다음을 통해 공유


BitLocker 복구 개요

BitLocker 복구는 드라이브가 기본 잠금 해제 메커니즘을 사용하여 잠금을 해제하지 않는 경우 BitLocker 보호 드라이브에 대한 액세스를 복원할 수 있는 프로세스입니다.

이 문서에서는 BitLocker 복구를 트리거하는 시나리오, 복구 정보를 저장하도록 디바이스를 구성하는 방법 및 잠긴 드라이브에 대한 액세스를 복원하는 옵션을 설명합니다.

BitLocker 복구 시나리오

다음 목록에서는 Windows를 시작할 때 디바이스가 BitLocker 복구 모드로 전환되는 일반적인 이벤트의 예를 제공합니다.

  • 잘못된 PIN을 너무 많이 입력합니다.

  • TPM 대신 USB 기반 키를 사용하는 경우 BIOS 또는 UEFI 펌웨어에서 프리부트 환경에서 USB 디바이스 읽기 지원 해제

  • BIOS 부팅 순서에서 하드 드라이브 앞에 CD 또는 DVD 드라이브 포함(가상 머신에서 공통)

  • 휴대용 컴퓨터 도킹 또는 도킹 해제

  • 디스크의 NTFS 파티션 테이블 변경 내용

  • 부팅 관리자 변경 내용

  • TPM 끄기, 비활성화, 비활성화 또는 지우기

  • TPM 자체 테스트 실패

  • 새 TPM을 사용하여 마더보드를 새 마더보드로 업그레이드

  • BIOS 또는 UEFI 펌웨어 업그레이드와 같은 중요한 초기 시작 구성 요소 업그레이드

  • 운영 체제에서 TPM 숨기기

  • TPM 유효성 검사 프로필에서 사용하는 PCR(플랫폼 구성 레지스터) 수정

  • BitLocker로 보호된 드라이브를 새 컴퓨터로 이동

  • TPM 1.2가 있는 디바이스에서 BIOS 또는 펌웨어 부팅 디바이스 순서 변경

  • 허용되는 최대 로그인 시도 횟수 초과

    참고

    이 기능을 활용하려면 대화형 로그온: 컴퓨터구성>Windows 설정보안 설정로컬 정책>보안 옵션에 있는 컴퓨터 계정 잠금 임계값 정책설정을>> 구성해야 합니다. 또는 Exchange ActiveSyncMaxFailedPasswordAttempts 정책 설정 또는 CSP(DeviceLock 구성 서비스 공급자)를 사용합니다.

BitLocker 복구 프로세스의 일부로 디바이스가 복구 모드로 전환된 원인을 확인하는 것이 좋습니다. 근본 원인 분석은 나중에 문제가 다시 발생하지 않도록 하는 데 도움이 될 수 있습니다. instance 경우 공격자가 물리적 액세스를 얻어 디바이스를 수정한 것으로 확인되면 물리적 존재 여부를 추적하기 위한 새로운 보안 정책을 구현할 수 있습니다.

알려진 하드웨어 또는 펌웨어 업그레이드와 같은 계획된 시나리오의 경우 BitLocker 보호를 일시적으로 일시 중단하여 복구 시작을 방지할 수 있습니다. BitLocker를 일시 중단하면 드라이브가 완전히 암호화되고 관리자는 계획된 작업이 완료된 후 BitLocker 보호를 신속하게 다시 시작할 수 있습니다. 일시 중단다시 시작을 사용하면 복구 키를 입력할 필요 없이 암호화 키가 다시 봉인됩니다.

참고

일시 중단된 경우 PowerShell 또는 manage-bde.exe 명령줄 도구를 사용하여 다시 부팅 횟수를 지정하지 않는 한 BitLocker는 디바이스를 다시 부팅할 때 자동으로 보호를 다시 시작합니다. BitLocker 일시 중단에 대한 자세한 내용은 BitLocker 작업 가이드를 검토하세요.

복구는 계획되지 않거나 원치 않는 동작의 컨텍스트 내에서 설명됩니다. 그러나 예를 들어 액세스 제어를 관리하기 위해 의도된 프로덕션 시나리오로 복구가 발생할 수도 있습니다. 디바이스가 organization 다른 부서 또는 직원에게 다시 배포되면 디바이스가 새 사용자에게 전달되기 전에 BitLocker를 강제로 복구할 수 있습니다.

Windows RE 및 BitLocker 복구

Windows 복구 환경(Windows RE)을 사용하여 BitLocker로 보호되는 드라이브에 대한 액세스를 복구할 수 있습니다. 두 번의 실패 후 디바이스를 부팅할 수 없는 경우 시작 복구 가 자동으로 시작됩니다.

