다음을 통해 공유


BitLocker 구성

BitLocker를 구성하려면 다음 옵션 중 하나를 사용할 수 있습니다.

참고

Windows Server는 CSP 또는 Microsoft Configuration Manager 사용하여 BitLocker의 구성을 지원하지 않습니다. 대신 GPO를 사용합니다.

대부분의 BitLocker 정책 설정은 CSP 및 GPO를 모두 사용하여 구성할 수 있지만 옵션 중 하나를 사용하여만 사용할 수 있는 몇 가지 설정이 있습니다. CSP 및 GPO 모두에 사용할 수 있는 정책 설정에 대해 알아보려면 BitLocker 정책 설정 섹션을 검토하세요.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 BitLocker 관리를 지원하는 Windows 버전이 나와 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

BitLocker 관리 라이선스 자격은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
아니오

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

BitLocker 정책 설정

이 섹션에서는 CSP(구성 서비스 공급자) 및 GPO(그룹 정책)를 통해 BitLocker를 구성하는 정책 설정에 대해 설명합니다.

중요

BitLocker 정책 설정의 대부분은 BitLocker가 드라이브에 대해 처음 켜져 있을 때 적용됩니다. 설정이 변경되면 암호화가 다시 시작되지 않습니다.

정책 설정 목록

설정 목록은 사전순으로 정렬되고 네 가지 범주로 구성됩니다.

  • 일반 설정: 모든 BitLocker 보호 드라이브에 적용할 수 있는 설정
  • 운영 체제 드라이브: Windows가 설치된 드라이브에 적용되는 설정
  • 고정 데이터 드라이브: 운영 체제 드라이브를 제외한 모든 로컬 드라이브에 적용되는 설정
  • 이동식 데이터 드라이브: 이동식 드라이브에 적용할 수 있는 설정

탭 중 하나를 선택하여 사용 가능한 설정 목록을 확인합니다.

다음 표에서는 모든 드라이브 유형에 적용할 수 있는 BitLocker 정책을 나열하여 CSP(구성 서비스 공급자) 및/또는 GPO(그룹 정책)를 통해 적용 가능한지 여부를 나타냅니다. 자세한 내용은 정책 이름을 선택합니다.

정책 이름 CSP Gpo
표준 사용자 암호화 허용
복구 암호에 대한 기본 폴더 선택
드라이브 암호화 방법 및 암호 강도 선택
복구 암호 회전 구성
이 컴퓨터가 잠겨 있을 때 새 DMA 디바이스 사용 안 함
다시 시작할 때 메모리 덮어쓰기 방지
organization 고유 식별자 제공
디바이스 암호화 필요
스마트 카드 인증서 사용 규칙 준수 유효성 검사

표준 사용자 암호화 허용

이 정책을 사용하면 현재 로그온한 사용자에게 관리 권한이 없는 동안 정책이 적용되는 시나리오에 디바이스 암호화 필요 정책을 적용할 수 있습니다.

중요

표준 사용자 암호화를 허용하려면 다른 디스크 암호화에 대한 경고 허용 정책을 사용하지 않도록 설정해야 합니다.

경로
CSP ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Gpo 사용할 수 없음

복구 암호에 대한 기본 폴더 선택

BitLocker 드라이브 암호화 설정 마법사에서 복구 암호를 저장할 폴더의 위치를 입력하라는 메시지를 표시할 때 표시되는 기본 경로를 지정합니다. 정규화된 경로를 지정하거나 경로에 대상 컴퓨터의 환경 변수를 포함할 수 있습니다.

  • 경로가 유효하지 않으면 BitLocker 설정 마법사에 컴퓨터의 최상위 폴더 보기가 표시됩니다.
  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 사용자가 폴더에 복구 암호를 저장하는 옵션을 선택하면 BitLocker 설정 마법사에 컴퓨터의 최상위 폴더 보기가 표시됩니다.

참고

이 정책 설정으로 인해 사용자가 복구 암호를 다른 폴더에 저장할 수 없습니다.

경로
CSP 사용할 수 없음
Gpo 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화

드라이브 암호화 방법 및 암호 강도 선택

이 정책을 사용하면 고정 데이터 드라이브, 운영 체제 드라이브 및 이동식 데이터 드라이브에 대한 암호화 알고리즘 및 키 암호 강도를 개별적으로 구성할 수 있습니다.

