내보내기(0) 인쇄
모두 확장

Windows Server 2008에 대한 BitLocker 드라이브 암호화 단계별 가이드

업데이트 날짜: 2009년 11월

적용 대상: Windows Server 2008, Windows Vista

이 단계별 가이드에서는 테스트 랩 환경에서 Windows(R) BitLocker(TM) 드라이브 암호화를 설치하는 데 필요한 지침을 제공합니다. 프로덕션 환경에서는 이 가이드를 사용하지 않는 것이 좋습니다. 단계별 가이드는 추가 리소스 섹션에 나열된 추가 설명서 없이 Windows Server® 2008 운영 체제 기능을 배포하기 위한 용도로만 작성된 것은 아니며 독자적인 문서로 신중하게 사용해야 합니다.

BitLocker 드라이브 암호화란?

BitLocker는 클라이언트 컴퓨터용 Windows Vista® Enterprise 및 Windows Vista® Ultimate 운영 체제와 Windows Server 2008 운영 체제에서 사용할 수 있는 데이터 보호 기능입니다. BitLocker는 분실하거나 도난 당한 컴퓨터의 데이터를 도난이나 노출로부터 강력하게 보호해 주고, BitLocker로 보호된 컴퓨터의 서비스가 해제되면 데이터를 안전하게 삭제할 수 있게 해줍니다.

분실하거나 도난 당한 컴퓨터의 데이터는 소프트웨어 공격 도구를 실행하거나 컴퓨터의 하드 디스크를 다른 컴퓨터로 옮기는 방식을 이용한 무단 액세스에 취약합니다. BitLocker는 다음 두 가지 주요 데이터 보호 절차를 결합하여 분실하거나 도난 당한 컴퓨터에 있는 데이터에 대한 무단 액세스를 방지해 줍니다.

  • 하드 디스크에서 전체 Windows 운영 체제 볼륨 및 데이터 볼륨을 암호화합니다. BitLocker는 스왑 및 최대 절전 모드 파일을 포함한 운영 체제 볼륨의 모든 사용자 파일 및 시스템 파일을 암호화하며 데이터 볼륨도 암호화할 수 있습니다.

  • 초기 부팅 구성 요소와 부팅 구성 데이터의 무결성을 확인합니다. TPM(신뢰할 수 있는 플랫폼 모듈) 버전 1.2가 설치된 컴퓨터에서 BitLocker는 TPM의 향상된 보안 기능을 사용하여 컴퓨터의 부팅 구성 요소가 변경되지 않은 것으로 나타나고 암호화된 디스크가 원래 컴퓨터에 있는 경우에만 데이터에 액세스할 수 있도록 해줍니다.

BitLocker는 Windows Vista와 Windows Server 2008에 완벽하게 통합되어 있으며 쉽게 관리하고 구성할 수 있는 향상된 데이터 보호 기능을 기업에게 제공합니다. 예를 들어 BitLocker는 기존 AD DS(Active Directory 도메인 서비스) 인프라를 사용하여 BitLocker 복구 키를 원격으로 보관할 수 있습니다. 또한 BitLocker는 도메인에 가입되지 않은 컴퓨터 또는 도메인에 연결할 수 없는 컴퓨터(예: 현장에 있는 컴퓨터)에 대해 데이터 검색을 가능하게 해주는 복구 콘솔을 제공합니다.

BitLocker 드라이브 암호화의 사용자는?

이 가이드는 다음 사용자를 대상으로 합니다.

  • 제품을 평가하는 IT 계획자 및 분석자

  • 보안 설계자

이 가이드의 내용

이 가이드의 목적은 관리자가 Windows Server 2008의 BitLocker 드라이브 암호화 기능을 잘 알 수 있도록 돕는 데 있습니다. 다음 절에서는 네트워크 내에서 BitLocker의 구성 및 배포를 시작하기 위해 관리자에게 필요한 기본 정보와 절차를 제공합니다.

시나리오 1에서는 BitLocker 드라이브 암호화에 필요한 두 개의 파티션을 만드는 방법에 대한 지침을 제공합니다. 시나리오 2에서는 서버에 BitLocker를 설치하는 방법에 대해 설명합니다. 시나리오 3에서는 BitLocker 및 TPM을 사용하여 하드 디스크를 암호화하는 방법에 대해 설명합니다. 시나리오 4에서는 BitLocker를 사용하여 서버에서 데이터 볼륨을 암호화하는 방법에 대해 설명합니다. 시나리오 5에서는 컴퓨터에서 TPM 없이 BitLocker를 사용하는 방법에 대해 설명합니다. 시나리오 6에서는 잠금 이후 암호화된 데이터에 액세스하는 방법과 잠금을 생성하여 BitLocker를 테스트하는 방법에 대해 설명합니다. 시나리오 7에서는 BitLocker를 끄는 과정을 안내합니다.

