다음을 통해 공유


TPM(신뢰할 수 있는 플랫폼 모듈) 기술 개요

이 문서에서는 TPM(신뢰할 수 있는 플랫폼 모듈)과 Windows에서 액세스 제어 및 인증에 사용하는 방법을 설명합니다.

기능 설명

TPM(신뢰할 수 있는 플랫폼 모듈) 기술은 하드웨어 기반 보안 관련 기능을 제공하도록 설계되었습니다. TPM 칩은 암호화 작업을 수행하도록 설계된 보안 암호화 프로세서입니다. 칩에는 변조 방지를 위한 여러 물리적 보안 메커니즘이 포함되어 있으며 악성 소프트웨어는 TPM의 보안 기능을 변조할 수 없습니다. TPM 기술을 사용할 때의 몇 가지 이점은 다음과 같습니다.

  • 암호화 키를 생성, 저장 및 사용을 제한합니다.
  • 칩에 연소되는 TPM의 고유한 RSA 키를 사용하여 디바이스 인증에 사용합니다.
  • 부팅 프로세스의 보안 측정을 수행하고 저장하여 플랫폼 무결성을 보장하는 데 도움이 됩니다.

가장 일반적인 TPM 기능은 시스템 무결성 측정과 키 만들기 및 사용에 사용됩니다. 시스템의 부팅 프로세스 중에 펌웨어 및 운영 체제 구성 요소를 포함하여 로드되는 부팅 코드를 측정하고 TPM에 기록할 수 있습니다. 무결성 측정을 시스템이 시작된 방법에 대한 증거로 사용할 수 있으며, 올바른 소프트웨어를 사용하여 시스템을 부팅한 경우에만 TPM 기반 키가 사용되도록 할 수 있습니다.

TPM 기반 키는 다양한 방법으로 구성할 수 있습니다. 한 가지 옵션은 TPM 기반 키를 TPM 외부에서 사용할 수 없게 하는 것입니다. 이 옵션은 TPM 없이 키를 복사하거나 사용할 수 없도록 하기 때문에 피싱 공격 완화에 효율적입니다. TPM 기반 키를 사용하려면 권한 부여 값이 필요하도록 구성할 수도 있습니다. 잘못된 권한 부여 추측이 너무 많으면 TPM은 사전 공격 논리를 활성화하고 추가 권한 부여 값 추측을 방지합니다.

각 TPM 버전은 TCG(신뢰할 수 있는 컴퓨팅 그룹)의 사양에 정의되어 있습니다. 자세한 내용은 TCG 웹 사이트를 참조하세요.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 TPM(신뢰할 수 있는 플랫폼 모듈)을 지원하는 Windows 버전이 나와 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

TPM(신뢰할 수 있는 플랫폼 모듈) 라이선스 권한은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

Windows에서 TPM 자동 초기화

Windows 10 및 Windows 11부터 운영 체제가 TPM을 자동으로 초기화하고 TPM의 소유권을 가져옵니다. 따라서 대부분의 경우 TPM 관리 콘솔(TPM.msc)을 통해 TPM을 구성하지 않는 것이 좋습니다. 단, 몇 가지 예외가 있는데, 주로 PC에서 초기화하거나 새로 설치를 수행하는 것과 관련이 있습니다. 자세한 내용은 TPM에서 모든 키 지우기를 참조하세요.

참고

Windows Server 2019 및 Windows 10, 버전 1809부터 TPM 관리 콘솔을 더 이상 적극적으로 개발하지 않습니다.

Windows 10 버전 1507 및 1511에 한정된 특정 엔터프라이즈 시나리오에서는 그룹 정책을 사용하여 Active Directory의 TPM 소유자 권한 부여 값을 백업할 수 있습니다. TPM 상태는 운영 체제 설치 간에 지속되므로 컴퓨터 개체와 분리된 Active Directory의 위치에 이 TPM 정보가 저장됩니다.

유용한 팁

TPM을 사용하는 컴퓨터에서 인증서를 설치하거나 만들 수 있습니다. 컴퓨터가 프로비전되면 인증서에 대한 RSA 프라이빗 키가 TPM에 바인딩되며 내보낼 수 없습니다. TPM을 스마트 카드 대신 사용할 수도 있으며, 이 경우 스마트 카드 생성 및 지출과 관련된 비용이 감소합니다.

TPM의 자동화된 프로비저닝은 엔터프라이즈의 TPM 배포 비용을 줄입니다. 새로운 TPM 관리 API는 TPM 프로비저닝 작업 시 부팅 프로세스 중 TPM 상태 변경 요청을 승인하기 위해 서비스 관리자가 실제 존재해야 하는지 여부를 확인할 수 있습니다.

맬웨어 방지 소프트웨어는 운영 체제 시작 상태의 부팅 측정을 사용하여 Windows를 실행하는 컴퓨터의 무결성을 증명할 수 있습니다. 이러한 측정값에는 가상화를 사용하는 데이터 센터가 신뢰할 수 없는 하이퍼바이저를 실행하지 않는지 테스트하기 위한 Hyper-V 시작이 포함됩니다. BitLocker 네트워크 잠금 해제를 통해 IT 관리자는 컴퓨터가 PIN 입력을 기다릴 것을 염려하지 않고 업데이트를 푸시할 수 있습니다.

TPM은 특정 엔터프라이즈 시나리오에서 유용한 몇 가지 그룹 정책 설정을 지원합니다. 자세한 내용은 TPM 그룹 정책 설정을 참조하세요.

장치 상태 증명

디바이스 상태 증명은 엔터프라이즈가 관리되는 장치의 하드웨어 및 소프트웨어 구성 요소를 기반으로 신뢰를 구축할 수 있게 합니다. 디바이스 히스 증명을 사용하면 관리되는 디바이스에서 보안 리소스에 대한 액세스를 허용하거나 거부하는 상태 증명 서비스를 쿼리하도록 MDM 서버를 구성할 수 있습니다.

디바이스에서 검사 수 있는 몇 가지 보안 문제는 다음과 같습니다.

  • 데이터 실행 방지가 지원되며 사용 중인지 여부
  • BitLocker 드라이브 암호화가 지원되며 사용 중인지 여부
  • SecureBoot가 지원되며 사용 중인지 여부

참고

Windows는 TPM 2.0을 사용하여 디바이스 상태 증명을 지원합니다. TPM 2.0에는 UEFI 펌웨어가 필요합니다. 레거시 BIOS 및 TPM 2.0이 있는 디바이스는 예상대로 작동하지 않습니다.

디바이스 상태 증명에 지원되는 버전

TPM 버전 Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= ver 1607 >= ver 1607
TPM 2.0