는 Windows 설치의 진단 및 복구를 자동화합니다. Windows RE 복구 키 또는 복구 암호를 제공하여 BitLocker로 보호되는 볼륨의 잠금을 해제하는 데 필요한 드라이버와 도구도 포함되어 있습니다. BitLocker에서 Windows RE 사용하려면 Windows RE 부팅 이미지가 BitLocker로 보호되지 않는 볼륨에 있어야 합니다.
Windows RE 로컬 하드 디스크 이외의 부팅 미디어에서도 사용할 수 있습니다. Windows RE BitLocker 사용 컴퓨터의 로컬 하드 디스크에 설치되지 않은 경우 다른 방법을 사용하여 Windows RE 부팅할 수 있습니다. 예를 들어 WDS(Windows 배포 서비스), CD-ROM 또는 USB 플래시 드라이브를 복구에 사용할 수 있습니다.
BitLocker 프로비저닝
Windows Vista 및 Windows 7에서 BitLocker는 시스템 및 데이터 볼륨에 대한 설치 후 프로비전되었습니다. 명령줄 인터페이스 또는 제어판 사용자 인터페이스를 사용 manage-bde 했습니다. 최신 운영 체제를 사용하면 운영 체제가 설치되기 전에 BitLocker를 프로비전할 수 있습니다. 사전 프로비전하려면 컴퓨터에 TPM이 있어야 합니다.
관리자는 특정 볼륨의 BitLocker 상태를 확인하기 위해 BitLocker 제어판 애플릿 또는 Windows 탐색기에서 드라이브 상태를 확인할 수 있습니다. 노란색 느낌표 아이콘이 있는 "활성화 대기 중" 상태는 드라이브가 BitLocker에 대해 미리 프로비전되었음을 의미합니다. 이 상태는 볼륨을 암호화할 때 사용되는 명확한 보호기만 있음을 의미합니다. 이 경우 볼륨이 보호되지 않으며 드라이브가 완전히 보호된 것으로 간주되기 전에 볼륨에 보안 키를 추가해야 합니다. 관리자는 제어판 옵션, manage-bde 도구 또는 WMI API를 사용하여 적절한 키 보호기를 추가할 수 있습니다. 볼륨 상태가 업데이트됩니다.
제어판 옵션을 사용하는 경우 관리자는 BitLocker 켜 기를 선택하고 마법사의 단계에 따라 운영 체제 볼륨에 대한 PIN(또는 TPM이 없는 경우 암호) 또는 암호 또는 스마트 카드 보호기와 같은 보호기를 데이터 볼륨에 추가할 수 있습니다. 그런 다음 볼륨 상태를 변경하기 전에 드라이브 보안 창이 표시됩니다.
관리자는 WinPE(Windows 사전 설치 환경)에서 운영 체제 배포 전에 BitLocker를 사용하도록 설정할 수 있습니다. 이 단계는 형식이 지정된 볼륨에 임의로 생성된 지우기 키 보호기를 사용하여 수행됩니다. Windows 설치 프로세스를 실행하기 전에 볼륨을 암호화합니다. 암호화에서 사용된 디스크 공간만 옵션을 사용하는 경우 이 단계는 몇 초밖에 걸리지 않습니다. 또한 일반 배포 프로세스에 통합됩니다.
사용된 디스크 공간 전용 암호화
BitLocker 설치 마법사는 관리자가 볼륨에 BitLocker를 사용하도록 설정할 때 사용된 디스크 공간만 또는 전체 암호화 방법을 선택할 수 있는 기능을 제공합니다. 관리자는 새 BitLocker 그룹 정책 설정을 사용하여 사용된 디스크 공간만 또는 전체 디스크 암호화를 적용할 수 있습니다.
BitLocker 설치 마법사를 시작하면 인증 방법을 사용할지 묻는 메시지가 표시됩니다(암호 및 스마트 카드는 데이터 볼륨에 사용할 수 있음). 메서드가 선택되고 복구 키가 저장되면 마법사는 드라이브 암호화 유형을 선택하도록 요청합니다. 사용된 디스크 공간만 또는 전체 드라이브 암호화를 선택합니다.
사용된 디스크 공간만 사용하면 데이터가 포함된 드라이브의 일부만 암호화됩니다. 사용되지 않는 공간은 암호화되지 않은 상태로 유지됩니다. 이 동작으로 인해 특히 새 PC 및 데이터 드라이브의 경우 암호화 프로세스가 훨씬 더 빨라집니다. 이 메서드를 사용하여 BitLocker를 사용하도록 설정하면 데이터가 드라이브에 추가되면 사용된 드라이브 부분이 암호화됩니다. 따라서 드라이브에 암호화되지 않은 데이터가 저장되지 않습니다.
