BitLocker 계획 가이드
BitLocker 배포 전략에는 organization 보안 요구 사항에 따라 적절한 정책 및 구성 요구 사항을 정의하는 것이 포함됩니다. 이 문서는 BitLocker 배포를 지원하기 위해 정보를 수집하는 데 도움이 됩니다.
환경 감사
BitLocker 배포를 계획하려면 현재 환경을 이해합니다. 비공식 감사를 수행하여 현재 정책, 절차 및 하드웨어 환경을 정의합니다. 기존 디스크 암호화 소프트웨어 및 organization 보안 정책을 검토합니다. organization 디스크 암호화 소프트웨어를 사용하지 않는 경우 이러한 정책이 존재하지 않을 수 있습니다. 디스크 암호화 소프트웨어를 사용하는 경우 특정 BitLocker 기능을 사용하도록 정책을 변경해야 할 수 있습니다.
organization 현재 디스크 암호화 보안 정책을 문서화하는 데 도움이 되도록 다음 질문에 답변하세요.
☑️ | 질문 |
---|---|
🔲 | BitLocker를 사용해야 하는 디바이스와 그렇지 않은 디바이스를 결정하는 정책이 있나요? |
🔲 | 복구 암호 및 복구 키 스토리지를 제어하기 위한 정책은 무엇인가요? |
🔲 | BitLocker 복구를 수행해야 하는 사용자의 ID 유효성을 검사하기 위한 정책은 무엇인가요? |
🔲 | organization 복구 데이터에 액세스할 수 있는 사용자를 제어하기 위한 정책은 무엇인가요? |
🔲 | 디바이스의 서비스 해제 또는 사용 중지를 제어하기 위한 정책은 무엇인가요? |
🔲 | 어떤 암호화 알고리즘 강도가 있나요? |
암호화 키 및 인증
TPM(신뢰할 수 있는 플랫폼 모듈)은 제조업체가 많은 Windows 디바이스에 설치한 하드웨어 구성 요소입니다. BitLocker와 함께 작동하여 사용자 데이터를 보호하고 시스템이 오프라인 상태인 동안 디바이스가 변조되지 않았는지 확인합니다.
BitLocker는 사용자가 PIN(개인 식별 번호)을 제공하거나 시작 키가 포함된 이동식 USB 디바이스를 삽입할 때까지 일반 시작 프로세스를 잠글 수 있습니다. 이러한 추가 보안 조치는 다단계 인증을 제공합니다. 또한 올바른 PIN 또는 시작 키가 표시될 때까지 컴퓨터가 최대 절전 모드에서 시작 또는 다시 시작되지 않도록 합니다.
TPM이 없는 디바이스에서는 BitLocker를 사용하여 Windows 운영 체제 볼륨을 암호화할 수 있습니다. 그러나 이 구현은 TPM으로 작업하는 BitLocker에서 제공하는 시작 전 시스템 무결성 확인을 제공하지 않습니다.
대부분의 보안 제어와 마찬가지로 정보 보호의 효과적인 구현은 유용성과 보안을 고려합니다. 사용자는 일반적으로 간단한 보안 환경을 선호합니다. 실제로 보안 솔루션이 투명해질수록 사용자가 이를 준수할 가능성이 높아집니다.
조직은 디바이스의 상태 또는 사용자의 의도에 관계없이 디바이스에 대한 정보를 보호하는 것이 중요합니다. 이 보호는 사용자에게 번거로울 수 없습니다. 바람직하지 않고 이전에는 일반적인 상황 중 하나는 사용자가 사전 부팅 중에 입력하라는 메시지를 표시한 다음 Windows 로그인 중에 다시 입력하라는 메시지가 표시되는 경우입니다. 입력에 도전하는 사용자는 두 번 이상 사용하지 않아야 합니다.