권장 설정: XTS-AES 모든 드라이브에 대한 알고리즘입니다. 키 크기( 128비트 또는 256비트)의 선택은 디바이스의 성능에 따라 달라집니다. 성능이 더 높은 하드 드라이브 및 CPU의 경우 256비트 키를 선택하고 성능이 낮은 경우 128을 사용합니다.

중요

키 크기는 규제 기관 또는 업계에서 필요할 수 있습니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker는 의 XTS-AES 128-bit기본 암호화 방법을 사용합니다.

참고

이 정책은 암호화된 드라이브에는 적용되지 않습니다. 암호화된 드라이브는 분할하는 동안 드라이브에 의해 설정된 자체 알고리즘을 활용합니다.

경로
CSP ./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
Gpo 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화

복구 암호 회전 구성

이 정책을 사용하면 MICROSOFT ENTRA 조인된 디바이스 및 Microsoft Entra 하이브리드 조인 디바이스에서 OS 및 고정 드라이브에 사용할 때 숫자 복구 암호 회전을 구성할 수 있습니다.

가능한 값은 다음과 같습니다.

  • 0: 숫자 복구 암호 회전이 꺼져 있습니다.
  • 1: Microsoft Entra 조인된 디바이스에 대해 사용 시 숫자 복구 암호 회전이 집니다. 이 값도 기본값입니다.
  • 2: 사용 시 숫자 복구 암호 회전은 Microsoft Entra 조인된 디바이스와 Microsoft Entra 하이브리드 조인 디바이스 모두에 대해 켜집니다.

참고

이 정책은 복구 암호에 대한 Micropsoft Entra ID 또는 Active Directory 백업이 필요하도록 구성된 경우에만 적용됩니다.

  • OS 드라이브의 경우: 운영 체제 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 사용
  • 고정 드라이브의 경우: "고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요.
경로
CSP ./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
Gpo 사용할 수 없음

이 컴퓨터가 잠겨 있을 때 새 DMA 디바이스 사용 안 함

이 정책 설정은 사용자가 Windows에 로그인할 때까지 모든 핫 플러그형 PCI 포트에 대한 DMA(직접 메모리 액세스)를 차단합니다.

사용자가 로그인하면 Windows는 호스트 Thunderbolt PCI 포트에 연결된 PCI 디바이스를 열거합니다. 사용자가 디바이스를 잠그면 사용자가 다시 로그인할 때까지 자식 디바이스가 없는 핫 플러그 Thunderbolt PCI 포트에서 DMA가 차단됩니다.

디바이스가 잠금 해제되었을 때 이미 열거된 디바이스는 분리되거나 시스템이 다시 부팅되거나 최대 절전 모드가 될 때까지 계속 작동합니다.

이 정책 설정은 BitLocker 또는 디바이스 암호화를 사용하도록 설정한 경우에만 적용됩니다.

중요

이 정책은 커널 DMA 보호와 호환되지 않습니다. 커널 DMA 보호는 시스템에 더 높은 보안을 제공하므로 시스템에서 커널 DMA 보호를 지원하는 경우 이 정책을 사용하지 않도록 설정하는 것이 좋습니다. 커널 DMA 보호에 대한 자세한 내용은 커널 DMA 보호를 참조하세요.

경로
CSP 사용할 수 없음
Gpo 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화

다시 시작할 때 메모리 덮어쓰기 방지

이 정책 설정은 디바이스가 다시 시작될 때 컴퓨터의 메모리를 덮어쓸지 여부를 제어하는 데 사용됩니다. BitLocker 비밀에는 데이터를 암호화하는 데 사용되는 키 자료가 포함됩니다.

  • 이 정책 설정을 사용하도록 설정하면 컴퓨터가 다시 시작될 때 메모리를 덮어쓰지 않습니다. 메모리 덮어쓰기를 방지하면 다시 시작 성능이 향상되지만 BitLocker 비밀이 노출될 위험이 높아질 수 있습니다.
  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 컴퓨터가 다시 시작될 때 BitLocker 비밀이 메모리에서 제거됩니다.

참고

이 정책 설정은 BitLocker 보호를 사용하는 경우에만 적용됩니다.

경로
CSP 사용할 수 없음
Gpo 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화

organization 고유 식별자 제공

이 정책 설정을 사용하면 고유한 조직 식별자를 BitLocker로 암호화된 드라이브에 연결할 수 있습니다. 식별자는 식별 필드허용되는 식별 필드로 저장됩니다.