BitLocker 드라이브 암호화에 대한 요구 사항

이 단계는 테스트 전용입니다. 이 가이드는 Windows Server 2008 또는 Windows Vista 기능을 배포할 때 사용하는 유일한 리소스가 아닙니다.

하드웨어 및 소프트웨어 요구 사항

  • Windows Server 2008의 최소 요구 사항을 충족하는 컴퓨터

  • TPM 버전 1.2 켜기 (시나리오 3 및 4)

  • TCG(신뢰할 수 있는 컴퓨팅 그룹) 규격 BIOS(시나리오 3 및 4)

  • 2개의 NTFS 디스크 파티션(시스템 볼륨과 운영 체제 볼륨용으로 각각 1개씩). 시스템 볼륨 파티션은 크기가 1.5GB 이상이어야 하며 활성 파티션으로 설정되어야 합니다(시나리오 1).

  • USB 또는 CD 드라이브가 아닌 하드 디스크 드라이브에서 먼저 시작하는 BIOS 설정

note참고
USB 플래시 드라이브를 포함하는 테스트에서는 BIOS가 시작 시 USB 플래시 드라이브 읽기를 지원해야 합니다.

  • 암호화 키 및 기타 중요한 데이터는 디버거를 사용하여 액세스할 수 있으므로 BitLocker를 사용하는 동안에는 커널 디버거를 실행하지 않는 것이 좋습니다. 그러나 BitLocker를 사용하기 전에 커널 디버깅을 사용할 수 있습니다. BitLocker를 사용한 후에 커널 디버깅을 사용하면 컴퓨터를 다시 시작할 때마다 복구 프로세스가 자동으로 시작됩니다. 부팅 디버깅("-bootdebug" 옵션이 있는 커널 디버깅)을 사용하는 경우 컴퓨터를 다시 시작할 때마다 복구 프로세스가 자동으로 시작됩니다.

시나리오 1: BitLocker 드라이브 암호화를 위한 하드 디스크 분할

BitLocker가 작동하려면 하드 디스크에 두 개 이상의 파티션이 있어야 합니다. 첫 번째 파티션은 시스템 볼륨입니다. 시스템 볼륨은 이 문서에서 S 레이블이 지정되어 있습니다. 이 볼륨에는 암호화되지 않은 공간에 부팅 정보가 포함되어 있습니다. 두 번째 파티션은 운영 체제 볼륨입니다. 운영 체제 볼륨은 이 문서에서 C 레이블이 지정되어 있습니다. 이 볼륨은 암호화되어 있으며 운영 체제 및 사용자 데이터를 포함합니다.

파티션은 Windows Server 2008을 설치하기 전에 만들어야 합니다.

note참고
일부 경우 볼륨에 여러 개의 파티션이 있을 수 있습니다. 이 문서에서는 볼륨과 파티션이 기능상 동일한 단순 볼륨에 대해서만 설명합니다. BitLocker는 논리 구조인 볼륨에서 작동합니다. 하지만 다수의 디스크 도구는 실제 디스크 파티션과 관련되어 있습니다.

시나리오 1에서는 BitLocker에 필요한 두 개의 파티션을 만드는 방법에 대해 설명합니다. 이 절차에서는 디스크에서 모든 데이터를 백업했다고 가정합니다.

하나의 파티션으로 된 사용하지 않은 디스크가 있는 경우 BitLocker용 운영 체제 없이 디스크 분할의 단계를 따릅니다.

note참고
모든 데이터를 백업했는지와 Windows Vista의 제품 키를 갖고 있는지를 확인하십시오.

note참고
Windows Vista가 이미 설치되어 있는 경우 BitLocker 드라이브 준비 도구를 사용하여 운영 체제를 다시 설치하지 않고도 BitLocker에 필요한 볼륨을 구성할 수 있습니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkID=83261(페이지는 영문일 수 있음)을 참조하십시오.

BitLocker용 운영 체제 없이 디스크 분할

다음 절차에서는 제품 DVD를 사용하여 컴퓨터를 시작하고 일련의 명령을 입력하여 다음을 수행합니다.

  • 1.5GB 크기의 새로운 주 파티션을 만듭니다.

  • 이 파티션을 활성으로 설정합니다.

  • 디스크의 남은 공간을 사용하여 두 번째 주 파티션을 만듭니다.

  • Windows 볼륨으로 사용될 수 있도록 두 개의 새 파티션을 모두 포맷합니다.

  • 더 큰 볼륨(드라이브 C)에 Windows Server 2008을 설치합니다.

note참고
위에서 설명한 활성 파티션은 BitLocker가 올바르게 작동하는 데 필요합니다.