TPM은 미사용 상태인 동안 BitLocker 암호화 키를 안전하게 보호할 수 있으며 운영 체제 드라이브의 잠금을 안전하게 해제할 수 있습니다. 키를 사용 중이므로 메모리에 하드웨어와 Windows 기능의 조합으로 키를 보호하고 콜드 부팅 공격을 통해 무단 액세스를 방지할 수 있습니다. PIN 기반 잠금 해제와 같은 다른 대책을 사용할 수 있지만 사용자에게 친숙하지는 않습니다. 디바이스의 구성에 따라 키 보호와 관련하여 더 많은 보안을 제공하지 않을 수 있습니다. 자세한 내용은 BitLocker 대책을 참조하세요.
BitLocker 키 보호기
BitLocker 암호화 키를 보호하기 위해 BitLocker는 다양한 유형의 보호기를 사용할 수 있습니다. BitLocker를 사용하도록 설정하면 각 보호기는 볼륨 마스터 키의 복사본을 받은 다음, 자체 메커니즘을 사용하여 암호화됩니다.
키 보호기 | 설명 |
---|---|
자동 잠금 해제 | 운영 체제를 호스트하지 않는 볼륨의 잠금을 자동으로 해제하는 데 사용됩니다. BitLocker는 레지스트리 및 볼륨 메타데이터에 저장된 암호화된 정보를 사용하여 자동 잠금 해제를 사용하는 모든 데이터 볼륨의 잠금을 해제합니다. |
OS 드라이브의 암호 및 암호 | 드라이브의 잠금을 해제하려면 사용자가 암호를 제공해야 합니다. OS 드라이브에 사용할 경우 사용자에게 프리부트 화면에서 암호를 묻는 메시지가 표시됩니다. 이 메서드는 잠금 논리를 제공하지 않으므로 무차별 암호 대입 공격으로부터 보호하지 않습니다. |
시작 키 | 파일 이름 형식 <protector_id>.bek 이 인 이동식 미디어에 저장할 수 있는 암호화 키입니다. 복구 키 및/또는 시작 키가 있는 USB 플래시 드라이브에 대한 메시지가 사용자에게 표시되고 디바이스를 다시 부팅합니다. |
스마트 카드 인증서 | 운영 체제를 호스트하지 않는 볼륨의 잠금을 해제하는 데 사용됩니다. 드라이브의 잠금을 해제하려면 사용자가 스마트 카드 사용해야 합니다. |
TPM | 보안 신뢰 루트를 설정하는 데 사용되는 하드웨어 디바이스로, 초기 부팅 구성 요소의 유효성을 검사합니다. TPM 보호기는 OS 드라이브에서만 사용할 수 있습니다. |
TPM + PIN | 사용자가 입력한 숫자 또는 영숫자 키 보호기는 OS 볼륨과 TPM 외에만 사용할 수 있습니다. TPM은 초기 부팅 구성 요소의 유효성을 검사합니다. 시작 프로세스를 계속하기 전과 드라이브를 잠금 해제하기 전에 사용자가 올바른 PIN을 입력해야 합니다. 잘못된 PIN을 반복적으로 입력하면 TPM이 잠금 상태가 되어 무차별 암호 대입 공격으로부터 PIN을 보호합니다. 잠금을 트리거하는 반복된 시도 횟수는 변수입니다. |
TPM + 시작 키 | TPM은 초기 부팅 구성 요소의 유효성을 성공적으로 검사합니다. 사용자는 OS가 부팅되기 전에 시작 키가 포함된 USB 드라이브를 삽입해야 합니다. |
TPM + 시작 키 + PIN | TPM은 초기 부팅 구성 요소의 유효성을 성공적으로 검사합니다. OS가 부팅되기 전에 사용자가 올바른 PIN을 입력하고 시작 키가 포함된 USB 드라이브를 삽입해야 합니다. |
복구 암호 | 복구 모드에 있을 때 볼륨의 잠금을 해제하는 데 사용되는 48자리 숫자입니다. 일반 키보드에 숫자를 입력할 수 있는 경우가 많습니다. 일반 키보드의 숫자가 응답하지 않는 경우 함수 키(F1-F10)를 사용하여 숫자를 입력할 수 있습니다. |