  • 식별 필드를 사용하면 고유한 조직 식별자를 BitLocker로 보호된 드라이브에 연결할 수 있습니다. 이 식별자는 새 BitLocker로 보호되는 드라이브에 자동으로 추가되며 BitLocker 드라이브 암호화: 구성 도구 (manage-bde.exe)를 사용하여 기존 BitLocker로 보호된 드라이브에서 업데이트할 수 있습니다.
  • 허용되는 식별 필드는 BitLocker 정책 설정으로 보호되지 않는 이동식 드라이브에 대한 쓰기 권한 거부 정책 설정과 함께 사용하여 organization 이동식 드라이브의 사용을 제어하는 데 도움이 됩니다. organization 또는 기타 외부 조직에서 식별 필드의 쉼표로 구분된 목록입니다. 를 사용하여 manage-bde.exe기존 드라이브에서 식별 필드를 구성할 수 있습니다.

이 정책 설정을 사용하도록 설정하면 BitLocker로 보호된 드라이브의 식별 필드와 organization 사용되는 모든 허용 식별 필드를 구성할 수 있습니다. BitLocker로 보호된 드라이브가 다른 BitLocker 사용 디바이스에 탑재되면 식별 필드와 허용된 식별 필드를 사용하여 드라이브가 다른 organization 있는지 여부를 확인합니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 식별 필드가 필요하지 않습니다.

중요

BitLocker로 보호되는 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하려면 식별 필드가 필요합니다. BitLocker는 ID 필드가 드라이브에 있고 디바이스에 구성된 값과 동일한 경우에만 인증서 기반 데이터 복구 에이전트를 관리하고 업데이트합니다. 식별 필드는 260자 이하의 값일 수 있습니다.

경로
CSP ./Device/Vendor/MSFT/BitLocker/IdentificationField
Gpo 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화

디바이스 암호화 필요

이 정책 설정은 BitLocker가 필요한지 여부를 결정합니다.

  • 사용하도록 설정하면 다른 디스크 암호화 정책에 대한 경고 허용에 따라 모든 드라이브에서 자동으로 또는 비 자동 으로 암호화 가 트리거됩니다.
  • 사용하지 않도록 설정하면 시스템 드라이브에 대해 BitLocker가 꺼져 있지 않지만 사용자에게 BitLocker를 켜라는 메시지가 표시되지 않습니다.

참고

일반적으로 BitLocker는 드라이브 암호화 선택 방법 및 암호 강도 정책 구성을 따릅니다. 그러나 고정 드라이브를 자체 암호화하고 OS 드라이브를 자체 암호화하는 경우 이 정책 설정은 무시됩니다.

암호화 가능한 고정 데이터 볼륨은 OS 볼륨과 유사하게 처리되지만 암호화 가능하려면 다른 조건을 충족해야 합니다.

  • 동적 볼륨이 아니어야 합니다.
  • 복구 파티션이 아니어야 합니다.
  • 숨겨진 볼륨이 아니어야 합니다.
  • 시스템 파티션이 아니어야 합니다.
  • 가상 스토리지에서 백업해서는 안 됩니다.
  • BCD 저장소에 참조가 없어야 합니다.

참고

자동 암호화에 이 정책을 사용하는 경우 전체 디스크 암호화만 지원됩니다. 비 자동 암호화의 경우 암호화 유형은 운영 체제 드라이브에 드라이브 암호화 유형 적용 및 디바이스에 구성된 고정 데이터 드라이브 정책에 드라이브 암호화 유형 적용 에 따라 달라집니다.

경로
CSP ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Gpo 사용할 수 없음

스마트 카드 인증서 사용 규칙 준수 유효성 검사

이 정책 설정은 스마트 카드 인증서의 OID(개체 식별자)를 BitLocker로 보호된 드라이브에 연결하여 BitLocker에서 사용할 인증서를 결정하는 데 사용됩니다. 개체 식별자는 인증서의 EKU(향상된 키 사용량)에 지정됩니다.

BitLocker는 인증서의 개체 식별자를 이 정책 설정으로 정의된 개체 식별자와 일치시켜 사용자 인증서를 BitLocker로 보호된 드라이브에 인증하는 데 사용할 수 있는 인증서를 식별할 수 있습니다. 기본 OID는 입니다 1.3.6.1.4.1.311.67.1.1.

이 정책 설정을 사용하도록 설정하면 개체 식별자 필드에 지정된 개체 식별자가 스마트 카드 인증서의 개체 식별자와 일치해야 합니다. 이 정책 설정을 사용하지 않거나 구성하지 않으면 기본 OID가 사용됩니다.