부팅 실패로 인해 시작 복구가 자동으로 시작되면 부팅 로그 또는 사용 가능한 크래시 덤프 지점이 손상된 특정 파일에 대한 경우 운영 체제 및 드라이버 파일 복구만 실행됩니다. PCR[7]에 대한 특정 TPM 측정을 지원하는 디바이스에서 TPM은 Windows RE 신뢰할 수 있는 운영 환경인지 확인하고 Windows RE 수정되지 않은 경우 BitLocker로 보호되는 드라이브를 잠금 해제합니다. Windows RE 환경이 수정된 경우(예: TPM이 비활성화된 경우) BitLocker 복구 키가 제공될 때까지 드라이브가 잠겨 있습니다. 시작 복구를 자동으로 실행할 수 없고 대신 복구 디스크에서 수동으로 Windows RE 경우 BitLocker로 보호되는 드라이브의 잠금을 해제하려면 BitLocker 복구 키를 제공해야 합니다.

또한 Windows RE OS 드라이브 보호기용 TPM + PIN 또는 암호를 사용하는 디바이스의 Windows RE 모든 항목 제거 재설정을 시작할 때 BitLocker 복구 키를 요청합니다. TPM 전용 보호를 사용하여 키보드 없는 디바이스에서 BitLocker 복구를 시작하는 경우 부팅 관리자가 아닌 Windows RE BitLocker 복구 키를 요청합니다. 키를 입력한 후 Windows RE 문제 해결 도구에 액세스하거나 정상적으로 Windows를 시작할 수 있습니다.

Windows RE 표시되는 BitLocker 복구 화면에는 BitLocker 복구 키를 입력하는 데 도움이 되는 내레이터 및 화상 키보드와 같은 접근성 도구가 있습니다.

  • Windows RE BitLocker 복구 중에 내레이터를 활성화하려면 WIN + CTRL + Enter를 누릅니.
  • 화상 키보드를 활성화하려면 텍스트 입력 컨트롤을 탭합니다.

Windows RE 및 내레이터의 스크린샷

Windows 부팅 관리자가 BitLocker 복구 키를 요청하는 경우 이러한 도구를 사용할 수 없을 수 있습니다.

BitLocker 복구 옵션

복구 시나리오에서는 디바이스에 적용된 정책 설정에 따라 드라이브에 대한 액세스를 복원하는 다음 옵션을 사용할 수 있습니다.

  • 복구 암호: 복구 모드에 있을 때 볼륨의 잠금을 해제하는 데 사용되는 48자리 숫자입니다. 복구 암호는 텍스트 파일로 저장되거나 인쇄되거나 Microsoft Entra ID 또는 Active Directory에 저장될 수 있습니다. 사용 가능한 경우 사용자가 복구 암호를 제공할 수 있습니다.

복구 암호를 입력하라는 기본 BitLocker 복구 화면의 스크린샷

  • 복구 키: BitLocker 볼륨에서 암호화된 데이터를 복구하는 데 사용할 수 있는 이동식 미디어에 저장된 암호화 키입니다. 파일 이름 형식은 입니다 <protector_id>.bek. OS 드라이브의 경우 BitLocker가 디바이스를 시작할 때 드라이브 잠금을 해제하지 못하게 하는 조건을 감지하는 경우 복구 키를 사용하여 디바이스에 액세스할 수 있습니다. 어떤 이유로 암호가 잊혀지거나 디바이스가 드라이브에 액세스할 수 없는 경우 복구 키를 사용하여 BitLocker로 암호화된 고정 데이터 드라이브 및 이동식 드라이브에 액세스할 수 있습니다.

USB 드라이브를 복구 키와 연결하도록 요청하는 BitLocker 복구 화면의 스크린샷

  • 키 패키지: BitLocker 복구 도구와 함께 사용하여 드라이브의 중요한 부분을 재구성하고 복구 가능한 데이터를 회수하는 데 사용할 수 있는 암호 해독 키입니다. 키 패키지와 복구 암호 또는 복구 키를 사용하면 손상된 BitLocker로 보호된 드라이브의 일부를 해독할 수 있습니다. 각 키 패키지는 해당 드라이브 식별자가 있는 드라이브에 대해서만 작동합니다. 키 패키지는 자동으로 생성되지 않으며 파일 또는 Active Directory Domain Services 저장할 수 있습니다. 키 패키지는 Microsoft Entra ID 저장할 수 없습니다.
  • 데이터 복구 에이전트 인증서: DRA(데이터 복구 에이전트)는 Active Directory 보안 주체와 연결되고 일치하는 공개 키로 구성된 BitLocker 암호화 드라이브에 액세스하는 데 사용할 수 있는 인증서 유형입니다. DRA는 자격 증명을 사용하여 드라이브의 잠금을 해제할 수 있습니다. 드라이브가 OS 드라이브인 경우 DRA의 잠금을 해제하려면 드라이브를 다른 디바이스에 데이터 드라이브로 탑재해야 합니다.