TPM + 네트워크 키 | TPM은 초기 부팅 구성 요소의 유효성을 성공적으로 검사하고 WDS 서버에서 유효한 암호화된 네트워크 키를 제공했습니다. 이 인증 방법은 다단계 인증을 유지하면서 OS 볼륨의 자동 잠금 해제를 제공합니다. 이 키 보호기는 OS 볼륨에서만 사용할 수 있습니다. |
복구 키 | BitLocker 볼륨에서 암호화된 데이터를 복구하는 데 사용할 수 있는 이동식 미디어에 저장된 암호화 키입니다. 파일 이름 형식은 입니다 <protector_id>.bek . |
데이터 복구 에이전트 | DRA(데이터 복구 에이전트)는 인증서를 사용하여 BitLocker로 보호되는 드라이브의 암호를 해독할 수 있는 계정입니다. BitLocker로 보호된 드라이브의 복구는 적절한 인증서로 구성된 데이터 복구 에이전트에서 수행할 수 있습니다. |
Active Directory 사용자 또는 그룹 | Active Directory 사용자 또는 SID(그룹 보안)를 기반으로 하는 보호기입니다. 이러한 사용자가 액세스하려고 하면 데이터 드라이브가 자동으로 잠금 해제됩니다. |
TPM이 없는 디바이스 지원
환경에 TPM 1.2 이상의 버전이 없는 컴퓨터가 지원되는지 여부를 결정합니다. TPM 없이 디바이스를 지원하려는 경우 사용자는 USB 시작 키 또는 암호를 사용하여 시스템을 부팅해야 합니다. 시작 키에는 다단계 인증과 유사한 추가 지원 프로세스가 필요합니다.
데이터 보호의 기준 수준이 필요한 organization 영역은 무엇인가요?
TPM 전용 인증 방법은 보안 정책을 충족하기 위해 기준 수준의 데이터 보호가 필요한 조직에 가장 투명한 사용자 환경을 제공합니다. 총 소유 비용이 가장 낮습니다. TPM 전용은 무인이거나 무인으로 다시 부팅해야 하는 디바이스에도 더 적합할 수 있습니다.
그러나 TPM 전용 인증 방법은 높은 수준의 데이터 보호를 제공하지 않습니다. 이 인증 방법은 초기 부팅 구성 요소를 수정하는 공격으로부터 보호합니다. 그러나 보호 수준은 하드웨어 또는 초기 부팅 구성 요소의 잠재적인 약점에 의해 영향을 받을 수 있습니다. BitLocker의 다단계 인증 방법은 전체 데이터 보호 수준을 크게 높입니다.
팁
TPM 전용 인증의 장점은 디바이스가 사용자 상호 작용 없이 Windows를 부팅할 수 있다는 것입니다. 디바이스를 분실하거나 도난당한 경우 이 구성의 장점이 있을 수 있습니다. 디바이스가 인터넷에 연결된 경우 Microsoft Intune 같은 디바이스 관리 솔루션으로 원격으로 초기화할 수 있습니다.
더 안전한 수준의 데이터 보호가 필요한 organization 영역은 무엇인가요?
매우 중요한 데이터가 있는 디바이스가 있는 경우 해당 시스템에 다단계 인증을 사용하여 BitLocker를 배포합니다. 사용자가 PIN을 입력하도록 요구하면 시스템에 대한 보호 수준이 크게 증가합니다. BitLocker 네트워크 잠금 해제를 사용하여 네트워크 잠금 해제 키를 제공할 수 있는 신뢰할 수 있는 유선 네트워크에 연결된 경우 이러한 디바이스가 자동으로 잠금 해제되도록 할 수도 있습니다.
organization 선호하는 다단계 인증 방법은 무엇인가요?
다단계 인증 방법에서 제공하는 보호 차이는 쉽게 정량화할 수 없습니다. 각 인증 방법이 기술 지원팀 지원, 사용자 교육, 사용자 생산성 및 자동화된 시스템 관리 프로세스에 미치는 영향을 고려합니다.
