Windows BitLocker 드라이브 암호화 및 신뢰할 수 있는 플랫폼 모듈 복구 정보를 백업하도록 Active Directory 구성

업데이트 날짜: 2008년 6월

적용 대상: Windows Server 2008,Windows Vista

개요

이 문서에서는 Windows(R) BitLocker(TM) 드라이브 암호화(BitLocker) 및 TPM(신뢰할 수 있는 플랫폼 모듈)에 대한 복구 정보를 백업하기 위해 Active Directory(R)를 구성하는 방법에 대해 설명합니다. 복구 정보에는 각 BitLocker 사용 볼륨에 대한 복구 암호, TPM 소유자 암호 및 복구 정보가 적용되는 컴퓨터 및 볼륨을 식별하는 데 필요한 정보가 포함되어 있습니다. 데이터 암호화에 사용한 실제 키에 액세스하는 데 필요한 복구 암호뿐만 아니라 이 실제 키를 포함하는 패키지를 저장할 수도 있습니다.

note참고
Microsoft(R) Windows Server® 2008에서는 Active Directory를 Active Directory 도메인 서비스라고 합니다.

BitLocker로 보호된 디스크 볼륨의 복구 암호를 백업하면 볼륨이 잠긴 경우 관리자가 해당 볼륨을 복구할 수 있습니다. 이렇게 하면 항상 권한 있는 사용자가 기업의 암호화된 데이터에 액세스할 수 있습니다.

컴퓨터에 대한 TPM 소유자 정보를 백업하면 관리자는 해당 컴퓨터의 TPM 보안 하드웨어를 로컬 및 원격으로 구성할 수 있습니다. 예를 들어 관리자는 컴퓨터의 서비스를 해제하거나 컴퓨터를 다른 목적으로 사용할 때 TPM을 공장 기본값으로 재설정할 수 있습니다.

Important중요
도메인 컨트롤러에서 Microsoft(R) Windows Server(R) 2003 SP1, Windows Server 2003 R2 또는 Windows Server 2008을 실행 중일 경우 Active Directory에 복구 정보를 저장할 수 있습니다. 도메인 컨트롤러가 Windows Server 2003 SP1 이전 버전의 Windows Server를 실행 중일 경우에는 Active Directory에 복구 정보를 저장할 수 없습니다.

Windows Server 2008 시험판 버전을 테스트 중인 경우 Windows Server 2003 SP1 이상의 버전에 적용되는 과정을 따릅니다. 단, 다음의 경우는 예외입니다. Windows Server 2008 베타 3 이상의 릴리스를 설치했으면 이 문서의 뒷부분에 설명된 대로 스키마를 업데이트할 필요가 없습니다.

Important중요
프로덕션 환경으로 롤아웃하기 전에 테스트 또는 사전 프로덕션 환경에서 다음 단계를 수행합니다.

필요한 파일

Microsoft에서 제공되는 다음 예제 스크립트 및 LDF 파일은 복구 정보를 백업하도록 Active Directory를 구성하는 데 필요합니다.

  • Add-TPMSelfWriteACE.vbs

  • BitLockerTPMSchemaExtension.ldf

  • List-ACEs.vbs

  • Get-TPMOwnerInfo.vbs

  • Get-BitLockerRecoveryInfo.vbs

이 파일을 다운로드하려면 http://go.microsoft.com/fwlink/?LinkId=78953(페이지는 영문일 수 있음)을 참조하십시오. 이 파일의 내용 및 기타 유용한 정보는 다음 부록에 나와 있습니다.

note참고
Windows Vista 시험판 버전이나 베타 버전을 테스트하고 이전 버전의 스크립트나 스키마 확장이 포함된 Active Directory 설치를 구성했으면 이 파일의 최신 버전을 사용하고 있는지 확인해야 합니다. 또한 List-ACEs.vbs의 이전 버전을 실행했으면 작업을 계속하기 전에 이전에 추가된 BitLocker 관련 ACE(액세스 제어 항목)를 제거해야 합니다.

백그라운드

이 절에서는 Active Directory에서 BitLocker 및 TPM 복구 정보를 백업하는 방법에 대한 정보를 제공합니다.

기본적으로 복구 정보는 백업되지 않습니다. 관리자는 그룹 정책 설정을 구성하여 BitLocker 또는 TPM 복구 정보를 백업할 수 있습니다. 도메인 관리자는 이 설정을 구성하기 전에 Active Directory 스키마가 필요한 저장소 위치로 확장되었는지 그리고 백업을 수행하도록 액세스 권한이 부여되었는지 확인해야 합니다.