복구 암호복구 키는 모두 제어판 애플릿(데이터 및 이동식 드라이브의 경우) 또는 프리부트 복구 화면에서 사용자가 제공할 수 있습니다. 예를 들어 사용자 지정 메시지, URL 및 지원 센터 연락처 정보를 추가하여 시험판 복구 화면을 사용자 지정하도록 정책 설정을 구성하는 것이 좋습니다. 자세한 내용은 BitLocker 시험판 복구 화면 문서를 검토하세요.

BitLocker 복구 프로세스를 계획할 때 먼저 중요한 정보를 복구하기 위한 organization 현재 모범 사례를 참조하세요. 예시:

☑️ 질문
🔲 organization 분실하거나 잊어버린 암호를 어떻게 처리하나요?
🔲 organization 스마트 카드 PIN 재설정을 어떻게 수행하나요?
🔲 사용자가 소유한 디바이스에 대한 복구 정보를 저장하거나 검색할 수 있나요?
🔲 사용자가 BitLocker 구성 프로세스에 얼마나 참여하게 하시겠습니까? 사용자가 프로세스와 상호 작용하거나, 침묵하거나, 둘 다를 수행하도록 하시겠습니까?
🔲 BitLocker 복구 키는 어디에 저장하시겠습니까?
🔲 복구 암호 회전을 사용하도록 설정하시겠습니까?

질문에 답변하면 organization 가장 적합한 BitLocker 복구 프로세스를 결정하고 그에 따라 BitLocker 정책 설정을 구성하는 데 도움이 됩니다. 예를 들어 organization 암호를 재설정하는 프로세스가 있는 경우 BitLocker 복구에 유사한 프로세스를 사용할 수 있습니다. 사용자가 복구 정보를 저장하거나 검색할 수 없는 경우 organization DLA(데이터 복구 에이전트)를 사용하거나 복구 정보를 자동으로 백업할 수 있습니다.

다음 정책 설정은 BitLocker로 보호된 드라이브에 대한 액세스를 복원하는 데 사용할 수 있는 복구 방법을 정의합니다.

이러한 각 정책에서 BitLocker 복구 정보 저장을 선택하여 Active Directory Domain Services 다음, AD DS에 저장할 BitLocker 복구 정보를 선택합니다. 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 옵션을 사용하여 드라이브에 대한 BitLocker 복구 정보의 백업이 Microsoft Entra ID 또는 AD DS에 성공하지 않는 한 사용자가 BitLocker를 사용하도록 설정하지 못하도록 합니다.

BitLocker 복구 암호

BitLocker를 복구하기 위해 사용자는 복구 암호를 사용할 수 있습니다(사용 가능한 경우). BitLocker 복구 암호는 생성된 디바이스에 고유하며 다양한 방법으로 저장할 수 있습니다. 구성된 정책 설정에 따라 복구 암호는 다음과 같습니다.

  • Microsoft Entra 조인된 경우 Microsoft Entra ID 저장됨
  • Active Directory에 조인된 디바이스의 경우 AD DS에 저장됨
  • 텍스트 파일에 저장됨
  • 인쇄

복구 암호에 액세스하면 소유자가 BitLocker로 보호된 볼륨의 잠금을 해제하고 모든 데이터에 액세스할 수 있습니다. 따라서 organization 복구 암호에 대한 액세스를 제어하고 보호되는 디바이스와 별도로 안전하게 저장되도록 하는 절차를 수립하는 것이 중요합니다.

참고

사용자의 Microsoft 계정에 BitLocker 복구 키를 저장하는 옵션이 있습니다. 이 옵션은 도메인의 멤버가 아니고 사용자가 Microsoft 계정을 사용하고 있는 디바이스에서 사용할 수 있습니다. Microsoft 계정에 복구 암호를 저장하는 것은 Microsoft Entra 가입되지 않았거나 Active Directory에 가입되지 않은 디바이스에 대해 권장되는 기본 복구 키 스토리지 방법입니다.