전체 드라이브 암호화를 사용하면 데이터가 저장되는지 여부에 관계없이 전체 드라이브가 암호화됩니다. 이 옵션은 용도가 변경된 드라이브에 유용하며 이전에 사용한 데이터 잔재를 포함할 수 있습니다.
Active Directory Domain Services 고려 사항
BitLocker는 AD DS(Active Directory Domain Services)와 통합되어 중앙 집중식 키 관리를 제공합니다. 기본적으로 복구 정보는 Active Directory에 백업되지 않습니다. 관리자는 각 드라이브 유형에 대해 다음 그룹 정책 설정을 구성하여 BitLocker 복구 정보의 백업을 사용하도록 설정할 수 있습니다.
컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화>드라이브 유형>BitLocker로 보호된 드라이브를 복구하는 방법을 선택합니다.
기본적으로 도메인 관리자만 BitLocker 복구 정보에 액세스할 수 있지만 액세스 권한은 다른 사용자에게 위임할 수 있습니다.
각 컴퓨터 개체에 대해 다음 복구 데이터가 저장됩니다.
복구 암호
BitLocker로 보호되는 볼륨을 복구하는 데 사용되는 48자리 복구 암호입니다. BitLocker가 복구 모드로 전환되면 사용자는 이 암호를 입력하여 볼륨의 잠금을 해제합니다.
키 패키지 데이터
이 키 패키지와 복구 암호를 사용하면 디스크가 심하게 손상된 경우 BitLocker로 보호되는 볼륨의 일부를 해독할 수 있습니다. 각 키 패키지는 생성된 볼륨에서만 작동하며 해당 볼륨 ID로 식별됩니다.
복구 암호 보호기를 위한 FIPS 지원
Windows Server 2012 R2 및 Windows 8.1 도입된 기능을 사용하면 BitLocker가 FIPS 모드에서 완벽하게 작동할 수 있습니다.
참고
미국 FIPS(Federal Information Processing Standard)는 미국 연방 정부가 사용하는 컴퓨터 시스템에 대한 보안 및 상호 운용성 요구 사항을 정의합니다. FIPS-140 표준은 승인된 암호화 알고리즘을 정의합니다. FIPS-140 표준은 키 생성 및 키 관리에 대한 요구 사항도 설정합니다. NIST(National Institute of Standards and Technology)는 CMVP(암호화 모듈 유효성 검사 프로그램)를 사용하여 암호화 알고리즘의 특정 구현이 FIPS-140 표준을 준수하는지 여부를 확인합니다. 암호화 알고리즘의 구현은 NIST 유효성 검사를 위해 제출되고 통과된 경우에만 FIPS-140 규격으로 간주됩니다. 제출되지 않은 알고리즘은 구현이 동일한 알고리즘의 유효성이 검사된 구현으로 동일한 데이터를 생성하는 경우에도 FIPS 규격으로 간주될 수 없습니다.
이러한 지원되는 Windows 버전 이전에는 Windows가 FIPS 모드일 때 BitLocker가 복구 암호를 만들거나 사용하지 못하게 하고 대신 사용자가 복구 키를 사용하도록 강요했습니다. 이러한 문제에 대한 자세한 내용은 Windows 에서 FIPS 규격 정책을 설정한 경우 Windows BitLocker에 대한 복구 암호를 사용할 수 없음 지원 문서를 참조하세요.
그러나 BitLocker를 사용하도록 설정된 지원되는 시스템을 실행하는 컴퓨터에서는 다음을 수행합니다.
Windows가 FIPS 모드인 경우 FIPS 규격 복구 암호 보호기를 만들 수 있습니다. 이러한 보호기는 FIPS-140 NIST SP800-132 알고리즘을 사용합니다.
Windows 8.1 FIPS 모드에서 만든 복구 암호는 다른 시스템에서 만든 복구 암호와 구별할 수 있습니다.
FIPS 규격 알고리즘 기반 복구 암호 보호기를 사용하여 복구 잠금 해제는 현재 복구 암호에 대해 작동하는 모든 경우에 작동합니다.
FIPS 규격 복구 암호가 볼륨 잠금을 해제하면 FIPS 모드에서도 읽기/쓰기 액세스를 허용하도록 볼륨이 잠금 해제됩니다.
FIPS 규격 복구 암호 보호기는 FIPS 모드에서 AD로 내보내고 저장할 수 있습니다.
복구 암호에 대한 BitLocker 그룹 정책 설정은 FIPS 모드에서든 아니든 BitLocker를 지원하는 모든 Windows 버전에서 동일하게 작동합니다.
Windows Server 2012 R2 및 Windows 8.1 이상에서는 FIPS 모드의 시스템에서 생성된 복구 암호를 사용할 수 없습니다. Windows Server 2012 R2 및 Windows 8.1 만든 복구 암호는 Windows Server 2012 R2 및 Windows 8.1 이전 운영 체제의 BitLocker와 호환되지 않습니다. 따라서 복구 키를 대신 사용해야 합니다.