암호 및 PIN 관리
시스템 드라이브에서 BitLocker를 사용하도록 설정하고 디바이스에 TPM이 있는 경우 BitLocker가 드라이브를 잠금 해제하기 전에 사용자가 PIN을 입력해야 할 수 있습니다. 이러한 PIN 요구 사항은 디바이스에 물리적으로 액세스할 수 있는 공격자가 Windows 로그인에 액세스하는 것을 막을 수 있으므로 공격자가 사용자 데이터 및 시스템 파일에 액세스하거나 수정하는 것은 거의 불가능합니다.
시작 시 PIN을 요구하는 것은 두 번째 인증 요소 역할을 하므로 유용한 보안 기능입니다. 그러나 이 구성에는 특히 PIN을 정기적으로 변경해야 하는 경우 약간의 비용이 발생합니다.
또한 최신 대기 디바이스는 시작에 PIN이 필요하지 않습니다. 자주 시작하지 않고 시스템의 공격 표면을 더 줄이는 다른 완화를 제공하도록 설계되었습니다.
시작 보안 작동 방식 및 Windows에서 제공하는 대책에 대한 자세한 내용은 Preboot 인증을 참조하세요.
TPM 하드웨어 구성
배포 계획에서 지원되는 TPM 기반 하드웨어 플랫폼을 식별합니다. organization 사용하는 OEM의 하드웨어 모델을 문서화하여 구성을 테스트하고 지원합니다. TPM 하드웨어는 계획 및 배포의 모든 측면에서 특별히 고려해야 합니다.
TPM 1.2 상태 및 초기화
TPM 1.2의 경우 여러 가지 가능한 상태가 있습니다. Windows는 TPM을 자동으로 초기화하여 사용하도록 설정, 활성화 및 소유된 상태로 가져옵니다. 이 상태는 BitLocker가 TPM을 사용하기 전에 필요한 상태입니다.
인증 키
BitLocker에서 TPM을 사용하려면 RSA 키 쌍인 인증 키가 포함되어야 합니다. 키 쌍의 프라이빗 절반은 TPM 내부에 보관되며 TPM 외부에서 공개되거나 액세스할 수 없습니다. TPM에 인증 키가 없는 경우 BitLocker는 BitLocker 설정의 일부로 TPM이 자동으로 생성되도록 합니다.
인증 키는 TPM 수명 주기의 다양한 지점에서 만들 수 있지만 TPM의 수명 동안 한 번만 만들어야 합니다. TPM에 대한 인증 키가 없는 경우 TPM 소유권을 가져오기 전에 만들어야 합니다.
TPM 및 TCG에 대한 자세한 내용은 신뢰할 수 있는 컴퓨팅 그룹: TPM(신뢰할 수 있는 플랫폼 모듈) 사양을 참조하세요.
TPM이 아닌 하드웨어 구성
TPM이 없는 디바이스는 시작 키를 사용하여 드라이브 암호화로 계속 보호할 수 있습니다.
다음 질문을 사용하여 TPM이 아닌 구성의 배포에 영향을 줄 수 있는 문제를 식별합니다.
- 이러한 각 디바이스에 대한 USB 플래시 드라이브에 대한 예산이 있나요?
- 기존 비TPM 디바이스는 부팅 시 USB 드라이브를 지원합니까?
BitLocker를 사용하도록 설정하는 동안 BitLocker 시스템 검사 옵션을 사용하여 개별 하드웨어 플랫폼을 테스트합니다. 시스템 검사 BitLocker가 볼륨을 암호화하기 전에 USB 디바이스 및 암호화 키에서 복구 정보를 올바르게 읽을 수 있는지 확인합니다.
디스크 구성 고려 사항
올바르게 작동하려면 BitLocker에 특정 디스크 구성이 필요합니다. BitLocker에는 다음 요구 사항을 충족하는 두 개의 파티션이 필요합니다.
- 운영 체제 파티션에는 운영 체제 및 해당 지원 파일이 포함됩니다. NTFS 파일 시스템으로 포맷해야 합니다.
- 시스템 파티션(또는 부팅 파티션)에는 BIOS 또는 UEFI 펌웨어가 시스템 하드웨어를 준비한 후 Windows를 로드하는 데 필요한 파일이 포함됩니다. BitLocker는 이 파티션에서 사용할 수 없습니다. BitLocker가 작동하려면 시스템 파티션을 암호화해서는 안 되며 운영 체제와 다른 파티션에 있어야 합니다. UEFI 플랫폼에서 시스템 파티션은 FAT 32 파일 시스템으로 포맷되어야 합니다. BIOS 플랫폼에서 시스템 파티션은 NTFS 파일 시스템으로 포맷되어야 합니다. 크기가 350MB 이상이어야 합니다.
Windows 설치 프로그램은 BitLocker 암호화를 지원하도록 컴퓨터의 디스크 드라이브를 자동으로 구성합니다.
Windows 복구 환경(Windows RE)은 Windows PE(Windows 사전 설치 환경)를 기반으로 하는 확장 가능한 복구 플랫폼입니다. 컴퓨터가 시작되지 않으면 Windows가 자동으로 이 환경으로 전환되고 Windows RE 시작 복구 도구는 부팅할 수 없는 Windows 설치의 진단 및 복구를 자동화합니다. Windows RE 복구 키 또는 복구 암호를 제공하여 BitLocker로 보호되는 볼륨의 잠금을 해제하는 데 필요한 드라이버와 도구도 포함되어 있습니다. BitLocker에서 Windows RE 사용하려면 Windows RE 부팅 이미지가 BitLocker로 보호되지 않는 볼륨에 있어야 합니다.
Windows RE 로컬 하드 디스크 이외의 부팅 미디어에서도 사용할 수 있습니다. Windows RE BitLocker 사용 컴퓨터의 로컬 하드 디스크에 설치되지 않은 경우 다른 방법을 사용하여 Windows RE 부팅할 수 있습니다. 예를 들어 WDS(Windows 배포 서비스) 또는 USB 플래시 드라이브를 복구에 사용할 수 있습니다.
BitLocker 프로비저닝
관리자는 WinPE( Windows 사전 설치 환경 )에서 운영 체제 배포 전에 BitLocker를 사용하도록 설정할 수 있습니다. 이 단계는 형식이 지정된 볼륨에 임의로 생성된 지우기 키 보호기를 사용하여 수행됩니다. Windows 설치 프로세스를 실행하기 전에 볼륨을 암호화합니다. 암호화에서 사용된 디스크 공간만 옵션을 사용하는 경우 이 단계는 몇 초밖에 걸리지 않으며 기존 배포 프로세스에 통합할 수 있습니다. 사전 프로비전하려면 TPM이 필요합니다.
관리자는 특정 볼륨의 BitLocker 상태 검사 위해 BitLocker 제어판 애플릿 또는 Windows Explorer 드라이브 상태 확인할 수 있습니다.
활성화 대기 상태 드라이브가 BitLocker에 대해 미리 프로비전되었으며 볼륨을 암호화하는 데 사용되는 명확한 보호기만 있음을 의미합니다. 이 경우 볼륨이 보호되지 않으며 드라이브가 완전히 보호된 것으로 간주되기 전에 볼륨에 보안 키를 추가해야 합니다. 관리자는 제어판 옵션, PowerShell cmdlet, manage-bde.exe
도구 또는 WMI API를 사용하여 적절한 키 보호기를 추가할 수 있습니다. 그런 다음 볼륨 상태 업데이트됩니다.
제어판 옵션을 사용하는 경우 관리자는 BitLocker 켜기를 선택하고 마법사의 단계에 따라 운영 체제 볼륨에 대한 PIN(또는 TPM이 없는 경우 암호) 또는 암호 또는 스마트 카드 보호기와 같은 보호기를 데이터 볼륨에 추가할 수 있습니다. 그런 다음 볼륨 상태 변경하기 전에 드라이브 보안 창이 표시됩니다.
사용된 디스크 공간 전용 암호화
BitLocker 설치 마법사는 관리자가 볼륨에 BitLocker를 사용하도록 설정할 때 사용된 디스크 공간만 또는 전체 암호화 방법을 선택할 수 있는 기능을 제공합니다. 관리자는 BitLocker 정책 설정을 사용하여 사용된 디스크 공간만 또는 전체 디스크 암호화를 적용할 수 있습니다.
BitLocker 설치 마법사를 시작하면 인증 방법을 사용할지 묻는 메시지가 표시됩니다(암호 및 스마트 카드 데이터 볼륨에 사용할 수 있음). 메서드가 선택되고 복구 키가 저장되면 마법사는 드라이브 암호화 유형을 선택하도록 요청합니다. 사용된 디스크 공간만 또는 전체 드라이브 암호화를 선택합니다.
사용된 디스크 공간만 사용하면 데이터가 포함된 드라이브 부분만 암호화됩니다. 사용되지 않는 공간은 암호화되지 않은 상태로 유지됩니다. 이 동작으로 인해 특히 새 디바이스 및 데이터 드라이브의 경우 암호화 프로세스가 더 빨라집니다. 이 메서드를 사용하여 BitLocker를 사용하도록 설정하면 데이터가 드라이브에 추가되면 사용된 드라이브 부분이 암호화됩니다. 따라서 드라이브에 암호화되지 않은 데이터가 저장되지 않습니다.
전체 드라이브 암호화를 사용하면 데이터가 저장되는지 여부에 관계없이 전체 드라이브가 암호화됩니다. 이 옵션은 용도가 변경된 드라이브에 유용하며 이전 사용했던 데이터 잔재를 포함할 수 있습니다.
주의
기밀 데이터가 암호화되지 않은 상태로 이미 저장되었을 수 있는 기존 볼륨에서만 사용된 공간만 암호화할 때 주의해야 합니다. 사용된 공간 암호화를 사용하는 경우 이전에 암호화되지 않은 데이터가 저장된 섹터는 새 암호화된 데이터로 덮어쓸 때까지 디스크 복구 도구를 통해 복구할 수 있습니다. 반면, 새 볼륨에서 사용된 공간만 암호화하면 모든 새 데이터가 디스크에 기록될 때 암호화되므로 보안 위험 없이 배포 시간이 크게 단축될 수 있습니다.
암호화된 하드 드라이브 지원
암호화된 하드 드라이브는 드라이브의 데이터를 암호화하는 온보딩 암호화 기능을 제공합니다. 이 기능은 디바이스의 프로세서에서 드라이브 자체로 암호화 계산을 오프로드하여 드라이브 및 시스템 성능을 모두 향상시킵니다. 전용 전용 하드웨어를 사용하여 드라이브에 의해 데이터가 빠르게 암호화됩니다. Windows에서 전체 드라이브 암호화를 사용하려는 경우 하드 드라이브 제조업체 및 모델을 조사하여 암호화된 하드 드라이브가 보안 및 예산 요구 사항을 충족하는지 여부를 확인하는 것이 좋습니다.
암호화된 하드 드라이브에 대한 자세한 내용은 암호화된 하드 드라이브를 참조하세요.
Microsoft Entra ID 및 Active Directory Domain Services 고려 사항
BitLocker는 AD DS(Microsoft Entra ID 및 Active Directory Domain Services)와 통합되어 중앙 집중식 키 관리를 제공합니다. 기본적으로 복구 정보는 Microsoft Entra ID 또는 AD DS에 백업되지 않습니다. 관리자는 BitLocker 복구 정보의 백업을 사용하도록 각 드라이브 유형에 대한 정책 설정을 구성할 수 있습니다.
각 컴퓨터 개체에 대해 다음 복구 데이터가 저장됩니다.
- 복구 암호: BitLocker로 보호되는 볼륨을 복구하는 데 사용되는 48자리 복구 암호입니다. BitLocker가 복구 모드로 전환되면 볼륨의 잠금을 해제하려면 사용자가 이 암호를 입력해야 합니다.
- 키 패키지: 키 패키지와 복구 암호를 사용하면 디스크가 심하게 손상된 경우 BitLocker로 보호되는 볼륨의 일부를 암호 해독할 수 있습니다. 각 키 패키지는 생성된 볼륨에서만 작동하며 해당 볼륨 ID로 식별됩니다.
복구 암호 보호기를 위한 FIPS 지원
FIPS 모드에서 작동하도록 구성된 디바이스는 FIPS-140 NIST SP800-132 알고리즘을 사용하는 FIPS 규격 복구 암호 보호기를 만들 수 있습니다.
참고
미국 FIPS(Federal Information Processing Standard)는 미국 연방 정부가 사용하는 컴퓨터 시스템에 대한 보안 및 상호 운용성 요구 사항을 정의합니다. FIPS-140 표준은 승인된 암호화 알고리즘을 정의합니다. FIPS-140 표준은 키 생성 및 키 관리에 대한 요구 사항도 설정합니다. NIST(National Institute of Standards and Technology)는 CMVP(암호화 모듈 유효성 검사 프로그램)를 사용하여 암호화 알고리즘의 특정 구현이 FIPS-140 표준을 준수하는지 여부를 확인합니다. 암호화 알고리즘의 구현은 NIST 유효성 검사를 위해 제출되고 통과된 경우에만 FIPS-140 규격으로 간주됩니다. 제출되지 않은 알고리즘은 구현이 동일한 알고리즘의 유효성이 검사된 구현으로 동일한 데이터를 생성하는 경우에도 FIPS 규격으로 간주될 수 없습니다.
- FIPS 규격 복구 암호 보호기를 내보내고 AD DS에 저장할 수 있습니다.
- 복구 암호에 대한 BitLocker 정책 설정은 FIPS 모드에서든 아니든 BitLocker를 지원하는 모든 Windows 버전에서 동일하게 작동합니다.
네트워크 잠금 해제
일부 조직에는 위치별 데이터 보안 요구 사항이 있으며, 특히 값이 높은 데이터가 있는 환경에서는 특히 그렇습니다. 네트워크 환경은 중요한 데이터 보호를 제공하고 필수 인증을 적용할 수 있습니다. 따라서 정책은 해당 디바이스가 건물을 떠나거나 회사 네트워크에서 연결을 끊어서는 안 된다고 명시합니다. 물리적 보안 잠금 및 지오펜싱과 같은 보호 기능은 이 정책을 사후 제어로 적용하는 데 도움이 될 수 있습니다. 이러한 보호 외에도 디바이스가 회사 네트워크에 연결된 경우에만 데이터 액세스 권한을 부여하는 사전 보안 제어가 필요합니다.
네트워크 잠금 해제 를 사용하면 Windows 배포 서비스가 실행되는 유선 회사 네트워크에 연결된 경우 BitLocker로 보호된 디바이스가 자동으로 시작될 수 있습니다. 디바이스가 회사 네트워크에 연결되지 않을 때마다 사용자는 PIN을 입력하여 드라이브 잠금을 해제해야 합니다(PIN 기반 잠금 해제를 사용하는 경우). 네트워크 잠금 해제를 사용하려면 다음 인프라가 필요합니다.
- DHCP(동적 호스트 구성 프로토콜)를 지원하는 UEFI(Unified Extensible Firmware Interface) 펌웨어 버전 2.3.1 이상이 있는 클라이언트 디바이스
- WDS(Windows 배포 서비스) 역할을 실행하는 Windows Server
- DHCP 서버
네트워크 잠금 해제 기능을 구성하는 방법에 대한 자세한 내용은 네트워크 잠금 해제를 참조하세요.
BitLocker 복구
조직은 전체 BitLocker 구현 계획의 일부로 BitLocker 복구 전략을 신중하게 계획해야 합니다. BitLocker 복구 모델을 구현할 때는 BitLocker 복구 개요에 설명된 다양한 옵션이 있습니다.
BitLocker 모니터링
조직은 Microsoft Intune 또는 Configuration Manager 사용하여 여러 디바이스에서 디바이스 암호화를 모니터링할 수 있습니다. 자세한 내용은 Intune 사용하여 디바이스 암호화 모니터링 및 Configuration ManagerBitLocker 보고서 보기를 참조하세요.
다음 단계
organization 대한 BitLocker 복구 전략을 계획하는 방법을 알아봅니다.
BitLocker를 구성하는 사용 가능한 옵션과 CSP(구성 서비스 공급자) 또는 GPO(그룹 정책)를 통해 구성하는 방법에 대해 알아봅니다.