BitLocker를 사용하도록 설정하기 전에 복구 암호의 백업을 구성해야 하지만 BitLocker 작업 가이드에 설명된 대로 암호화 후에도 수행할 수 있습니다.
organization 기본 백업 방법은 BitLocker 복구 정보를 중앙 위치에 자동으로 저장하는 것입니다. organization 요구 사항에 따라 복구 정보를 Microsoft Entra ID, AD DS 또는 파일 공유에 저장할 수 있습니다.

권장 사항은 다음 BitLocker 백업 방법을 사용하는 것입니다.

  • Microsoft Entra 조인된 디바이스의 경우 복구 키를 Microsoft Entra ID
  • Active Directory 조인 디바이스의 경우 복구 키를 AD DS에 저장합니다.

참고

Microsoft Entra ID 또는 AD DS에 이동식 스토리지 디바이스에 대한 복구 키를 저장하는 자동 방법은 없습니다. 그러나 PowerShell 또는 manage.bde.exe 명령을 사용하여 수행할 수 있습니다. 자세한 내용과 예제는 BitLocker 작업 가이드를 검토하세요.

데이터 복구 에이전트

DRA를 사용하여 OS 드라이브, 고정 데이터 드라이브 및 이동식 데이터 드라이브를 복구할 수 있습니다. 그러나 OS 드라이브를 복구하는 데 사용되는 경우 DRA가 드라이브의 잠금을 해제할 수 있도록 운영 체제 드라이브를 다른 디바이스에 데이터 드라이브 로 탑재해야 합니다. 데이터 복구 에이전트는 암호화될 때 드라이브에 추가되며 암호화가 발생한 후 업데이트할 수 있습니다.

암호 또는 키 복구를 통해 DRA를 사용할 경우의 이점은 DRA가 BitLocker의 master 키 역할을 한다는 것입니다. DRA를 사용하면 각 개별 볼륨에 대한 특정 암호 또는 키를 찾을 필요 없이 정책으로 보호되는 모든 볼륨을 복구할 수 있습니다.

Active Directory 도메인에 가입된 디바이스에 대해 DRA를 구성하려면 다음 단계가 필요합니다.

  1. DRA 인증서를 가져옵니다. 다음 키 사용량 및 향상된 키 사용 특성은 인증서를 사용하기 전에 BitLocker에서 검사합니다.
    1. 키 사용 특성이 있는 경우 다음 중 하나여야 합니다.
      • CERT_DATA_ENCIPHERMENT_KEY_USAGE
      • CERT_KEY_AGREEMENT_KEY_USAGE
      • CERT_KEY_ENCIPHERMENT_KEY_USAGE
    2. EKU(향상된 키 사용량) 특성이 있는 경우 다음 중 하나여야 합니다.
      • 정책 설정 또는 기본값에 지정된 대로 1.3.6.1.4.1.311.67.1.1
      • CA(인증 기관)에서 지원하는 모든 EKU 개체 식별자
  2. 경로를 사용하여 그룹 정책을 통해 DRA 추가: 컴퓨터 구성>정책>Windows 설정보안 설정>>공개 키 정책>BitLocker 드라이브 암호화
  3. BitLocker를 사용하도록 설정된 새 드라이브에 고유 식별자를 연결하도록 organization 정책 설정에 대한 고유 식별자 제공 설정을 구성합니다. 식별 필드는 사업부 또는 organization 고유하게 식별하는 데 사용되는 문자열입니다. BitLocker로 보호되는 드라이브에서 데이터 복구 에이전트를 관리하려면 식별 필드가 필요합니다. BitLocker는 드라이브에 식별 필드가 있을 때만 DRA를 관리하고 업데이트하며 디바이스에 구성된 값과 동일합니다.
  4. 각 드라이브 유형에 대해 DRA를 사용하여 복구할 수 있도록 다음 정책 설정을 구성합니다.

Microsoft Entra ID 저장된 BitLocker 복구 정보

Microsoft Entra 조인된 디바이스에 대한 BitLocker 복구 정보는 Microsoft Entra ID 저장할 수 있습니다. BitLocker 복구 암호를 Microsoft Entra ID 저장하는 이점은 사용자가 지원 센터 없이 웹에서 할당된 디바이스의 암호를 쉽게 검색할 수 있다는 것입니다.

지원 시나리오를 용이하게 하기 위해 복구 암호에 대한 액세스를 지원 센터에 위임할 수도 있습니다.

Microsoft Entra ID 저장된 BitLocker 복구 암호 정보는 리소스 유형입니다bitlockerRecoveryKey. 리소스는 Microsoft Entra 관리 센터, Microsoft Intune 관리 센터(Microsoft Intune 등록된 디바이스의 경우), PowerShell을 사용하거나 Microsoft Graph를 사용하여 검색할 수 있습니다. 자세한 내용은 bitlockerRecoveryKey 리소스 종류를 참조하세요.

AD DS에 저장된 BitLocker 복구 정보

Active Directory 도메인에 조인된 디바이스에 대한 BitLocker 복구 정보는 AD DS에 저장할 수 있습니다. 정보는 컴퓨터 개체 자체의 자식 개체에 저장됩니다. 각 BitLocker 복구 개체에는 복구 암호 및 기타 복구 정보가 포함됩니다. BitLocker 사용 볼륨과 연결된 복구 암호가 둘 이상 있을 수 있으므로 각 컴퓨터 개체 아래에 둘 이상의 BitLocker 복구 개체가 있을 수 있습니다.

BitLocker 복구 개체의 이름은 고정 길이가 63자인 GUID(Globally Unique Identifier)와 날짜 및 시간 정보를 통합합니다. 구문은 입니다 <Object Creation Date and Time><Recovery GUID>.

참고

Active Directory는 컴퓨터 개체의 모든 복구 암호 기록을 유지 관리합니다. 컴퓨터 개체가 삭제되지 않는 한 이전 복구 키는 AD DS에서 자동으로 제거되지 않습니다.

BitLocker 복구 개체의 일반 이름(cn)은 입니다 ms-FVE-RecoveryInformation. 각 ms-FVE-RecoveryInformation 개체에는 다음과 같은 특성이 있습니다.

특성 이름 설명
ms-FVE-RecoveryPassword BitLocker 암호화 디스크 볼륨을 복구하는 데 사용되는 48자리 복구 암호입니다.
ms-FVE-RecoveryGuid BitLocker 복구 암호와 연결된 GUID입니다. BitLocker의 복구 모드에서는 볼륨 잠금을 해제하기 위해 올바른 복구 암호를 배치할 수 있도록 GUID가 사용자에게 표시됩니다. GUID는 복구 개체의 이름에도 포함됩니다.
ms-FVE-VolumeGuid BitLocker 지원 디스크 볼륨과 연결된 GUID입니다. 암호(에 ms-FVE-RecoveryGuid저장됨)는 각 복구 암호에 대해 고유하지만 볼륨 식별자는 BitLocker로 암호화된 각 볼륨에 대해 고유합니다.
ms-FVE-KeyPackage 해당 복구 암호로 보호되는 볼륨의 BitLocker 암호화 키입니다. 이 키 패키지와 복구 암호(에 ms-FVE-RecoveryPassword저장됨)를 사용하면 디스크가 손상된 경우 BitLocker로 보호되는 볼륨의 일부를 암호 해독할 수 있습니다. 각 키 패키지는 해당 볼륨 식별자(에 저장됨)가 있는 볼륨에 ms-FVE-VolumeGuid대해서만 작동합니다. BitLocker 복구 도구를 사용하여 키 패키지를 사용할 수 있습니다.

AD DS에 저장된 BitLocker 특성에 대해 자세히 알아보려면 다음 문서를 검토하세요.

BitLocker 키 패키지는 기본적으로 저장되지 않습니다. AD DS에서 복구 암호와 함께 패키지를 저장하려면 복구 방법을 제어하는 정책에서 백업 복구 암호 및 키 패키지 정책 설정을 선택해야 합니다. 키 패키지는 작업 볼륨에서 내보낼 수도 있습니다.

복구 정보가 AD DS에 백업되지 않거나 키 패키지를 대체 위치에 저장하려는 경우 다음 명령을 사용하여 볼륨에 대한 키 패키지를 생성합니다.

manage-bde.exe -KeyPackage C: -id <id> -path <path>

파일 이름 형식의 BitLocker Key Package {<id>}.KPG 파일이 지정된 경로에 만들어집니다.

참고

잠금 해제된 BitLocker로 보호된 볼륨에서 새 키 패키지를 내보내려면 볼륨에 손상이 발생하기 전에 작업 볼륨에 대한 로컬 관리자 액세스가 필요합니다.

다음 단계

조인된 Microsoft Entra, 하이브리드 조인 Microsoft Entra 및 Active Directory 조인 디바이스에 대한 BitLocker 복구 정보를 가져오는 방법과 잠긴 드라이브에 대한 액세스를 복원하는 방법을 알아봅니다.

BitLocker 복구 프로세스 >