실제 드라이브 문자는 이 예의 드라이브 문자와 다를 수 있습니다. 이 예에서 운영 체제 볼륨에는 C 레이블이 지정되어 있고 시스템 볼륨에는 시스템 볼륨을 나타내는 S 레이블이 지정되어 있습니다. 또한 이 예에서는 시스템에 하나의 실제 하드 디스크 드라이브만 있다고 가정합니다.

BitLocker용 운영 체제 없이 디스크를 분할하려면

  1. Windows Server 2008 제품 DVD를 사용하여 컴퓨터를 시작합니다.

  2. 초기 Windows 설치 화면에서 설치 언어, 시간 및 통화 형식, 자판 배열을 차례로 선택한 후 다음을 클릭합니다.

  3. 다음 Windows 설치 화면에서 화면 왼쪽 아래에 있는 컴퓨터 복구를 클릭합니다.

  4. 시스템 복구 옵션 대화 상자에서 운영 체제가 선택되어 있지 않은지 확인합니다. 그렇게 하려면 운영 체제 목록의 나열된 항목 아래에 있는 빈 영역을 클릭합니다. 그런 후 다음을 클릭합니다.

  5. 다음 시스템 복구 옵션 대화 상자에서 명령 프롬프트를 클릭합니다.

  6. Diskpart를 사용하여 운영 체제 볼륨에 대한 파티션을 만듭니다. 명령 프롬프트에 diskpart를 입력한 후 Enter 키를 누릅니다.

  7. select disk 0을 입력합니다.

  8. clean을 입력하여 기존 파티션 테이블을 지웁니다.

  9. create partition primary size=1500을 입력하여 생성 중인 파티션을 주 파티션으로 설정합니다.

  10. assign letter=S를 입력하여 이 파티션에 S 지정자를 부여합니다.

  11. active를 입력하여 새 파티션을 활성 파티션으로 설정합니다.

  12. create partition primary를 입력하여 다른 주 파티션을 만듭니다. 더 큰 파티션에 Windows를 설치할 것입니다.

  13. assign letter=C를 입력하여 이 파티션에 C 지정자를 부여합니다.

  14. list volume을 입력하여 이 디스크에 모든 볼륨을 표시합니다. 각 볼륨, 볼륨 번호, 문자, 레이블, 파일 시스템, 유형, 크기, 상태 및 정보의 목록을 확인합니다. 한 개의 DVD 설치 볼륨과 두 개의 디스크 볼륨이 있는지와 각 볼륨에 사용된 레이블을 알고 있는지 확인합니다.

  15. exit를 입력하여 Diskpart 응용 프로그램을 종료합니다.

  16. format c: /y /q /fs:NTFS를 입력하여 C 볼륨을 올바르게 포맷합니다.

  17. format s: /y /q /fs:NTFS를 입력하여 S 볼륨을 올바르게 포맷합니다.

  18. exit를 입력하여 명령 프롬프트를 종료합니다.

  19. 시스템 복구 옵션 창에서 오른쪽 위에 있는 창 닫기 아이콘을 사용하거나 Alt+F4를 눌러 창을 닫고 기본 설치 화면으로 돌아갑니다. 시스템 종료 또는 다시 시작을 클릭하지 마십시오.

  20. 지금 설치를 클릭하고 Windows Server 2008 설치 프로세스를 진행합니다. 더 큰 볼륨 C(운영 체제 볼륨)에 Windows Server 2008을 설치합니다.

시나리오 2: BitLocker 드라이브 암호화 설치

시나리오 2는 서버에 BitLocker 드라이브 암호화를 설치하는 방법에 대해 간략하게 설명합니다. 서버 설치에서 BitLocker 기능을 설치해야 합니다.

시작하기 전에

  • 관리자로 로그온해야 합니다.

note참고
BitLocker를 설치하면 서버를 다시 시작해야 합니다.

초기 구성 중에 BitLocker를 설치하려면

  1. Windows Server 2008을 설치할 때 초기 구성 작업 창이 나타납니다.

  2. 기능 추가를 선택한 다음 BitLocker 드라이브 암호화를 설치합니다.

  3. 서버를 다시 시작합니다.

서버 관리자를 사용하여 BitLocker를 설치할 수도 있습니다.

Windows 사용자 인터페이스를 사용하여 설치한 후에 BitLocker를 설치하려면

  1. 시작, 서버 관리자, 기능 추가, BitLocker 드라이브 암호화를 차례로 클릭합니다.

  2. 서버를 다시 시작합니다.

명령 프롬프트에서 BitLocker를 설치할 수도 있습니다.

명령 프롬프트를 사용하여 설치한 후에 BitLocker를 설치하려면

  1. 관리자 권한으로 명령 프롬프트 창을 엽니다. 이렇게 하려면 시작 단추, 모든 프로그램, 보조프로그램을 차례로 클릭합니다.

  2. 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

  3. 사용자 계정 컨트롤 대화 상자가 나타나면 대화 상자에서 표시되는 동작이 원하는 동작인지 확인하고 계속을 클릭합니다.

  4. 명령 프롬프트에 다음을 입력하십시오.

    ServerManagerCmd -install BitLocker -restart

    이 명령을 실행하면 BitLocker가 설치됩니다(아직 설치되지 않은 경우).

  5. 서버를 다시 시작합니다.

시나리오 3: 기본 BitLocker 드라이브 암호화 켜기

시나리오 3에서는 TPM이 있는 시스템에서 BitLocker 드라이브 암호화 보호 기능을 켜는 절차에 대해 간략하게 설명합니다. 볼륨이 암호화되면 사용자는 컴퓨터에 정상적으로 로그온할 수 있습니다.

시작하기 전에

  • 관리자로 로그온해야 합니다.

  • BitLocker가 이 서버에 설치되어 있어야 합니다.

  • 복구 암호를 인쇄하도록 프린터를 구성할 수 있습니다.

BitLocker 드라이브 암호화를 켜려면

  1. 시작, 제어판, 보안, BitLocker 드라이브 암호화를 차례로 클릭합니다.

  2. 사용자 계정 컨트롤 대화 상자가 나타나면 대화 상자에서 표시되는 동작이 원하는 동작인지 확인하고 계속을 클릭합니다.

  3. BitLocker 드라이브 암호화 페이지에서 운영 체제 볼륨의 BitLocker 켜기를 클릭합니다. BitLocker 암호화가 서버 성능에 영향을 줄 수 있음을 경고하는 메시지가 표시됩니다.

    TPM이 초기화되지 않은 경우 TPM 보안 하드웨어 초기화 마법사가 표시됩니다. 다음 지침에 따라 TPM을 초기화하고 컴퓨터를 다시 시작하거나 종료합니다.

  4. 복구 암호 저장 페이지에는 다음과 같은 옵션이 표시됩니다.

    • USB 드라이브에 암호 저장. USB 플래시 드라이브에 암호를 저장합니다.

    • 폴더에 암호 저장. 네트워크 드라이브의 폴더나 다른 위치에 암호를 저장합니다.

    • 암호 인쇄. 암호를 인쇄합니다.

    이러한 옵션 중 하나 이상을 사용하여 복구 암호를 보존합니다. 각 옵션에 대해 옵션을 선택하고 마법사 단계를 수행하여 복구 암호를 저장하거나 인쇄할 위치를 설정합니다.

    복구 암호 저장을 마쳤으면 다음을 클릭합니다.

    Important중요
    복구 암호는 암호화된 디스크를 다른 컴퓨터로 이동해야 하거나 시스템 시작 정보가 변경된 경우에 필요합니다. 이 암호는 매우 중요하므로 데이터 액세스를 보장하기 위해 추가로 암호 복사본을 만들어 안전한 장소에 저장하는 것이 좋습니다. BitLocker가 잠금 상태가 되면 복구 암호가 있어야 볼륨의 암호화된 데이터를 잠금 해제할 수 있습니다(시나리오 5: BitLocker 드라이브 암호화로 보호된 데이터 복구 참조). 이 복구 암호는 이 특정 BitLocker 암호화에만 사용할 수 있습니다. 이 복구 암호를 사용하여 다른 BitLocker 암호화 세션의 암호화된 데이터를 복구할 수는 없습니다.

    Important중요
    보안을 최대화하려면 컴퓨터 이외의 장소에 복구 암호를 저장합니다.

  5. 선택한 디스크 볼륨 암호화 페이지에서 Bitlocker 시스템 검사 실행이 선택되어 있는지 확인하고 계속을 클릭합니다.

    지금 다시 시작을 클릭하여 컴퓨터를 다시 시작하도록 확인합니다. 컴퓨터가 다시 시작되며 BitLocker는 컴퓨터가 BitLocker와 호환 가능하고 암호화할 준비가 되었는지 확인합니다. 그렇지 않으면 문제를 경고하는 오류 메시지가 표시됩니다.

  6. 암호화 준비가 완료된 경우 암호화 진행 중 상태 표시줄이 나타납니다. 화면 맨 아래의 알림 영역에 있는 BitLocker 드라이브 암호화 아이콘 위로 마우스 커서를 끌어서 디스크 볼륨 암호화의 완료 상태를 지속적으로 모니터링할 수 있습니다.

    이 절차를 완료하면 운영 체제 볼륨이 암호화되고 해당 볼륨에 고유한 복구 암호가 만들어집니다. 다음에 로그온할 때 변경된 내용은 표시되지 않습니다. TPM이 변경되거나 TPM에 액세스할 수 없는 경우, 주요 시스템 파일이 변경된 경우 또는 누군가 운영 체제를 우회하기 위해 제품 CD나 DVD를 사용하여 컴퓨터를 시작하려고 하는 경우 컴퓨터는 복구 암호가 제공될 때까지 복구 모드로 전환됩니다.

시나리오 4: 서버 데이터 볼륨에 대한 BitLocker 드라이브 암호화 켜기

공유되어 있거나 보호되지 않은 환경(예: 지점)에 보관된 서버에 대해서 BitLocker는 데이터 볼륨 및 운영 체제 볼륨을 암호화하여 클라이언트 컴퓨터를 제공하는 것과 동일한 수준의 데이터 보호를 보장합니다.

운영 체제는 BitLocker로 보호된 데이터 볼륨을 일반적인 방식으로 탑재합니다.

데이터 볼륨을 보호하는 키는 운영 체제 볼륨을 보호하는 키와는 별개입니다. 시스템에서 이 볼륨을 자동으로 탑재할 수 있도록 하기 위해 데이터 볼륨을 보호하는 키 체인도 현재 부팅된 볼륨에 암호화된 상태로 저장됩니다. 운영 체제가 복구 모드로 전환되는 경우 데이터 볼륨은 운영 체제가 복구 모드를 종료할 때까지 잠금 해제되지 않습니다.

데이터 볼륨 복구는 운영 체제 볼륨의 복구와 비슷합니다. 데이터 볼륨이 손상되거나, 새 플랫폼으로 옮겨지거나 또는 운영 체제 볼륨이 데이터 볼륨의 키를 검색하여 자동으로 잠금 해제하지 못하는 경우 사용자는 데이터 볼륨 복구 키의 사본이 들어 있는 미디어를 삽입합니다.

Important중요
실제 드라이브 문자는 이 예의 드라이브 문자와 다를 수 있습니다. 이 예에서 운영 체제 볼륨에는 C 레이블이 지정되어 있고 시스템 볼륨에는 시스템 볼륨을 나타내는 S 레이블이 지정되어 있습니다. 또한 이 예에서는 시스템에 하나의 실제 하드 디스크 드라이브만 있다고 가정합니다.

시작하기 전에

  • 관리자로 로그온해야 합니다.

  • BitLocker가 이 서버에 설치되어 있어야 합니다.

  • USB 플래시 드라이브가 있어야 데이터 볼륨에 대한 복구 암호를 저장할 수 있습니다.

서버 데이터 볼륨에 대한 BitLocker 드라이브 암호화를 켜려면

  1. 관리자 권한으로 명령 프롬프트 창을 엽니다. 이렇게 하려면 시작 단추, 모든 프로그램, 보조프로그램을 차례로 클릭합니다.

  2. 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

  3. 사용자 계정 컨트롤 대화 상자가 나타나면 대화 상자에서 표시되는 동작이 원하는 동작인지 확인하고 계속을 클릭합니다.

  4. 명령 프롬프트에 다음을 입력하십시오.

    start /w pkgmgr /iu:BitLocker

    이 명령을 실행하면 BitLocker가 설치됩니다(아직 설치되지 않은 경우).

  5. 서버를 다시 시작합니다. 이제 BitLocker가 설치되었지만 아직 사용하도록 설정되지 않았습니다.

  6. 관리자 권한 명령 프롬프트에 다음을 입력합니다.

    manage-bde –on <volume>: -rp –rk U:\

  7. 이 명령은 명명된 볼륨을 암호화하고 복구 암호를 생성하며 U:\(예: USB 드라이브) 아래에 복구 키를 저장합니다. 콘솔에 표시된 복구 키 파일 이름 및 복구 암호를 기록합니다. 다시 시작할 때마다 다음과 같이 복구 암호 또는 복구 키를 사용하여 각 데이터 볼륨을 잠금 해제해야 합니다.

    • manage-bde –unlock <volume>: -rp <recovery password>

    • manage-bde –unlock <volume>: -rk U:\<recovery-key-file name>

  8. 데이터 볼륨의 자동 잠금 해제를 사용하려면 다음을 입력합니다.

    manage-bde –autounlock –enable <volume>:

  9. 이 명령은 복구 키를 생성하여 운영 체제 볼륨에 저장합니다. 운영 체제 볼륨은 이 명령이 실행되기 전에 완전히 암호화되어야 합니다. 자동 잠금 해제를 사용하면 다시 시작할 때마다 데이터 볼륨이 자동으로 잠금 해제됩니다.

시나리오 5: 호환 가능한 TPM 없이 컴퓨터에서 BitLocker 드라이브 암호화 켜기

다음 절차에 따라 컴퓨터의 그룹 정책 설정을 변경하여 TPM 없이 BitLocker 드라이브 암호화를 켤 수 있습니다. TPM 대신 시작 키를 사용하여 인증받습니다. 시작 키는 컴퓨터를 켜기 전에 컴퓨터에 삽입한 USB 플래시 드라이브에 있습니다. 이 시나리오에서는 운영 체제 이전 환경(시작 시)에서 USB 플래시 드라이브를 읽는 BIOS가 있어야 합니다. BIOS는 BitLocker 마법사의 최종 단계에 있는 시스템 검사로 확인할 수 있습니다.

시작하기 전에

  • 관리자로 로그온해야 합니다.

  • BitLocker가 이 서버에 설치되어 있어야 합니다.

  • USB 플래시 드라이브가 있어야 복구 암호를 저장할 수 있습니다.

  • 두 번째 USB 플래시 드라이브를 사용하여 복구 암호와 별도로 시작 키를 저장하는 것이 좋습니다.

호환 가능한 TPM 없이 컴퓨터에서 BitLocker 드라이브 암호화를 켜려면

  1. 시작을 클릭하고 검색 시작 상자에 gpedit.msc를 입력한 다음 Enter 키를 누릅니다.

  2. 사용자 계정 컨트롤 대화 상자가 나타나면 대화 상자에서 표시되는 동작이 원하는 동작인지 확인하고 계속을 클릭합니다.

  3. 로컬 그룹 정책 편집기 콘솔 트리에서 로컬 컴퓨터 정책, 관리 템플릿, Windows 구성 요소, BitLocker 드라이브 암호화를 차례로 클릭합니다.

  4. 제어판 설정: 고급 시작 옵션 사용 설정을 두 번 클릭합니다.

  5. 사용 옵션, 호환되는 TPM이 없이 BitLocker 허용 확인란을 차례로 선택한 다음 확인을 클릭합니다.

    TPM 대신 시작 키를 사용할 수 있도록 정책 설정을 변경했습니다.

  6. 로컬 그룹 정책 편집기를 닫습니다.

  7. 그룹 정책을 즉시 적용하려면 시작을 클릭하고 검색 시작 상자에 gpupdate.exe /force를 입력한 다음 Enter 키를 누릅니다.

  8. 시작, 제어판, 보안, BitLocker 드라이브 암호화를 차례로 클릭합니다.

  9. 사용자 계정 컨트롤 대화 상자가 나타나면 대화 상자에서 표시되는 동작이 원하는 동작인지 확인하고 계속을 클릭합니다.

  10. BitLocker 드라이브 암호화 페이지에서 BitLocker 켜기를 클릭합니다. 이 옵션은 운영 체제 볼륨에서만 나타납니다.

  11. BitLocker 시작 기본 설정 페이지에서 시작할 때마다 시작 USB 키 필요 옵션을 선택합니다. 이것은 TPM 구성이 아닌 경우 사용할 수 있는 유일한 옵션입니다. 컴퓨터를 시작하기 전에 매번 이 키를 삽입해야 합니다.

  12. 컴퓨터에 아직 USB 플래시 드라이브를 삽입하지 않았으면 지금 삽입합니다.

  13. 시작 키 저장 페이지에서 USB 플래시 드라이브의 위치를 선택한 다음 저장을 클릭합니다.

  14. 복구 암호 저장 페이지에는 다음과 같은 옵션이 표시됩니다.

    • USB 드라이브에 암호 저장. USB 플래시 드라이브에 암호를 저장합니다.

    • 폴더에 암호 저장. 네트워크 드라이브의 폴더나 다른 위치에 암호를 저장합니다.

    • 암호 인쇄. 암호를 인쇄합니다.

    이러한 옵션 중 하나 이상을 사용하여 복구 암호를 보존합니다. 각 옵션에 대해 옵션을 선택하고 마법사 단계를 수행하여 복구 암호를 저장하거나 인쇄할 위치를 설정합니다. 같은 미디어에 복구 암호와 시작 키를 동시에 저장하면 안 됩니다.

    복구 암호 저장을 마쳤으면 다음을 클릭합니다.

    Important중요
    복구 암호는 암호화된 디스크를 다른 컴퓨터로 이동해야 하거나 시스템 시작 정보가 변경된 경우에 필요합니다. 이 암호는 매우 중요하므로 데이터 액세스를 보장하기 위해 추가로 암호 복사본을 만들어 안전한 장소에 저장하는 것이 좋습니다. BitLocker가 잠금 상태가 되면 복구 암호가 있어야 볼륨의 암호화된 데이터를 잠금 해제할 수 있습니다(시나리오 5: BitLocker 드라이브 암호화로 보호된 데이터 복구 참조). 이 복구 암호는 이 특정 BitLocker 암호화에만 사용할 수 있습니다. 이 복구 암호를 사용하여 다른 BitLocker 암호화 세션의 암호화된 데이터를 복구할 수는 없습니다.

    Important중요
    보안을 최대화하려면 컴퓨터 이외의 장소에 복구 암호를 저장합니다.

  15. 선택한 디스크 볼륨 암호화 페이지에서 Bitlocker 시스템 검사 실행이 선택되어 있는지 확인하고 계속을 클릭합니다.

    지금 다시 시작을 클릭하여 컴퓨터를 다시 시작하도록 확인합니다. 컴퓨터가 다시 시작되며 BitLocker는 컴퓨터가 BitLocker와 호환 가능하고 암호화할 준비가 되었는지 확인합니다. 그렇지 않으면 암호화가 시작되기 전에 문제를 경고하는 오류 메시지가 표시됩니다.

  16. 암호화 준비가 완료된 경우 암호화 진행 중 상태 표시줄이 나타납니다. 화면 맨 아래의 알림 영역에 있는 BitLocker 드라이브 암호화 아이콘 위로 마우스 커서를 끌거나 암호화 아이콘을 클릭하여 디스크 볼륨 암호화의 완료 상태를 지속적으로 모니터링할 수 있습니다.

    이 절차를 완료하면 운영 체제 볼륨이 암호화되고 해당 볼륨에 고유한 복구 암호가 만들어집니다. 다음에 컴퓨터를 켤 때 시작 키가 있는 USB 플래시 드라이브를 컴퓨터의 USB 포트에 연결해야 합니다. 그렇지 않으면 암호화된 볼륨의 데이터에 액세스할 수 없습니다.

    시작 키가 있는 USB 플래시 드라이브가 없는 경우 데이터에 액세스하려면 복구 모드를 사용하고 복구 암호를 제공해야 합니다.

시나리오 6: BitLocker 드라이브 암호화로 보호된 데이터 복구

시나리오 5에서는 BitLocker가 복구 모드로 전환된 후에 데이터를 복구하는 과정에 대해 설명합니다. 디스크 암호화 키를 사용할 수 없는 경우 BitLocker는 컴퓨터를 잠급니다. 이 문제의 가능한 원인은 다음과 같습니다.

  • TPM과 관련된 오류가 발생합니다.

  • 초기 부팅 파일 중 하나가 수정되었습니다.

  • TPM이 실수로 꺼졌고 컴퓨터도 꺼졌습니다.

  • TPM이 실수로 지워졌고 컴퓨터가 꺼졌습니다.

컴퓨터가 잠겨 있으면 운영 체제가 시작되기 전에 매우 일찍 시작 프로세스가 중단됩니다. USB 플래시 드라이브의 복구 암호를 사용하거나, 기능 키를 사용하여 복구 암호를 입력해야 합니다. F1부터 F9까지의 기능 키는 1부터 9까지의 숫자를 나타내며 F10은 0을 나타냅니다.

복구 작업은 시작 프로세스 중에 너무 일찍 진행되기 때문에 Windows의 내게 필요한 기능을 사용할 수 없습니다. 내게 필요한 기능을 사용해야 할 경우 복구가 실행되면 무엇을 할 것인지 고려하십시오.

이 시나리오는 다음 두 단계로 구성됩니다.

  • 데이터 복구 테스트

  • 데이터 복구

데이터 복구를 테스트하려면

  1. 시작을 클릭하고 모든 프로그램을 가리킨 다음 보조프로그램실행을 차례로 클릭합니다.

  2. 열기 텍스트 상자에 tpm.msc를 입력한 다음 확인을 클릭합니다. TPM 관리 콘솔이 표시됩니다.

  3. 작업 아래에서 TPM 끄기를 클릭합니다.

  4. 필요한 경우 TPM 소유자 암호를 입력합니다.

  5. 로컬 컴퓨터의 TPM 관리 작업 패널의 상태 패널에 "TPM이 해제되어 있고 TPM의 소유권을 가져왔습니다."라는 메시지가 표시되면 이 작업 패널을 닫습니다.

  6. 열려 있는 모든 창을 닫습니다.

  7. 복구 암호가 들어 있는 USB 플래시 드라이브가 시스템에 연결되어 있는 경우 알림 영역의 하드웨어 안전하게 제거 아이콘을 사용하여 해당 드라이브를 시스템에서 제거합니다.

  8. 시작 단추, 시스템 종료 단추를 차례로 클릭하여 컴퓨터를 다시 시작합니다. 볼륨을 암호화한 후에 시작 구성이 변경되었기 때문에 컴퓨터를 다시 시작할 때 복구 암호를 입력하라는 메시지가 표시됩니다.

BitLocker 드라이브 암호화를 사용하여 데이터에 대한 액세스를 복구하려면

  1. 컴퓨터를 켭니다.

  2. 컴퓨터가 잠겨 있는 경우 BitLocker 드라이브 암호화 복구 콘솔이 나타납니다.

  3. 복구 암호를 포함하는 USB 플래시 드라이브를 삽입하라는 메시지가 표시됩니다.

    • 복구 암호를 포함하는 USB 플래시 드라이브가 있는 경우 이 드라이브를 삽입한 다음 Esc 키를 누릅니다. 컴퓨터가 자동으로 다시 시작됩니다. 복구 암호를 수동으로 입력할 필요가 없습니다.

    • 복구 암호를 포함하는 USB 플래시 드라이브가 없는 경우 Enter 키를 누릅니다. 복구 암호를 입력하라는 메시지가 표시됩니다.

      복구 암호를 알고 있는 경우에는 입력한 다음 Enter 키를 누릅니다.

      복구 암호를 모르는 경우 Enter 키를 두 번 누르고 컴퓨터를 끕니다.

      note참고
      현재 컴퓨터에 있지 않는 폴더의 파일이나 이동식 미디어에 복구 암호를 저장한 경우 다른 컴퓨터를 사용하여 암호가 들어 있는 파일을 열 수 있습니다. 올바른 파일을 찾으려면 잠겨 있는 컴퓨터의 복구 콘솔 디스플레이에서 암호 ID를 찾아 기록합니다. 복구 암호가 들어 있는 파일은 이 암호 ID를 파일 이름으로 사용합니다. 파일을 열고 파일에서 복구 암호를 찾습니다.

시나리오 7: BitLocker 드라이브 암호화 끄기

시나리오 6에서는 BitLocker 드라이브 암호화를 끄고 볼륨의 암호를 해독하는 방법에 대해 설명합니다. 이 절차는 TPM이 장착된 컴퓨터 및 호환 가능한 TPM이 없는 컴퓨터의 모든 BitLocker 드라이브 암호화 구성에 대해 동일합니다. 데이터 볼륨은 암호 해독만 가능하며 사용하지 않을 수 없습니다.

BitLocker를 끌 때 BitLocker를 일시적으로 사용하지 않거나 볼륨의 암호를 해독하도록 선택할 수 있습니다. BitLocker를 사용할 수 없도록 설정하면 TPM 변경 내용 및 다른 부분적인 변경 내용을 시스템에 적용할 수 있습니다. 볼륨의 암호를 해독하는 것은 해당 볼륨의 암호를 완전히 해독하고 모든 키를 무시한다는 의미입니다. 운영 체제를 업그레이드하기 전에 컴퓨터의 암호를 해독해야 합니다. 볼륨의 암호를 해독한 후에 BitLocker를 사용하려면 암호화 프로세스를 다시 수행하여 새 키를 생성해야 합니다.

시작하기 전에

  • 관리자로 로그온해야 합니다.

  • 볼륨을 암호화해야 합니다.

BitLocker 드라이브 암호화를 끄려면

  1. 시작, 제어판, 보안, BitLocker 드라이브 암호화를 차례로 클릭합니다.

  2. BitLocker 드라이브 암호화 페이지에서 BitLocker 드라이브 암호화를 끌 볼륨을 찾아 BitLocker 드라이브 암호화 끄기를 클릭합니다.

  3. 암호 해독 수준을 선택하십시오. 대화 상자에서 필요하면 BitLocker 드라이브 암호화 사용 안 함 또는 볼륨 암호 해독을 클릭합니다.

    이 절차를 완료하면 BitLocker가 사용할 수 없도록 설정되거나 운영 체제 볼륨의 암호가 해독됩니다.

추가 리소스

다음 리소스에서는 BitLocker 드라이브 암호화에 대한 추가 정보를 제공합니다.

  • BitLocker는 Windows Server 2008 및 Windows Vista의 새로운 기능 집합이므로, BitLocker의 사용 경험 및 이와 관련하여 발생할 수 있는 문제점 또는 설명서가 얼마나 도움이 되는지에 대한 피드백을 보내 주시면 감사하겠습니다. 일반적인 피드백 내용은 bdeinfo@microsoft.com으로 보내 주십시오. 피드백에 대해서는 개별적으로 답변하지 않습니다.

    Microsoft Windows 구성 요소에서와 같이 BitLocker 드라이브 암호화에 대한 도움말을 보려면, Microsoft 도움말 및 지원 웹 사이트(http://go.microsoft.com/fwlink/?LinkId=76619)에 나와 있는 지원 옵션 중 하나를 선택하십시오.

  • BitLocker와 관련된 추가 설명서는 Windows Server 2008 및 Windows Vista에서 참조할 수 있습니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=76553(페이지는 영문일 수 있음)을 참조하십시오.

사용자 계정 컨트롤 기능에 대한 자세한 내용은 사용자 계정 컨트롤(http://go.microsoft.com/fwlink/?LinkId=66018)(페이지는 영문일 수 있음)을 참조하십시오.

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft