Security WatchEFS 배포: 2부

John Morello

파일 시스템 암호화(EFS) 배포는 기본적으로 인증서 관리 및 복구 에이전트에 초점을 둔 백 엔드 디자인 부분과 사용자가 접하는 EFS 배포 부분의 두 부분으로 구성된다고 간주할 수 있습니다. 지난 달에는 백 엔드 부분에 대해 다뤘고 클라이언트용 인증서를 준비할 때의 옵션과 데이터 및 키 복구 옵션에 대해 설명했습니다.

이번 호에서는 Windows® 탐색기의 향상된 기능, 암호화할 파일 시스템 위치 선택 및 그룹 정책으로 암호화 옵션을 관리하는 방법 등과 같이 최종 사용자가 접하게 될 배포 측면을 중점적으로 다룹니다.

EFS를 사용 중인지 여부 확인

EFS를 배포하기로 결정한 이후의 첫 번째 단계는 조직 내 EFS 사용의 현재 상태를 확인하는 것입니다. EFS는 독립 실행형 모드로 사용할 수 있으며, 이 경우 암호화 키의 생성과 백업에 대한 책임은 전적으로 최종 사용자에게 있습니다. 조직에 이러한 방식으로 이미 EFS를 사용하고 있는 고급 사용자가 있을 수 있으므로 보다 강력하게 관리되는 배포로 무리 없이 전환하기 위해서는 이러한 사용자를 파악하는 것이 중요합니다.

컴퓨터의 지정된 사용자가 EFS를 처음 배포하면 Windows의 HKEY_CURRENT_USER에 다음과 같은 레지스트리 항목이 생성됩니다.

HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash 

Microsoft® Systems Management Server(SMS), Active Directory 로그온 스크립트 또는 다른 도구를 사용하여 엔터프라이즈의 전체 시스템을 대상으로 이 항목이 있는지 확인할 수 있습니다. 레지스트리에 이 값이 있으면 EFS를 사용한 적이 있는 사용자입니다. 하지만 이 값이 있다고 해서 꼭 EFS를 현재 사용하고 있다거나 암호화된 데이터가 있음을 나타내는 것은 아닙니다. 따라서 이 레지스트리 키가 있는 시스템이 발견되면 더 자세히 조사하여 파일이 현재 암호화되어 있는지 확인해야 합니다.

/U와 /N 스위치를 지정하여 cipher.exe를 실행하면 컴퓨터에 있는 파일 및 디렉터리의 암호화 상태를 볼 수 있습니다. 예를 들어 시스템에 암호화된 데이터가 있는지 확인하려면 다음 명령을 실행합니다.

cipher /U /N

레지스트리 검사와 암호화 보고를 하나의 스크립트로 결합하여 이 레지스트리 값이 있는지 검사하고 이 값이 있으면 컴퓨터에서 현재 암호화된 파일에 대한 보고서를 생성할 수도 있습니다. 이 보고서가 생성되면 어떤 사용자의 어떤 파일이 암호화되었는지 파악하고 이를 중앙 관리 디자인으로 마이그레이션할 수 있습니다.

배포 도중 그룹 정책의 적용을 제어하려면 도메인에 두 개의 보안 그룹을 만들어서 EFS를 사용하는 컴퓨터와 사용하지 않는 컴퓨터를 분리하는 것이 좋습니다. 예를 들어 "SG-ComputersUsingEFS"에는 EFS를 이미 사용하고 있는 컴퓨터의 컴퓨터 계정이 포함되고 "SG-ComputersNotUsingEFS"에는 현재 EFS를 사용하고 있지 않은 다른 모든 시스템이 포함될 수 있습니다.

그룹 정책으로 EFS 사용 제어

EFS를 사용하는 사용자와 사용하지 않는 사용자를 파악했으면 클라이언트 배포의 다음 단계는 현재 EFS를 사용하고 있지 않은 사용자가 독립 실행 방식으로 EFS를 사용하지 않도록 하는 것입니다. 자체 서명된 인증서를 사용하고 있는 사용자를 마이그레이션하는 것보다 처음부터 EFS를 적절하게 사용 가능하도록 하고 구성하는 것이 더 쉽기 때문에 이 단계는 배포 프로세스에서 매우 중요합니다. EFS를 사용하지 않도록 그룹 정책을 통해 설정하면 이미 EFS를 사용 중이던 사용자는 현재 암호화된 파일에 액세스할 수 없게 되므로 EFS를 이미 사용 중인 사용자가 누구인지 먼저 파악한 뒤에 이 단계를 수행해야 합니다. 이 정책은 컴퓨터 구성\Windows 설정\보안 설정\공개 키 정책\파일 시스템 암호화 아래의 그룹 정책 개체 편집기에서 찾을 수 있습니다.

앞에서 설명했듯이 이미 EFS를 사용 중인 사용자의 작업이 중단되지 않도록 현재 EFS를 사용하고 있지 않은 컴퓨터에만 이 값을 적용해야 합니다. 따라서 위의 예에서 EFS를 사용하지 않도록 하는 그룹 정책 개체(GPO)의 액세스 제어 목록(ACL)에서는 "SG-ComputersNotUsingEFS" 그룹에만 그룹 정책을 적용하도록 허용합니다.

암호화 여부

관리되는 배포 전까지 현재 EFS를 사용 중인 시스템을 확인하고 그렇지 않은 모든 시스템의 EFS를 중지하였으면 다음 단계는 해당 관리되는 배포에서 암호화할 대상을 결정하는 것입니다. 클라이언트 시스템을 관리하는 방식에 따라 이 프로세스는 간단할 수도 있고 꽤 복잡할 수도 있습니다.

암호화할 파일을 결정할 때 첫 번째로 고려해야 할 사항은 사용자가 자신의 시스템에서 관리자인지 여부입니다. 사용자가 로컬 관리자라면 중요한 데이터를 암호화하도록 사용자를 교육하고 장려할 수는 있지만 실질적으로 데이터 암호화를 관리되는 방식으로 제어할 수는 없습니다. 그 이유는 간단합니다. 로컬 관리자는 파일 시스템의 어떤 곳에나 파일과 디렉터리를 만들 수 있기 때문입니다. 따라서 내 문서와 같은 공통 위치를 암호화할 수는 있지만 사용자가 다른 위치에 새 디렉터리를 만들고 거기에 중요한 정보를 저장하면 이 데이터도 보호되는지 확인하기가 꽤 어렵습니다. 이런 사실 때문에 EFS는 최종 사용자가 로컬 관리자가 아닐 때 얻는 모든 보안 장점에 추가하여 관리 편의성과 보안을 더욱 강화합니다.

EFS에 대해 염두에 두어야 할 또 다른 중요한 정보는 EFS는 사용자별 암호화라는 점입니다. 즉, 특정 사용자에 의해 암호화된 항목은 해당 사용자만 해독할 수 있고 SYSTEM 계정을 포함한 다른 사용자는 해독할 수 없습니다(물론 데이터 복구 에이전트(DRA)가 되는 상황은 예외임). 따라서 실행 파일이나 DLL이 사용자의 키로 암호화되어 있을 때 시스템의 다른 개체가 이에 액세스하려고 하면 액세스 거부 오류가 발생합니다. 이런 이유 때문에 일반적으로 시스템의 여러 주체가 액세스해야 하는 실행 코드를 포함하는 파일이나 디렉터리는 암호화하지 않아야 합니다. Windows에서는 %SystemRoot%의 파일 또는 SYSTEM 속성을 포함하는 파일의 암호화를 금지하지만 SYSTEM 계정에 의해 실행되는 서비스를 위해 바이너리를 %ProgramFiles%에 설치하는 소프트웨어 공급업체도 많습니다. 예를 들어 랩톱 공급업체의 경우 서비스로 실행되는 전원 및 장치 관리 소프트웨어를 이런 방식으로 설치하는 경우가 많습니다.

그러면 이 두 가지를 고려했을 때 최적의 EFS 암호화 대상은 무엇일까요? 이에 대한 답변은 사용자의 시스템이 일반적으로 어떻게 구성되어 있는지에 따라 달라집니다. 표준화된 운영 체제 이미지를 사용한 잘 관리되는 환경에서는 이미지에 미리 결정되어 있는 데이터 저장 위치를 기준으로 사용자를 위한 암호화 프로세스를 자동화할 수 있을 가능성이 큽니다. 예를 들어 사용자가 %userprofile%\내 문서에만 데이터를 저장하는 경우에는 이 디렉터리만 암호화하면 됩니다. 참고로 폴더 리디렉션을 사용하는 경우에는 내 문서를 암호화할 때 주의해야 합니다. 내 문서가 서버로 리디렉션되는 경우 서버는 위임용으로 트러스트되어야 하며 사용자의 프로필에 액세스할 수 있어야 합니다. 이런 경우에는 일반적으로 오프라인 파일 캐시만 암호화하는 것이 더 쉽습니다. 이에 대해서는 이 칼럼 뒷부분에서 설명합니다.

사용자가 파일 시스템의 여러 위치에 쓸 수 있는 관리 수준이 낮은 환경에서는 몇 개의 공통 저장 위치의 암호화를 자동화한 다음 사용자들에게 다른 위치를 직접 암호화하는 방법을 교육하는 접근법을 사용할 수 있습니다. 어떤 환경이든지 항상 파일 수준이 아닌 디렉터리 수준에서 암호화해야 합니다. 이렇게 하면 임시 파일을 포함하여 해당 디렉터리에 만들어지는 모든 파일을 항상 암호화할 수 있습니다.

권장되는 암호화 위치

일반적으로 암호화해야 하는 위치는 %userprofile%\내 문서, %userprofile%\Application Data\Microsoft\Outlook(Microsoft Office Outlook®을 메시징 클라이언트로 사용하는 경우) 및 %userprofile%\바탕 화면입니다. 내 문서를 암호화하면 Windows XP에서 파일이 저장되는 기본 위치를 보호할 수 있습니다. Outlook 디렉터리를 보호하면 로컬로 캐시되는 민감한 전자 메일도 암호화할 수 있습니다. 이는 Outlook 2003을 기본값인 캐시 모드로 실행하는 사용자에게 특히 중요합니다. 마지막으로 바탕 화면은 사용자가 현재 작업 중인 문서나 자주 사용하는 프레젠테이션을 넣어두는 일종의 임시 디렉터리로 사용하는 경우가 많습니다. 물론 조직에 따라 이러한 디렉터리 중 일부의 기본 위치를 수정했을 수 있으므로 조직에서 일반적으로 사용되는 위치를 반영하여 EFS 암호화를 적용해야 합니다.

이러한 일반적인 권장 사항 이외에도 민감한 정보를 다른 위치에 저장할 수 있는 응용 프로그램이 있는지 여부도 확인해야 합니다. 예를 들어 일부 응용 프로그램은 사용자 정보를 사용자의 프로필이 아니라 %ProgramFiles%\AppName에 저장합니다. 따라서 사용자가 사용하는 모든 데이터를 적절하게 보호할 수 있도록 클라이언트 시스템에 이러한 응용 프로그램이 있는지 확인하는 것이 중요합니다. 가장 좋은 시나리오는 EFS를 변경할 필요가 없도록 변경 내용을 다른 사용자 프로필 고유 경로(예: 내 문서)에 저장하도록 응용 프로그램을 구성하는 것입니다. 응용 프로그램이 데이터를 해당 응용 프로그램의 Program Files 디렉터리에 저장해야 하는 최악의 시나리오에서는 EFS를 사용하여 Program Files의 특정 하위 디렉터리만 암호화하도록 할 수 있습니다.

끝으로 임시 디렉터리(%TMP% 및 %TEMP%)를 암호화하려는 경우에는 주의해야 합니다. 응용 프로그램 설치 프로그램 중에는 이 디렉터리에 설치 패키지 내용의 압축을 푼 다음 압축이 풀린 파일에 대한 파일 이동 작업을 수행하여 %ProgramFiles%의 적절한 경로로 옮기는 경우가 많습니다. 같은 볼륨에서 이동된 파일은 원래의 속성이 유지되므로 %ProgramFiles%로 이동된 뒤에도 계속 암호화된 상태가 유지됩니다. 따라서 설치 프로그램을 실행한 사용자가 아닌 다른 사용자가 이 파일을 사용하려고 하면 액세스가 거부됩니다. 이러한 문제는 근본적인 원인을 알려주는 명확한 응용 프로그램 오류 메시지를 표시하지 않는 경우가 많습니다. 이런 이유 때문에 %TMP%는 최종 사용자가 직접 응용 프로그램을 설치하지 않는 잘 관리되는 환경에서만 암호화할 것을 권장합니다.

오프라인 파일 보호

오프라인 파일은 사용자가 파일 서버에 저장된 데이터의 로컬 복사본을 만들 수 있도록 해 주는 Windows 2000 이상에서 제공하는 기능으로서, 서버와의 연결이 끊긴 상태에서도 사용자가 이 데이터에 대한 작업을 수행하고 다음에 서버에 연결되었을 때 변경 내용을 서버로 동기화할 수 있도록 합니다. 하지만 오프라인 파일은 단순히 서버에 있는 파일의 복사본이 들어 있는 디렉터리가 아니라, 시스템 전체에서 공유되며 SYSTEM 계정의 컨텍스트에서 실행되는 데이터베이스입니다. Windows XP에서 이 데이터베이스를 EFS로 보호할 수 있습니다. EFS는 사용자 단위가 되어야 한다는 점을 고려하면서 이것의 의미를 생각해 보십시오. 사용자별 EFS로 어떻게 여러 보안 주체가 사용하는 데이터베이스를 암호화할 수 있을까요?

Windows XP를 사용하는 사용자가 Windows 탐색기에서 오프라인 파일을 암호화하도록 선택했을 때 사용되는 암호화 루틴은 사용자가 시작할 수 있는 다른 암호화 작업에 사용되는 루틴과 다릅니다. 사용자의 개인 EFS 키 쌍을 프로세스에 사용(SYSTEM이 파일에 액세스할 수 없음)하는 대신 SYSTEM 계정에서 EFS에 사용할 키 쌍을 자체적으로 생성하고 이 키 쌍을 사용하여 클라이언트 쪽 캐시를 암호화합니다. 따라서 누군가가 SYSTEM으로 실행할 수 있는 코드를 얻을 수 있다면 캐시의 데이터를 해독할 수 있게 되는 심각한 보안 문제가 있습니다. 랩톱을 도난당한 경우 공격자는 쉽게 관리자 암호를 재설정하여 관리자로 로그온할 수 있습니다. 관리자로 실행하기만 하면 코드가 SYSTEM으로 실행되도록 하여 캐시에 액세스하는 것 역시 매우 간단합니다. Windows Vista™에서는 이 동작이 변경되었습니다. 이제 Windows Vista에서는 사용자별 오프라인 파일을 암호화할 때 개인 사용자의 키를 사용합니다.

보안 계정 관리(SAM)의 오프라인 데이터베이스를 위한 암호화 키를 부팅 시 암호 입력으로 저장하거나(모드 2) 부팅 프로세스 도중 플로피 디스크에 저장하도록(모드 3) 랩톱을 구성하여 이러한 종류의 공격으로부터 보호할 수 있습니다. 하지만 이 두 방법 모두 부팅 프로세스 도중 컴퓨터와의 상호 작용이 필요하고 이 상호 작용은 자동화할 수 없으므로 자동화된 시스템 관리에 문제가 될 수 있기 때문에 귀찮은 작업일 수 있습니다. 하지만 오프라인 파일이 있는 컴퓨터에 EFS를 사용해야 한다면 이 방법 중 한 가지를 사용하여 캐시의 데이터를 보호해야 합니다. 일반적으로 부팅 시 암호(그림 1)를 사용할 것을 권장합니다. 랩톱 가방을 분실한 경우 대부분 디스크가 랩톱 안에 이미 있거나 가방 안에 함께 있는 경우가 많기 때문입니다.

Figure 1** Automate EFS operations **

EFS 사용

클라이언트에서 암호화할 대상을 결정했으면 다음 단계는 실제 암호화 작업을 수행하는 것입니다. 이 프로세스는 로그온 스크립트 또는 cipher.exe를 호출하여 암호화 작업을 수행하는 클라이언트 스크립트를 실행하는 다른 프로세스를 통해 처리할 수 있습니다. 앞에서 설명한 예에서처럼, 환경에 기존 독립 실행형 EFS 사용자가 있는 경우 이 사용자를 먼저 마이그레이션하는 것이 좋습니다.

이러한 독립 실행형 사용자를 마이그레이션하는 첫 번째 단계는 2007년 2월에 게시한 이 칼럼의 1부(microsoft.com/technet/technetmag/issues/2007/02/SecurityWatch)에서 설명한 것처럼 클라이언트 시스템에 관리되는 인증서를 제공하는 것입니다. 모든 시스템이 이 관리되는 인증서에 등록되었으면 /U 스위치와 함께 cipher를 실행하여 기존의 모든 파일을 새 암호화 및 복구 에이전트 키로 업데이트해야 합니다. 이 단계에서 SG-ComputersUsingEFS 그룹의 모든 시스템은 관리되는 방식으로 EFS를 사용하는데, 여기에는 중앙에서 발급되고 보관되었을 수 있는 키와 중앙에서 관리되는 복구 에이전트가 포함됩니다.

현재 EFS를 사용하고 있지 않은 사용자를 대상으로 EFS를 배포하려면 먼저 EFS 사용을 금지하는 그룹 정책을 제거해야 합니다. 이 작업이 완료되고 관리되는 인증서에 사용자가 등록되었으면 로그온 스크립트를 실행하여 앞에서 설명한 키 경로를 암호화할 수 있습니다. 다음은 간단한 스크립트 샘플입니다.

cipher /e /s /a "%userprofile%\My Documents"

cipher /e /s /a "%userprofile%\Application Data\Microsoft\Outlook"

cipher /e /s /a "%userprofile%\Desktop"

원하는 디렉터리에 EFS를 적용했으면 EFS 배포의 보안을 강화하기 위한 두 가지 추가적인 옵션의 설정을 고려해야 합니다. 이 두 옵션은 모두 메모리에서 디스크로 페이징되는 데이터와 관련됩니다. 각 시나리오에서 악의적인 사용자가 복구할 가능성이 있는 데이터의 양은 정상적 사용 도중 디스크로 페이징되었거나 메모리에 로드된 데이터로 제한됩니다. 즉, 사용자가 보지 않았기 때문에 메모리로 로드되지 않은 중요한 EFS 보호 데이터가 시스템에 있는 경우 해당 데이터는 이러한 공격 방식으로부터 위험하지 않다는 의미입니다.

페이지 파일은 Windows에서 가상 메모리로 사용되며(다른 운영 체제에서는 스왑 공간이라고도 함) 메모리 내 원시 데이터를 하드 드라이브에 일반 텍스트로 기록한 것입니다. 따라서 공격자가 페이지 파일을 복구할 수 있으면 분석 도구를 사용하여 이 파일에서 유용한 데이터를 추출해낼 가능성이 있기 때문에 EFS 보호 시스템에서 중요한 데이터가 위험해질 수 있습니다. Windows XP에서는 페이지 파일 자체를 암호화할 수 없기 때문에(Windows Vista에서는 암호화 가능) 가장 좋은 방법은 종료 시 Windows가 이를 삭제하도록 하는 것입니다. 그림 2에서처럼 그룹 정책을 통해 이렇게 할 수 있습니다.

Figure 2** Setting group policy **(더 크게 보려면 이미지를 클릭하십시오.)

이 설정의 단점은 특히 메모리의 양이 큰 시스템에서 시스템 종료에 걸리는 시간이 크게 늘어난다는 점입니다. 기본적으로 페이지 파일의 크기는 컴퓨터의 실제 메모리 양과 직접적인 관련이 있습니다. 페이지 파일을 지우려면 Windows가 종료 전에 디스크의 모든 페이지에 물리적 쓰기 작업을 해야 하기 때문입니다.

전원 관리 모드가 최대 절전 모드를 사용하도록 설정된 경우 Windows의 최대 절전 모드 파일에는 시스템의 실제 메모리의 덤프가 포함됩니다. 최대 절전 모드가 실행되면 Windows는 사용자가 작업을 재개할 때 컴퓨터를 이전과 동일한 상태로 복원할 수 있도록 하기 위해 실제 메모리의 전체 내용을 최대 절전 모드 파일의 디스크에 기록합니다. 페이지 파일과 마찬가지로 최대 절전 모드 파일은 Windows XP에서 암호화할 수 없습니다. 하지만 페이지 파일과 달리 최대 절전 모드는 GPO에서 직접 해제할 수 없습니다. 대신 /HIBERNATE 스위치와 함께 powercfg.exe를 호출하는 스크립트를 사용하여 최대 절전 모드를 해제하거나 다시 설정해야 합니다.

초기 암호화 및 구성 작업을 마친 뒤에는 배포에서 디스크의 느려진 공간(slack space)에 대한 정리를 고려해야 합니다. 이 프로세스는 매우 시간이 오래 걸리고 작업에 많은 영향을 미칠 수 있지만 높은 보안 환경에서 많은 보안 장점을 가집니다. 느려진 공간은 시스템에서 현재 활성화된 데이터가 포함되어 있지는 않지만 하드 디스크의 작동 방식 때문에 이전에 사용된 파일의 중요한 정보 조각이 포함되어 있을 수 있는 디스크 영역입니다. 즉, 파일 삭제 작업은 디스크에서 파일이 차지하고 있는 모든 섹터를 실제로 덮어쓰는 것이 아니라 파일 테이블의 포인터만 제거하기 때문에 삭제된 데이터가 계속 디스크에 남아 있을 수 있습니다. 이러한 경우 느려진 공간을 읽어서 파일을 재조합할 수 있는 도구를 사용하면 데이터를 복구하는 것이 가능합니다. 이러한 잔여 데이터를 안전하게 지우려면 cipher를 /W 스위치와 함께 실행하십시오. 이렇게 하면 cipher는 디스크에서 사용 가능한 것으로 표시된 모든 섹터를 반복적으로 덮어씁니다. 그 다음부터는 중요한 데이터에 대한 이후의 모든 파일 작업이 EFS로 보호되는 디렉터리에서만 수행된다면 이 명령을 주기적으로 실행할 필요는 없습니다.

EFS를 위한 Windows 탐색기 향상

기본적으로 파일 및 디렉터리에 대한 암호화 및 해독 옵션은 Windows 탐색기의 고급 속성 메뉴에서 잘 보이지 않습니다. 마우스 오른쪽 버튼을 클릭하면 나타나는 Windows 탐색기 상황에 맞는 메뉴에 "암호화" 및 "암호화 해제"를 표시하여 최종 사용자 환경을 향상시킬 수 있습니다. 또한 EFS로 보호된 파일과 디렉터리는 다른 파일과 다른 색(녹색)으로 표시되도록 Windows 탐색기를 구성할 수 있습니다. 이렇게 하면 사용자가 고급 속성 메뉴까지 들어가지 않고도 파일이나 디렉터리가 암호화되었는지 여부를 알 수 있습니다. 끝으로 파일이나 디렉터리에 액세스할 수 있는 사용자를 정의하는 옵션을 추가할 수 있습니다. 이 옵션을 사용 가능으로 설정하려면 reg.exe를 호출하는 스크립트를 통해 레지스트리를 다음과 같이 변경하십시오.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"EncryptionContextMenu"=dword:00000001

"ShowCompColor"=dword:00000001

[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]  
@="rundll32 efsadu.dll,AddUserToObject %1"

Windows Vista에서의 EFS

Windows Vista에서는 EFS가 크게 향상되어 보안이 강화되었음은 물론 배포와 관리도 더 쉬워졌습니다. 이러한 개선 사항 중 중요한 사항은 EFS 키의 스마트 카드 저장이 완전하게 지원된다는 점입니다. 이미 스마트 카드 로그온을 활용하고 있는 조직의 경우 같은 카드를 사용하여 사용자의 EFS 키를 저장할 수도 있기 때문에 특히 유용한 기능입니다. 스마트 카드 지원은 복구 에이전트 인증서로 확장할 수도 있으므로 중요한 DRA 인증서도 카드에 저장할 수 있습니다.

또한 Windows Vista에서는 Windows XP에서 불가능하거나 쉽게 구현할 수 없었던 항목의 암호화도 지원됩니다. Windows Vista에서는 페이지 파일을 암호화할 수 있기 때문에 "가상 메모리 페이지 파일 지움" 옵션을 설정할 필요가 없습니다. Windows Vista에서는 오프라인 파일이 전체적으로 다시 설계되었습니다. 더욱 사용자 친화적으로 바뀐 인터페이스와 크게 향상된 성능 및 안정성 이외에도 클라이언트 쪽 캐싱이 사용자 단위로 바뀌었기 때문에 SYSKEY 모드 2 또는 3을 사용할 필요 없이 캐시를 안전하게 암호화할 수 있습니다. 이 두 가지 중요 개선 사항 덕분에 오늘날 Windows XP 기반 환경에서의 중요한 배포 문제점이 해결되었습니다.

마지막으로, Windows Vista에서 관리자는 별도의 스크립트를 사용할 필요 없이 그룹 정책을 통해 Documents 폴더의 암호화를 직접 구성할 수 있습니다. 그림 3은 Windows Vista에서 GPO를 통해 사용할 수 있는 새로운 EFS 속성을 보여 줍니다.

Figure 3** EFS properties in Windows Vista **(더 크게 보려면 이미지를 클릭하십시오.)

요약

EFS는 Windows 관리자에게 모바일 데이터를 보호하기 위한 강력한 보안 옵션을 제공합니다. EFS는 확장성이 높고, 관리가 용이하며, 유연한 데이터 복구 메커니즘을 제공합니다. 또한 Windows Vista에서 EFS는 스마트 카드 기반 키 저장 지원, 보다 쉬운 관리와 배포를 위해 개선된 기능을 통해 더욱 향상되었습니다. 시스템을 물리적으로 분실한 경우에도 데이터를 보호하고자 하는 조직을 위해 EFS는 이미 기존 Windows 플랫폼의 일부인 저장 솔루션을 제공합니다.

추가 정보

이 칼럼에서 논의한 주제에 대한 자세한 내용은 다음 리소스를 참조하십시오.

• 2007년 2월 Security Watch 칼럼
• Windows XP 및 Windows Server 2003에서의 파일 시스템 암호화
• SysKey 유틸리티를 사용한 Windows 보안 계정 관리자 데이터베이스의 보호

John Morello는 LSU를 수석으로 졸업했으며 지난 6년 동안 Microsoft에서 다양한 업무를 담당했습니다. 선임 컨설턴트로서 Fortune 100대 기업과 연방 민간 및 방어 클라이언트용 보안 솔루션을 설계하였으며, 현재는 Windows Server 그룹의 프로그램 관리자로 보안 및 원격 액세스 기술을 담당하고 있습니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..