참고

BitLocker는 인증서에 EKU 특성이 필요하지 않습니다. 그러나 인증서에 대해 구성된 경우 BitLocker에 대해 구성된 개체 식별자와 일치하는 개체 식별자로 설정해야 합니다.

경로
CSP 사용할 수 없음
Gpo 컴퓨터 구성>관리 템플릿>Windows 구성 요소>BitLocker 드라이브 암호화

BitLocker 및 정책 설정 준수

디바이스가 구성된 정책 설정을 준수하지 않는 경우 BitLocker가 켜지지 않거나 디바이스가 호환 상태가 될 때까지 BitLocker 구성이 수정될 수 있습니다. 드라이브가 정책 설정을 준수하지 않는 경우 규정 준수로 가져올 BitLocker 구성 변경만 허용됩니다. 예를 들어 이전에 암호화된 드라이브가 정책 설정 변경에 의해 비준수되는 경우 이러한 시나리오가 발생할 수 있습니다.

드라이브를 준수하기 위해 여러 변경이 필요한 경우 BitLocker 보호를 일시 중단해야 하고 필요한 변경 내용을 적용한 다음 보호를 다시 시작해야 할 수 있습니다. 예를 들어, 이동식 드라이브가 처음에 암호로 잠금 해제되도록 구성된 다음 스마트 카드가 필요하도록 정책 설정이 변경되는 경우 이러한 상황이 발생할 수 있습니다. 이 시나리오에서는 BitLocker 보호를 일시 중단하고 암호 잠금 해제 방법을 삭제한 다음 스마트 카드 메서드를 추가해야 합니다. 이 프로세스가 완료되면 BitLocker가 정책 설정을 준수하고 드라이브에서 BitLocker 보호를 다시 시작합니다.

다른 시나리오에서는 드라이브가 정책 설정 변경을 준수하도록 하려면 BitLocker를 사용하지 않도록 설정하고 드라이브의 암호를 해독한 다음 BitLocker를 다시 사용하도록 설정한 다음 드라이브를 다시 암호화해야 할 수 있습니다. 이 시나리오의 예는 BitLocker 암호화 방법 또는 암호 강도가 변경되는 경우입니다.

BitLocker를 관리하는 방법에 대한 자세한 내용은 BitLocker 작업 가이드를 검토하세요.

서버 구성 및 관리

서버는 종종 PowerShell을 사용하여 배포, 구성 및 관리됩니다. 그룹 정책 설정을 사용하여 서버에서 BitLocker를 구성하고 PowerShell을 사용하여 BitLocker를 관리하는 것이 좋습니다.

BitLocker는 Windows Server의 선택적 구성 요소입니다. Windows Server에 BitLocker 설치의 지침에 따라 BitLocker 선택적 구성 요소를 추가합니다.

최소 서버 인터페이스는 일부 BitLocker 관리 도구에서 필수 조건입니다. Server Core 설치 시 필요한 GUI 구성 요소를 먼저 추가해야 합니다. Server Core에 셸 구성 요소를 추가하는 절차는 업데이트된 시스템과 패치 적용 이미지에서 주문형 기능 사용로컬 소스 미디어를 업데이트하여 역할 및 기능을 추가하는 방법에 설명되어 있습니다. 서버를 수동으로 설치한 경우 Server Core에 GUI를 추가하는 단계를 수행하지 않기 때문에 데스크톱 환경 이 있는 서버를 선택하는 것이 가장 쉬운 경로입니다.

조명이 꺼진 데이터 센터는 두 번째 요소의 향상된 보안을 활용하는 동시에 필요에 따라 BitLocker(TPM+PIN) 및 BitLocker 네트워크 잠금 해제의 조합을 사용하여 다시 부팅하는 동안 사용자 개입이 필요하지 않도록 할 수 있습니다. BitLocker 네트워크 잠금 해제는 신뢰할 수 있는 위치에 있는 동안 하드웨어 보호, 위치 종속성은 및 자동 잠금 해제의 최고 장점을 하나로 통합합니다. 구성 단계는 네트워크 잠금 해제를 참조하세요.

다음 단계

BitLocker 작업 가이드를 검토하여 다양한 도구를 사용하여 BitLocker를 관리하고 운영하는 방법을 알아봅니다.

BitLocker 작업 가이드 >