또한 클라이언트 컴퓨터에서 BitLocker를 구성하기 전에 Active Directory를 구성해야 합니다. BitLocker를 먼저 사용하면 해당 컴퓨터의 복구 정보가 Active Directory에 추가되지 않습니다. 자세한 내용은 이 문서의 뒷부분에 있는 질문과 대답 섹션을 참조하십시오.

Active Directory의 BitLocker 복구 정보 저장소

백업된 BitLocker 복구 정보는 컴퓨터 개체의 하위 개체에 저장됩니다. 즉, 컴퓨터 개체는 BitLocker 복구 개체의 컨테이너입니다.

각 BitLocker 복구 개체에는 복구 암호 및 기타 복구 정보가 포함되어 있습니다. BitLocker 사용 볼륨과 연관된 복구 암호가 두 개 이상 존재할 수 있기 때문에 두 개 이상의 BitLocker 복구 개체가 각 컴퓨터 개체 아래에 있을 수 있습니다.

BitLocker 복구 개체의 이름은 GUID(Globally Unique Identifier)와 날짜 및 시간 정보를 결합하여 지정하며 63자 길이로 고정됩니다. 형식은 다음과 같습니다.

<개체 생성 날짜 및 시간><복구 GUID>

예를 들면 다음과 같습니다.

2005-09-30T17:08:23-08:00{063EA4E1-220C-4293-BA01-4754620A96E7}

BitLocker 복구 개체의 CN(일반 이름)은 ms-FVE-RecoveryInformation입니다. 각 ms-FVE-RecoveryInformation 개체에는 다음 특성이 있습니다.

  • ms-FVE-RecoveryPassword

    이 특성에는 BitLocker로 암호화된 디스크 볼륨을 복구하는 데 사용되는 48자리 복구 암호가 포함되어 있습니다. BitLocker가 복구 모드가 될 때 사용자는 이 암호를 입력하여 볼륨을 잠금 해제합니다.

  • ms-FVE-RecoveryGuid

    이 특성에는 BitLocker 복구 암호와 연관된 GUID가 포함되어 있습니다. 이 GUID는 BitLocker의 복구 모드에서 사용자에게 표시되어 올바른 복구 암호를 찾아 볼륨을 잠금 해제할 수 있도록 해주며, 복구 개체의 이름에도 포함되어 있습니다.

  • ms-FVE-VolumeGuid

    이 특성에는 BitLocker 지원 디스크 볼륨과 연관된 GUID가 포함되어 있습니다.

    암호(ms-FVE-RecoveryGuid에 저장됨)는 각 복구 암호에 대해 고유하고 이 볼륨 식별자는 BitLocker로 암호화된 각 볼륨에 대해 고유합니다.

  • ms-FVE-KeyPackage

    이 특성에는 해당 복구 암호로 보호되는 볼륨의 BitLocker 암호화 키가 포함되어 있습니다.

    이 키 패키지 및 복구 암호(ms-FVE-RecoveryPassword에 저장됨)를 사용하면 디스크가 손상될 경우 BitLocker로 보호된 볼륨 부분을 암호 해독할 수 있습니다. 각 키 패키지는 해당 볼륨 식별자(ms-FVE-VolumeGuid에 저장됨)가 있는 볼륨에서만 작동합니다. 이 키 패키지를 실행하려면 특수 도구를 사용해야 합니다.

BitLocker 및 Windows Vista를 출시하기 전에 테스트한 경우에는 Windows Vista의 베타 버전이나 시험판 버전 이후에 다음과 같이 변경된 복구 개체의 특성에 유의해야 합니다.

  • 전체 포리스트 검색을 쉽게 실행할 수 있도록 글로벌 카탈로그에 GUID(isMemberOfPartialAttributeSet)를 추가함

  • GUID 특성에 대해 기밀 비트(128비트의 searchFlags)를 더 이상 사용하지 않음

  • Active Directory 데이터베이스에서 서비스 장애 공격이 발생한 경우 복제 속도의 감소를 최소화하기 위해 각 특성의 크기를 제한함(rangeUpper)

  • 쉽게 확인할 수 있도록 특성 설명을 업데이트함(adminDescription)

  • 개체의 사본을 만들 때 특성 값을 저장하기 위해 추가 비트(16비트의 searchFlags)를 설정함

  • GUID 특성에 대한 컨테이너별 인덱스를 만들기 위해 추가 비트(2비트의 searchFlags)를 설정함

특성 구문에 대한 자세한 내용은 부록 D: BitLockerTPMSchemaExtension.ldf 파일 내용에서 스키마 확장 파일을 참조하십시오.

