다음을 통해 공유

BitLocker 미리 부팅 복구 화면

BitLocker 복구 중에 미리 부팅 복구 화면 은 사용자에게 중요한 터치포인트로, 조직의 요구에 맞는 사용자 지정 복구 메시지, 추가 지원을 위한 직접 복구 URL 및 사용자가 복구 키를 찾는 데 도움이 되는 전략적 힌트를 제공합니다.

이 문서에서는 정책 설정 및 복구 키의 상태가 제공된 정보에 미치는 영향을 자세히 설명하여 시험판 복구 화면에 표시되는 다양한 요소를 자세히 설명합니다. 개인 설정된 메시지이든 실용적인 지침이든 관계없이 미리 부팅 복구 화면은 사용자의 복구 프로세스를 간소화하도록 설계되었습니다.

기본 시험판 복구 화면

기본적으로 BitLocker 복구 화면에는 일반 메시지와 URL https://aka.ms/recoverykeyfaq이 표시됩니다.

기본 BitLocker 복구 화면의 스크린샷

사용자 지정 복구 메시지

BitLocker 정책 설정을 사용하면 BitLocker 미리 부팅 복구 화면에서 사용자 지정 복구 메시지 및 URL을 구성할 수 있습니다. 사용자 지정 복구 메시지 및 URL에는 BitLocker 셀프 서비스 복구 포털의 주소, IT 내부 웹 사이트 또는 지원을 위한 전화 번호가 포함될 수 있습니다.

사용자 지정 복구 메시지로 구성된 BitLocker 정책 설정입니다.

사용자 지정 메시지를 보여 주는 BitLocker 복구 화면의 스크린샷

사용자 지정 복구 URL로 구성된 BitLocker 정책 설정입니다.

사용자 지정 URL을 보여 주는 BitLocker 복구 화면의 스크린샷

정책 설정을 사용하여 사용자 지정 복구 메시지를 구성하는 방법에 대한 자세한 내용은 preboot 복구 메시지 및 URL 구성을 참조하세요.

복구 키 힌트

BitLocker 메타데이터에는 BitLocker 복구 키가 저장된 시기와 위치에 대한 정보가 포함됩니다. 이 정보는 UI 또는 공용 API를 통해 노출되지 않습니다. 사용자가 볼륨의 복구 키를 찾는 데 도움이 되는 힌트 형태로 BitLocker 복구 화면에서만 사용됩니다. 힌트는 복구 화면에 표시되며 키가 저장된 위치를 참조합니다. 힌트는 부팅 관리자 복구 화면과 WinRE 잠금 해제 화면 모두에 적용됩니다.

복구 중에 표시되는 힌트를 처리하는 순서대로 제어하는 규칙이 있습니다.

  1. 정책 설정을 통해 구성된 경우 항상 사용자 지정 복구 메시지를 표시합니다.
  2. 항상 제네릭 힌트 표시: 자세한 내용은 으로 이동하세요https://aka.ms/recoverykeyfaq.
  3. 볼륨에 여러 복구 키가 있는 경우 마지막으로 만든(성공적으로 백업된) 복구 키의 우선 순위를 지정합니다.
  4. 백업된 적이 없는 키보다 성공적인 백업을 사용하여 키 우선 순위 지정
  5. 원격 백업 위치에 대해 다음 순서로 백업 힌트의 우선 순위를 지정합니다.
    • Microsoft 계정
    • Microsoft Entra ID
    • Active Directory
  6. 키가 인쇄되어 파일에 저장된 경우 두 개의 개별 힌트 대신 결합된 힌트 인쇄물 찾기 또는 키가 있는 텍스트 파일을 표시합니다.
  7. 동일한 유형의 여러 백업(제거 및 로컬)이 동일한 복구 키에 대해 수행된 경우 최신 백업 날짜로 백업 정보의 우선 순위를 지정합니다.
  8. 온-프레미스 Active Directory에 저장된 키에 대한 특정 힌트는 없습니다. 이 경우 사용자 지정 메시지(구성된 경우) 또는 조직의 지원 센터에 문의하는 일반 메시지가 표시됩니다.
  9. 두 개의 복구 키가 있고 하나만 백업된 경우 시스템은 다른 키가 최신 키인 경우에도 백업 키를 요청합니다.

예: 파일 및 단일 백업에 저장된 단일 복구 암호

이 시나리오에서는 복구 암호가 파일에 저장됩니다.

중요

복구 키를 인쇄하거나 파일에 저장하는 것은 권장되지 않습니다. 대신 Microsoft 계정, Microsoft Entra ID 또는 Active Directory 백업을 사용합니다.

BitLocker 복구 키가 저장된 힌트를 보여 주는 BitLocker 복구 화면의 스크린샷

예: Microsoft 계정 및 단일 백업에 대한 단일 복구 암호

이 시나리오에서는 사용자 지정 URL이 구성됩니다. 복구 암호는 다음과 같습니다.

  • Microsoft 계정에 저장됨
  • 인쇄되지 않음
  • 파일에 저장되지 않음

결과: 사용자 지정 URL 및 Microsoft 계정(https://aka.ms/myrecoverykey)에 대한 힌트가 표시됩니다.

사용자 지정 URL과 BitLocker 복구 키가 저장된 힌트를 보여 주는 BitLocker 복구 화면의 스크린샷.

Windows 11 버전 24H2부터 복구 암호가 MSA에 저장된 경우 BitLocker 미리 부팅 복구 화면에 MSA(Microsoft 계정) 힌트가 포함됩니다. 이 힌트는 사용자가 복구 키 정보를 저장하는 데 사용된 MSA 계정을 이해하는 데 도움이 됩니다.

BitLocker 복구 키가 저장된 Microsoft 계정 힌트를 보여 주는 BitLocker 복구 화면의 스크린샷.

예: AD DS의 단일 복구 암호 및 단일 백업

이 시나리오에서는 사용자 지정 URL이 구성됩니다. 복구 암호는 다음과 같습니다.

  • Active Directory에 저장됨
  • 인쇄되지 않음
  • 파일에 저장되지 않음

결과: 사용자 지정 URL만 표시됩니다.

사용자 지정 URL만 보여 주는 BitLocker 복구 화면의 스크린샷

예: 여러 백업이 있는 단일 복구 암호

이 시나리오에서 복구 암호는 다음과 같습니다.

  • Microsoft 계정에 저장됨
  • Microsoft Entra ID에 저장됨
  • 인쇄
  • 파일에 저장됨

결과: Microsoft 계정 힌트(https://aka.ms/myrecoverykey)만 표시됩니다.

Microsoft 계정 힌트만 보여 주는 BitLocker 복구 화면의 스크린샷

예: sinlge 백업을 사용하는 여러 복구 암호

이 시나리오에는 두 개의 복구 암호가 있습니다.

복구 암호 #1은 다음과 같습니다.

  • 파일에 저장됨
  • 생성 시간: 오후 1시
  • 키 ID: 4290B6C0-B17A-497A-8552-272CC30E80D4

복구 암호 #2는 다음과 같습니다.

  • 백업되지 않음
  • 생성 시간: 오후 3시
  • 키 ID: 045219EC-A53B-41AE-B310-08EC883AAEDD

결과: 가장 최근 키가 아니더라도 성공적으로 백업된 키에 대한 힌트만 표시됩니다.

성공적으로 백업된 복구 암호의 키 ID를 보여 주는 BitLocker 복구 화면의 스크린샷

예: 여러 백업이 있는 여러 복구 암호

이 시나리오에는 두 개의 복구 암호가 있습니다.

복구 암호 #1은 다음과 같습니다.

  • Microsoft 계정에 저장됨
  • Microsoft Entra ID에 저장됨
  • 생성 시간: 오후 1시
  • 키 ID: 4290B6C0-B17A-497A-8552-272CC30E80D4

복구 암호 #2는 다음과 같습니다.

  • Microsoft Entra ID에 저장됨
  • 생성 시간: 오후 3시
  • 키 ID: 045219EC-A53B-41AE-B310-08EC883AAEDD

결과: 저장된 가장 최근 키인 Microsoft Entra ID 힌트(https://aka.ms/aadrecoverykey)가 표시됩니다.

가장 최근 키의 키 ID를 보여 주는 BitLocker 복구 화면의 스크린샷.

추가 복구 정보 화면

Windows 11 버전 24H2부터 BitLocker 시험판 복구 화면은 복구 오류 정보를 향상시킵니다. 복구 화면은 복구 오류의 특성에 대한 자세한 정보를 제공하여 사용자가 문제를 더 잘 이해하고 해결할 수 있도록 합니다.

사용자는 Alt 키를 눌러 복구 오류에 대한 추가 정보를 검토할 수 있습니다.

복구 정보 화면에 액세스하기 위한 Alt 키보드 단추를 강조 표시하는 BitLocker 복구 화면의 스크린샷.

추가 복구 정보 화면에는 이 문서의 다음 섹션에서 자세한 내용을 검색하는 데 사용할 수 있는 오류 범주코드가 포함되어 있습니다.

BitLocker 복구 정보 화면의 스크린샷

다음 섹션에서는 각 BitLocker 오류 범주에 대한 코드를 설명합니다. 각 섹션 내에는 복구 화면에 오류 메시지가 표시되고 오류의 원인이 있는 테이블이 있습니다. 일부 테이블에는 가능한 해결 방법이 포함되어 있습니다.

오류 범주는 다음과 같습니다.

사용자가 시작

오류 코드 오류 원인 해결 방법
E_FVE_USER_REQUESTED_RECOVERY 사용자가 복구 모드로 옵션이 있는 화면에서 복구 모드로 ESC 명시적으로 입력했습니다.
E_FVE_BOOT_DEBUG_ENABLED 부팅 디버깅 모드가 사용하도록 설정됩니다. 부팅 구성 데이터베이스에서 부팅 디버깅 옵션을 제거합니다.

코드 무결성

드라이버 서명 적용은 운영 체제의 코드 무결성을 보장하는 데 사용됩니다.

오류 코드 오류 원인
E_FVE_CI_DISABLED 드라이버 서명 적용을 사용할 수 없습니다.

디바이스 잠금

디바이스 잠금 임계값 기능을 사용하면 관리자가 BitLocker 보호를 사용하여 Windows 로그인을 구성할 수 있습니다. 구성된 수의 실패한 Windows 로그인 시도 후 디바이스가 다시 부팅되고 BitLocker 복구 방법을 제공해야만 복구할 수 있습니다.

이 기능을 활용하려면 대화형 로그온: 컴퓨터구성>Windows 설정보안 설정로컬 정책>보안 옵션에 있는 컴퓨터 계정 잠금 임계값 정책설정을>> 구성해야 합니다. 또는 Exchange ActiveSyncMaxFailedPasswordAttempts 정책 설정 또는 CSP(DeviceLock 구성 서비스 공급자)를 사용합니다.

오류 코드 오류 원인 해결 방법
E_FVE_DEVICE_LOCKEDOUT 잘못된 로그인 시도가 너무 많아 디바이스 잠금이 트리거되었습니다. 로그인 화면으로 돌아가려면 BitLocker 복구 방법이 필요합니다.
E_FVE_DEVICE_LOCKOUT_MISMATCH 디바이스 잠금 카운터가 동기화되지 않습니다. 로그인 화면으로 돌아가려면 BitLocker 복구 방법이 필요합니다.

부팅 구성

BCD(부팅 구성 데이터베이스)에는 Windows 부팅 환경에 대한 중요한 정보가 포함되어 있습니다.

오류 코드 오류 원인 해결 방법
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION		 부팅 애플리케이션이 변경되어 BitLocker가 복구 모드로 전환되었습니다.
BitLocker는 BCD 내의 데이터를 추적하고 BitLocker 복구는 이 데이터가 경고 없이 변경되면 발생할 수 있습니다.

변경된 부팅 애플리케이션을 찾으려면 복구 화면을 참조하세요.		 이 문제를 해결하려면 BCD 구성을 복원합니다. 부팅하기 전에 BCD 구성을 복원할 수 없는 경우 디바이스의 잠금을 해제하려면 BitLocker 복구 방법이 필요합니다.

자세한 내용은 부팅 구성 데이터 설정 및 BitLocker를 참조하세요.

TPM

TPM(신뢰할 수 있는 플랫폼 모듈)은 디바이스를 보호하는 데 사용되는 암호화 하드웨어 또는 펌웨어입니다. BitLocker는 데이터를 암호화하는 데 사용되는 암호화 키의 보호를 관리하는 TPM 보호기를 만듭니다.

부팅 시 BitLocker는 TPM과 통신하여 디바이스의 잠금을 해제하고 데이터에 액세스하려고 시도합니다.

오류 코드 오류 원인
E_FVE_TPM_DISABLED TPM이 있지만 부팅 전이나 부팅 중에 사용할 수 없습니다.
E_FVE_TPM_INVALIDATED TPM이 있지만 무효화되었습니다.
E_FVE_BAD_SRK TPM의 내부 스토리지 루트 키가 손상되었습니다.
E_FVE_TPM_NOT_DETECTED 부팅 시스템에 TPM이 없거나 검색되지 않습니다.
E_MATCHING_PCRS_TPM_FAILURE 암호화 키를 해제할 때 TPM이 예기치 않게 실패했습니다.
E_FVE_TPM_FAILURE 다른 TPM 오류에 대한 Catch-all입니다.

자세한 내용은 신뢰할 수 있는 플랫폼 모듈 기술 개요BitLocker 및 TPM을 참조하세요.

보호자

TPM 보호기

TPM에는 BitLocker TPM 보호기의 유효성 검사 프로필에서 사용할 수 있는 여러 PCR(플랫폼 구성 레지스터)이 포함되어 있습니다. PCR은 부팅 프로세스의 무결성, 즉 부팅 구성 및 부팅 흐름이 변조되지 않았는지 확인하는 데 사용됩니다.

BitLocker 복구는 TPM 보호기 유효성 검사 프로필에 사용되는 PCR이 예기치 않게 변경된 결과일 수 있습니다. TPM 보호기 프로필에서 사용되지 않는 PCR의 변경 내용은 BitLocker에 영향을 주지 않습니다.

오류 코드 오류 원인 해결 방법
E_FVE_PCR_MISMATCH 디바이스의 구성이 변경되었습니다.

가능한 원인은 다음과 같습니다.
- 부팅 가능한 미디어가 삽입됩니다. 디바이스를 제거하고 다시 시작하면 이 문제가 해결될 수 있습니다.
- TPM 보호기를 업데이트하지 않고 펌웨어 업데이트가 적용되었습니다.		 디바이스의 잠금을 해제하려면 복구 방법이 필요합니다.

자세한 예제는 BitLocker 복구 시나리오를 참조하세요.

PCR 7에 대한 특수 사례

TPM 보호기가 유효성 검사 프로필에서 PCR 7을 사용하는 경우 BitLocker는 PCR 7이 보안 부팅에 대한 특정 이벤트 집합을 측정할 것으로 예상합니다. 이러한 측정값은 UEFI 사양에 정의되어 있습니다. 자세한 내용은 정적 신뢰 루트 측정을 참조하세요.

오류 코드 오류 원인 해결 방법
E_FVE_SECUREBOOT_DISABLED 보안 부팅이 비활성화되었습니다. 암호화 키에 액세스하고 디바이스의 잠금을 해제하려면 BitLocker에서 보안 부팅이 켜질 것으로 예상합니다. 보안 부팅을 다시 사용하도록 설정하고 시스템을 다시 부팅하면 복구 문제가 해결될 수 있습니다. 그렇지 않으면 디바이스에 액세스하려면 복구 방법이 필요합니다.
E_FVE_SECUREBOOT_CHANGED 보안 부팅 구성이 예기치 않게 변경되었습니다. PCR 7에서 측정된 부팅 구성이 변경되었습니다.
이는 다음과 같은 이유로 인해 발생할 수 있습니다.
- BitLocker가 TPM 보호기를 업데이트할 때 현재 존재하지 않는 추가 측정값
- BitLocker가 TPM 보호기를 마지막으로 업데이트했지만 지금은 존재하지 않을 때 있었던 누락된 측정값입니다.
- 예상 이벤트에 다른 측정값이 있습니다.		 디바이스의 잠금을 해제하려면 복구 방법이 필요합니다.

알 수 없음

오류 코드 오류 원인 해결 방법
E_FVE_RECOVERY_ERROR_UNKNOWN 알 수 없는 오류로 인해 BitLocker가 복구 모드로 전환되었습니다. 디바이스의 잠금을 해제하려면 복구 방법이 필요합니다.