Active Directory의 TPM 복구 정보 저장소

컴퓨터마다 하나의 TPM 소유자 암호가 있습니다. TPM이 초기화되거나 이 암호가 변경될 때 TPM 소유권 암호의 해시는 컴퓨터 개체의 특성으로 백업됩니다.

TPM 특성의 CN(일반 이름)은 ms-TPM-OwnerInformation입니다.

Active Directory 구성

BitLocker 및 TPM 복구 정보를 백업하도록 Active Directory를 구성하려면 다음 작업을 완료합니다.

일반적인 사전 요구 사항 확인

다음 사전 요구 사항을 확인합니다.

  1. BitLocker 가능 클라이언트가 액세스할 수 있는 모든 도메인 컨트롤러에서 Windows Server 2003 SP1 이상이 실행되고 있습니다. 각 도메인 컨트롤러에서 시작을 클릭하고 내 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 일반 탭을 클릭합니다.

    Important중요
    일반 탭에 Windows Server 2003이 서비스 팩 정보 없이 표시되면 업그레이드해야 합니다. Windows Server 2003 SP1로 업그레이드하는 방법에 대한 자세한 내용은 http://go.microsoft.com/fwlink/?LinkID(페이지는 영문일 수 있음)를 참조하십시오.

    Important중요
    Windows Server 2000 또는 SP1이 설치되지 않은 Windows Server 2003을 실행 중인 도메인 컨트롤러를 사용하여 BitLocker 또는 TPM 복구 정보를 백업하는 방법은 아직 테스트되지 않았으므로 지원되지 않습니다. 또한 이러한 이전 운영 체제에는 BitLocker 및 TPM 복구 정보에 대한 액세스를 보호하는 데 사용되는 Active Directory 기밀 플래그 기능이 없습니다.

    기밀 플래그는 Windows Server 2003 SP1 이상에서 사용할 수 있는 기능입니다. 이 기능을 사용하면 도메인 관리자 및 적절한 대리자만이 기밀 플래그로 표시된 특성에 대한 읽기 액세스 권한을 갖습니다. BitLocker 및 TPM 스키마 확장은 "searchFlags" 속성을 사용하여 선택된 특성을 "기밀"로 표시합니다. 이 플래그에 대한 자세한 내용은 "Active Directory 스키마 작동 방법"을 참조하십시오.

    BitLocker에는 도메인이나 포리스트 기능 수준에 대해 지정된 요구 사항이 없습니다. 그러나 Windows Server 2003 SP1 이전의 운영 체제를 실행 중인 도메인 컨트롤러에서는 백업된 BitLocker 및 TPM 정보가 보호되지 않으므로 이러한 도메인 컨트롤러는 혼합 기능 수준의 환경(또는 업그레이드된 환경)에서 제거해야 합니다.

  2. 대상 포리스트에 대한 도메인 관리자 권한을 갖고 있습니다.

  3. 다음 파일을 보유하고 있습니다.

    • BitLockerTPMSchemaExtension.ldf

    • Add-TPMSelfWriteACE.vbs

스키마 확장

다음 절차에서는 Active Directory에 정보를 저장할 수 있도록 스키마를 확장하는 방법을 보여 줍니다.

Windows Server 2008 베타 3 이상의 버전을 실행 중인 도메인 컨트롤러를 설치한 경우, 스키마에 대한 필요한 확장이 자동으로 실행되므로 이 절차를 완료할 필요가 없습니다.

Windows Server 2008 베타 2를 실행하는 도메인 컨트롤러를 설치한 경우, sch39 이상으로 스키마를 업그레이드하거나 다음 절차를 완료해야 합니다.

BitLocker 및 TPM 특성이 있는 Active Directory 스키마를 확장하려면
  1. Schema Admins 그룹의 도메인 계정으로 로그온합니다. 이 계정은 스키마를 확장하는 데 사용되어야 합니다.

    기본적으로 포리스트 루트 도메인의 기본 제공 Administrator 계정은 Schema Admins 그룹에 포함됩니다. 자세한 내용은 "Active Directory 스키마 작동 방법"(http://go.microsoft.com/fwlink/?LinkID=79649)(페이지는 영문일 수 있음)의 "스키마 변경을 위한 액세스 권한 부여" 섹션을 참조하십시오.

  2. Windows Server 설치에서 스키마 업데이트를 사용할 수 있는지 확인합니다.

    Windows Server 2003에서는 기본적으로 Active Directory 스키마 업데이트를 사용할 수 있습니다. 스키마 업데이트를 사용하는 데 필요한 단계를 포함한 자세한 내용은 Microsoft 기술 자료 285172(http://go.microsoft.com/fwlink/?LinkId=79644)(페이지는 영문일 수 있음)를 참조하십시오.

  3. Active Directory 포리스트에서 스키마 작업 마스터인 도메인 컨트롤러에 대한 액세스 권한이 있는지 확인합니다. 스키마 업데이트는 스키마 작업 마스터에서만 수행할 수 있습니다.

  4. 스키마 확장이 포함된 LDIF 파일 즉, BitLockerTPMSchemaExtension.ldf를 확인합니다.

    스키마 확장에 의한 변경 내용에 대한 백그라운드 정보는 이 문서의 앞부분에 있는 백그라운드를 참조하십시오.

    스키마 확장에 대한 참조 정보는 "Active Directory 스키마 작동 방법"(http://go.microsoft.com/fwlink/?LinkId=79649)(페이지는 영문일 수 있음)을 참조하십시오.

  5. Ldifde 명령줄 도구를 사용하여 스키마 작업 마스터의 역할을 수행하는 도메인 컨트롤러의 스키마를 확장합니다. 예를 들어 nttest.microsoft.com이라는 도메인에서 스키마 확장을 가져오려면, Schema Admins 그룹의 사용자로 로그온한 후 명령 프롬프트에 다음을 입력합니다.

    ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "DC=nttest,dc=microsoft,dc=com" -k -j .

    이 문서에서는 이 명령을 읽기 쉽게 여러 줄로 표시했지만, 실제로는 한 줄로 입력해야 합니다. 마침표(".")는 명령의 일부입니다.

    -k를 사용하면 스키마 부분이 이미 있는 경우 "Object Already Exists" 오류가 표시되지 않습니다. -j .를 사용하면 확장된 로그 파일이 현재 작업 디렉터리에 저장됩니다.

Ldifde 매개 변수에 대한 자세한 내용은 Microsoft 기술 자료 237677(http)을 참조하십시오. 이 명령을 실행한 예제 결과는 이 문서의 뒷부분에 있는 부록 B: 예제 Ldifde 출력에 나와 있습니다.

TPM 암호 정보를 백업하는 데 필요한 권한 설정

다음 절차에서는 ACE(액세스 제어 항목)를 추가하여 TPM 복구 정보를 백업할 수 있는 방법을 보여 줍니다.

Windows Vista 클라이언트는 컴퓨터 개체의 기본 권한에 따라 BitLocker 복구 정보를 백업할 수 있습니다. 그러나 Windows Vista 클라이언트는 ACE가 추가되어야 TPM 소유자 정보를 백업할 수 있습니다.

부록 C: 컴퓨터 개체에 대한 기본 권한(이 문서 뒷부분에 있음)은 BitLocker 복구 정보 클래스 및 TPM 소유자 정보 특성을 가진 컴퓨터 클래스 개체의 기본 Active Directory 권한에 대해 설명합니다.

TPM 복구 정보를 백업할 수 있도록 ACE를 추가하려면
  1. Add-TPMSelfWriteACE.vbs 즉, 권한 확장이 있는 예제 스크립트를 확인합니다.

  2. 명령 프롬프트에 다음과 같이 입력한 후 Enter 키를 누릅니다.

    cscript Add-TPMSelfWriteACE.vbs

이 스크립트는 최상위 도메인 개체에 단일 ACE를 추가합니다. ACE는 컴퓨터가 스스로 도메인의 컴퓨터 개체에 해당하는 ms-TPM-OwnerInformation 특성에 작성할 수 있게 하는 상속 가능한 권한입니다.

자세한 참조 정보는 "스크립트를 사용하여 Active Directory 보안 관리"(http://go.microsoft.com/fwlink/?LinkId=79652)(페이지는 영문일 수 있음)를 참조하십시오.

제공된 예제 스크립트는 다음 가정하에 실행됩니다.

  • 최상위 도메인 개체에 대한 권한을 설정하는 도메인 관리자 권한을 갖습니다.

  • 대상 도메인은 스크립트를 실행하는 사용자 계정의 도메인과 동일합니다.

    예를 들어 TESTDOMAIN\admin으로 스크립트를 실행하면 TESTDOMAIN에 대한 권한이 확장됩니다. 여러 도메인에 해당하는 권한을 설정하려는데 각 도메인에 대한 도메인 관리자 계정이 없는 경우, 예제 스크립트를 수정해야 할 수 있습니다. 스크립트에서 변수 strPathToDomain을 찾아 다음 예와 같이 대상 도메인에 맞게 수정합니다.

    "LDAP://DC=testdomain,DC=nttest,DC=microsoft,DC=com"

  • 도메인은 최상위 도메인 개체에서 대상 지정 컴퓨터 개체로 권한이 상속되도록 구성되어 있습니다.

    계층 구조의 컨테이너가 상위 항목에서 상속 받은 권한을 허용하지 않으면 권한은 효력이 없습니다. 기본적으로 권한의 상속은 Active Directory에 의해 설정됩니다. 구성이 이 기본값과 다른지 여부를 결정하려면 설정 단계를 계속하여 권한을 설정할 수 있습니다. 그런 다음 이 문서의 뒷부분에 설명된 대로 구성을 확인하거나, 컴퓨터 개체의 속성을 보고 컴퓨터가 스스로 msTPM-OwnerInformation 특성을 작성할 수 있는지 확인하면서 유효 사용 권한 단추를 클릭하는 방식으로 구성을 확인할 수 있습니다.

Active Directory에서 BitLocker 및 TPM 복구 정보를 백업할 수 있도록 그룹 정책 구성

다음은 Windows Vista 클라이언트 컴퓨터에서 로컬 정책을 구성하기 위한 지침입니다. 프로덕션 환경에서는 도메인 내의 컴퓨터에 적용되는 GPO(그룹 정책 개체)를 편집할 수 있습니다.

도메인에서 Windows Vista GPO를 구성하는 방법에 대한 자세한 내용은 "그룹 정책 ADMX 파일 관리 단계별 가이드"(http://go.microsoft.com/fwlink/?LinkId=79653)(페이지는 영문일 수 있음)를 참조하십시오.

note참고
각 그룹 정책 설정을 사용하는 경우 기본 옵션을 유지하는 것이 좋습니다. 이 옵션을 변경하기 전에 설명 텍스트를 읽어보십시오.

로컬 정책 설정을 사용하여 BitLocker 및 TPM 복구 정보를 Active Directory로 백업하려면
  1. 컴퓨터에 관리자로 로그온합니다.

  2. 시작을 클릭하고 검색 시작 상자에 다음을 입력하고 Enter 키를 클릭합니다.

    gpedit.msc

  3. 그룹 정책 설정을 사용하여 BitLocker 복구 정보를 Active Directory로 백업합니다.

    1. 컴퓨터 구성, 관리 템플릿, Windows 구성 요소, BitLocker 드라이브 암호화를 차례로 엽니다.

    2. 오른쪽 창에서 Active Directory에 BitLocker 백업 사용을 두 번 클릭합니다.

    3. 사용 옵션을 선택합니다.

    4. AD DS에 BitLocker 백업 필요 확인란이 선택되었는지 확인합니다.

  4. 그룹 정책 설정을 사용하여 TPM 복구 정보를 Active Directory로 백업합니다.

    1. 컴퓨터 구성, 관리 템플릿, 시스템, TPM(신뢰할 수 있는 플랫폼 모듈) 서비스를 차례로 엽니다.

    2. 오른쪽 창에서 Active Directory에 TPM 백업 사용을 두 번 클릭합니다.

    3. 사용 옵션을 선택합니다.

    4. AD DS에 TPM 백업 필요 확인란이 선택되었는지 확인합니다.

Active Directory 구성 테스트

Windows Vista 기반 클라이언트 컴퓨터를 방금 구성한 도메인에 가입시키고 BitLocker를 사용하면, BitLocker 및 TPM 복구 정보가 Active Directory로 제대로 백업되었는지 테스트할 수 있습니다.

BitLocker 및 TPM 관리 기능 내의 모든 사용자 인터페이스 및 프로그래밍 인터페이스는 구성된 그룹 정책 설정을 따릅니다. 구성된 그룹 설정을 사용하는 경우 복구 암호와 같은 복구 정보가 생성되고 변경될 때마다 이러한 정보가 Active Directory로 자동으로 백업됩니다.

백업이 필요하도록 옵션을 선택하면 백업이 완료될 때까지는 TPM을 초기화하거나 BitLocker를 사용할 수 있는 모든 방법이 차단됩니다. 이런 경우 도메인 컨트롤러가 올바르게 구성되고, 클라이언트 컴퓨터가 해당 도메인 컨트롤러에 네트워크로 연결되어 있고, 백업 프로세스 동안 다른 오류가 발생하지 않아야만 BitLocker를 사용하거나 TPM을 초기화할 수 있습니다.

Windows Vista에서 백업 테스트

백업을 테스트하려면 Windows Vista 기반 클라이언트 컴퓨터를 사용해야 합니다.

다음과 같은 경우 BitLocker 복구 정보가 백업됩니다.

  • 제어판에서 제공되는 마법사를 사용하여 BitLocker 설치 중에 복구 암호를 만드는 경우

  • 디스크가 이미 암호화된 후에 manage-bde.wsf 명령줄 도구를 사용하여 복구 암호를 만드는 경우

다음과 같은 경우 TPM 복구 정보가 백업됩니다.

  • TPM 초기화 중에 TPM 소유자 암호를 설정하는 경우

  • TPM 소유자 암호를 변경하는 경우

Windows Vista의 예제 테스트 시나리오

이 예제 테스트 시나리오에서는 Windows Vista를 사용하여 Active Directory 구성을 확인하는 방법에 대해 설명합니다. 다운로드한 예제 스크립트는 테스트 과정에서 도움이 됩니다.

Important중요
작업 환경에서 모든 사항이 제대로 작동하는 것을 확인하려면 추가 테스트를 수행해야 합니다. 이 시나리오로는 모든 구성 측면을 완전히 테스트할 수 없습니다.

또한 테스트 시나리오는 조직의 정책에 따라 달라질 수 있습니다. 예를 들어 사용자가 도메인에 가입하는 컴퓨터 개체의 Creator Owner인 조직에서는 해당 사용자가 자신의 컴퓨터 개체에 해당하는 TPM 소유자 정보를 읽을 수 있습니다.

예제 테스트를 수행하려면
  1. 도메인 컨트롤러에 도메인 관리자로 로그온합니다.

  2. 예제 스크립트 파일을 적절한 위치에 복사합니다.

  3. 명령 프롬프트 창을 열고 기본 위치를 예제 스크립트 파일의 위치로 변경합니다.

  4. 명령 프롬프트에 다음을 입력합니다.

    cscript List-ACEs.vbs

    예상 출력: 기본 Add-TPMSelfWriteACE.vbs가 사용되고 기타 사용하지 않는 ACE가 제거되었다고 가정하면 하나의 ACE만이 BitLocker 및 TPM과 관련되어야 합니다.

    Accessing

    > AceFlags: 10

    > AceType: 5

    > Flags: 3

    > AccessMask: 32

    > ObjectType: {AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}

    > InheritedObjectType: {BF967A86-0DE6-11D0-A285-00AA003049E2}

    > Trustee: NT AUTHORITY\SELF

    1 ACE(s) found in DC=nttest,DC=microsoft,DC=com related to BitLocker and TPM

  5. 도메인에 가입된 Windows Vista 클라이언트에서 로컬 관리자(도메인 관리자가 아님)로 로그온합니다.

  6. 시작을 클릭하고 검색 시작에다음을 입력하고 Enter 키를 누릅니다.

    tpm.msc

  7. TPM 초기화 또는 소유자 암호 변경 링크를 클릭합니다.

  8. 소유자 암호를 설정하고, 필요한 경우 해당 정보를 백업하는 옵션을 선택하여 파일로 인쇄하거나 저장합니다.

    예상 출력: 이 작업은 오류 메시지가 표시되지 않고 완료됩니다.

  9. 동일한 이 계정을 사용하여 관리자 권한 명령 프롬프트 창을 열고 이 문서와 함께 제공되는 예제 스크립트의 사본을 저장한 폴더로 변경합니다.

    note참고
    관리자 권한 명령 프롬프트 창을 열려면 명령 프롬프트 바로 가기를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

  10. 명령 프롬프트에 다음을 입력합니다.

    cscript Get-TPMOwnerInfo.vbs

    예상 출력: 다음 오류 메시지가 표시됩니다. "Active Directory: 디렉터리 속성이 캐시에 없습니다. " 도메인 관리자가 아닌 사용자는 ms-TPM-OwnerInformation 특성을 읽을 수 없으므로 표시되는 정보가 없습니다.

    note참고
    사용자가 도메인에 가입하는 컴퓨터 개체의 Creator Owner인 경우에는 해당 사용자가 자신의 컴퓨터 개체에 해당하는 TPM 소유자 정보를 읽을 수 있습니다.

  11. 같은 클라이언트 컴퓨터에 도메인 관리자로 로그온합니다.

  12. 도메인 관리자 계정을 사용하여 관리자 권한 명령 프롬프트 창을 열고 이 문서와 함께 제공되는 예제 스크립트의 사본을 저장한 디렉터리로 변경합니다.

  13. 명령 프롬프트에 다음을 입력합니다.

    cscript Get-TPMOwnerInfo.vbs

    예상 출력: 이전에 만든 암호의 해시인 문자열이 표시됩니다.

    도메인 관리자는 ms-TPM-OwnerInformation 특성에 대한 읽기 액세스 권한을 가져야 합니다.

  14. 관리자 권한 명령 프롬프트에서 복구 암호를 만들려면 다음을 입력합니다.

    manage-bde -protectors -add -RecoveryPassword C:

    예상 출력: 이 작업은 오류 메시지가 표시되지 않고 완료됩니다.

  15. 명령 프롬프트에 다음을 입력하여 클라이언트 컴퓨터의 Active Directory 개체의 모든 BitLocker 하위 개체를 읽습니다.

    cscript Get-BitLockerRecoveryInfo.vbs

    예상 출력: 도메인 관리자는 14단계에서 만들어진 복구 암호 한 개를 비롯하여 하나 이상의 복구 암호를 확인해야 합니다.

    도메인 관리자가 아닌 사용자는 이 암호를 읽을 수 없습니다.

  16. Active Directory 사용자 및 컴퓨터 관리 도구와 같은 Active Directory 도구를 사용하여 만들어진 모든 BitLocker 복구 하위 개체를 삭제합니다. 기본적으로 Windows Vista를 실행 중인 클라이언트는 부실 BitLocker 복구 암호를 삭제할 수 있는 권한이 없습니다.

일반적인 문제 해결

다음 절에서는 발생할 수 있는 일반적인 문제 및 그 해결 방법에 대해 설명합니다.

액세스 권한 문제

도메인 관리자가 아닌 계정을 사용하여 백업된 BitLocker 및 TPM 복구 정보를 읽을 수 있는 경우, 네트워크의 모든 도메인 컨트롤러에서 지원되는 Windows Server 설치를 실행하고 있는지 확인합니다.

Important중요
Windows 2000 Server 또는 Windows Server 2003의 초기 릴리스를 실행 중인 도메인 컨트롤러에서는 BitLocker 및 TPM 복구 정보를 백업할 수 없습니다.

스크립트 오류

스크립트를 실행할 때 오류가 표시될 수 있습니다. 다음 절에서는 자주 발생하는 스크립트 오류의 원인 및 해결 방법에 대해 설명합니다.

Get-TPMOwnerInfo.vbs

Get-TPMOwnerInfo.vbs를 실행할 때 "Active Directory: 디렉터리 속성이 캐시에 없습니다."라는 오류 메시지가 표시되면 Active Directory의 TPM 소유자 정보 특성 개체를 읽을 수 있는 권한이 없는 것입니다.

일반

"지정된 도메인이 없거나 연결할 수 없습니다."라는 오류 메시지가 표시되면 컴퓨터가 도메인에 가입되어 있는지와 네트워크 연결이 설정되어 있는지 확인합니다.

"서버에 이런 개체는 없습니다."라는 오류 메시지가 표시되면 명령줄에서 이름별로 지정된 컴퓨터가 모두 네트워크에 올바르게 연결되어 있는지 확인합니다.

오류 메시지는 오류가 발생한 줄 번호와 함께 표시됩니다. 스크립트 소스 코드를 참조하여 문제를 해결하십시오.

질문과 대답

이 절에는 이 문서의 첫 번째 릴리스 이후로 BitLocker 팀이 처리해 온 관련된 질문이 나와 있습니다.

이 스키마는 Windows Server 2008에 포함됩니까?

예, 스키마는 Windows Server 2008의 일부입니다. Windows Windows Server 2008 베타 2에는 Windows Vista 시험판 버전의 모든 BitLocker 및 TPM 복구 정보를 백업할 수 있도록 해주는 개체가 포함되어 있습니다. 출시된 Windows Vista 버전의 스키마 업데이트는 Windows Server 2008 베타 3에 예정된 변경 내용과 일치합니다.

Windows Server 2003 기반 도메인 컨트롤러에 스키마 업데이트를 적용할 수 있습니까?

Microsoft는 Windows Server 2003 SP1 이상 및 Windows Server 2008에서만 BitLocker 스키마 확장을 지원합니다. Windows Server 2003의 첫 번째 릴리스에는 백업된 복구 정보에 대한 액세스를 적절하게 잠그는 기밀 플래그 기능이 포함되어 있지 않습니다.

Microsoft에서 지원하는 이 스키마는 프로덕션용입니까?

예, 이 스키마는 일반적인 지원 채널을 통해 지원됩니다. Microsoft 지원 옵션에 대한 자세한 내용은 http://go.mi를 참조하십시오.

Active Directory 백업이 성공하거나 실패했는지 나타내는 이벤트 로그 항목이 클라이언트에 기록됩니까?

Active Directory 백업의 성공 또는 실패를 나타내는 이벤트 로그 항목이 클라이언트에 기록됩니다.

그러나 이 로그 항목은 일정 정도만 유용합니다. 이벤트 로그 항목이 "성공"으로 표시되더라도 정보가 추후에 Active Directory에서 제거되었거나, 복구 암호 키 보호기를 제거하는 것과 같은 방식으로 Active Directory 정보에서 드라이브를 더 이상 잠금 해제할 수 없도록 BitLocker가 다시 구성되었을 수 있습니다. 또한 로그 항목은 스푸핑될 수 있습니다.

따라서 Active Directory에 유효한 백업이 존재하는지 여부를 결정하려면 도메인 관리자 자격 증명으로 Active Directory를 쿼리해야 합니다.

컴퓨터를 도메인에 가입시키기 전에 컴퓨터에서 BitLocker를 사용하면 어떻게 됩니까?

백업 실행을 위해 그룹 정책을 적용하기 전에 컴퓨터에서 BitLocker를 사용하면 어떤 상황이 발생할지 궁금할 수 있습니다. 컴퓨터가 도메인에 가입될 때나 그룹 정책이 추후에 적용될 때 복구 정보가 Active Directory로 자동으로 백업될까요?

Windows Vista에서는 이 기능을 사용할 수 없습니다. 일반적으로 컴퓨터를 도메인에 가입시키는 것은 기업 내에서 새 컴퓨터에 대해 수행하는 첫 번째 단계입니다.

BitLocker WMI(Windows Management Instrumentation) 인터페이스를 사용하여 관리자는 백업할 스크립트를 작성하거나 온라인 클라이언트의 기존 복구 암호를 동기화할 수 있습니다. 관리 계정은 BitLocker WMI 인터페이스의 GetKeyProtectorNumericalPassword 메소드 또는 BitLocker 명령줄 도구(manage-bde.wsf)의 "-protectors -get" 매개 변수를 사용하여 잠금 해제된 볼륨의 복구 암호를 나열할 수 있습니다.

초기에 백업이 실패하면 어떻게 됩니까? BitLocker가 백업을 다시 시도합니까?

BitLocker 설치 마법사가 실행되는 시점에 도메인 컨트롤러에 연결할 수 없을 때와 같이 초기에 백업이 실패하면, BitLocker는 복구 정보를 Active Directory로 백업하려고 반복적으로 시도하지 않습니다.

관리자가 AD DS에 BitLocker 백업 필요 확인란 또는 AD DS에 TPM 백업 필요 확인란을 선택할 경우 백업이 실패하면 BitLocker를 사용할 수 없습니다.

관리자는 이 확인란을 선택 취소하여 복구 정보를 Active Directory로 백업하지 않고도 볼륨을 BitLocker로 암호화할 수 있습니다. 그러나 BitLocker가 자동으로 백업을 다시 시도하지 않습니다. 대신 관리자는 이전 질문에 설명된 대로 연결이 복원된 후에 정보를 캡처하기 위해 백업을 스크립트로 작성할 수 있습니다.

BitLocker는 복구 정보가 Active Directory로 보내질 때 해당 복구 정보를 암호화합니까?

예, Windows Vista 클라이언트에서 Active Directory로 전송되는 복구 정보는 Kerberos로 보호됩니다. 특히, 연결 과정에서 ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING 및 ADS_USE_SIGNING이라는 인증 플래그가 사용됩니다.

Active Directory 인증 플래그에 대한 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=79643(페이지는 영문일 수 있음)을 참조하십시오.

note참고
복구 정보가 전송되면 Active Directory는 BitLocker 및 TPM 복구 정보를 암호화된 형식으로 저장하지 않습니다. 그러나 서버가 온라인 상태일 때 도메인 관리자나 적절한 대리자만이 저장된 정보를 읽을 수 있도록 액세스 제어 권한이 설정됩니다. 지점 서버에 대한 오프라인 공격을 방지하려는 기업은 서버를 Windows Server 2008으로 업그레이드했다면 서버에서 BitLocker를 사용하는 것이 좋습니다.

커뮤니티 추가 항목

추가
표시: