BitLocker 개요
적용 대상: Windows Server 2012, Windows 8
이 항목에서는 새 기능 및 변경된 기능 목록을 포함하여 BitLocker에 대해 대략적으로 설명하고 새로운 기능과 변경된 기능, 시스템 요구 사항, 유용한 팁 및 더 이상 사용되지 않는 기능 목록을 제공합니다.또한 BitLocker 작업에 대해 자세히 알아볼 수 있는 추가 콘텐츠 링크도 제공합니다.
다음 항목을 찾으려고 했습니까?
기능 설명
BitLocker 드라이브 암호화는 Windows Vista에서 처음으로 제공된 운영 체제의 데이터 보호 기능입니다.후속 운영 체제 릴리스에서는 BitLocker에서 제공하는 보안이 지속적으로 향상되어 운영 체제가 더 많은 드라이브 및 장치에 대해 BitLocker를 제공할 수 있게 되었습니다.BitLocker를 운영 체제와 통합하면 분실, 도난 또는 부적절하게 서비스가 해제된 컴퓨터에서 데이터 절도 또는 노출 위험을 해결할 수 있습니다.Manage-bde 명령줄 도구를 사용하여 컴퓨터에서 BitLocker 관련 작업을 수행할 수도 있습니다.서버에 BitLocker 선택적 구성 요소를 설치할 때는 하드웨어의 암호화된 드라이브 지원에 사용되는 강화된 저장소 기능도 설치해야 합니다.서버에서 BitLocker 네트워크 잠금 해제라는 추가 BitLocker 기능도 설치할 수 있습니다.Windows RT, Windows RT 8.1 또는Windows 8.1를 실행하는 컴퓨터는 사용자 지정된 버전의 BitLocker인 장치 암호화를 사용하여 보호할 수 있습니다.
BitLocker는 TPM(신뢰할 수 있는 플랫폼 모듈) 버전 1.2 이상과 함께 사용할 때 가장 강력한 보호 기능을 제공합니다.TPM은 컴퓨터 제조업체에서 최근 출시되는 컴퓨터에 많이 설치된 하드웨어 구성 요소입니다.이 구성 요소는 BitLocker와 함께 작동하여 사용자 데이터를 보호하고 컴퓨터가 오프라인 상태에 있는 동안 변조되지 않았는지 확인합니다.
TPM 버전 1.2 이상이 없는 컴퓨터의 경우에도 BitLocker를 사용하여 Windows 운영 체제 드라이브를 암호화할 수 있습니다.그러나 이 구현을 사용하는 경우 사용자가 USB 시작 키를 삽입하여 컴퓨터를 시작하거나 최대 절전 모드에서 다시 시작해야 합니다.Windows 8에서 TPM이 없는 컴퓨터의 운영 체제 볼륨을 보호하기 위해 사용할 수 있는 또 다른 옵션은 운영 체제 볼륨 암호를 사용하는 것입니다.두 옵션 모두 TPM이 있는 경우 BitLocker에서 제공하는 시작 전 시스템 무결성 확인 기능을 제공하지는 않습니다.
BitLocker는 TPM 외에도 사용자가 PIN(개인 식별 번호)을 제공하거나 시작 키가 포함된 USB 플래시 드라이브 등의 이동식 장치를 넣기 전까지 정상적인 시작 프로세스를 잠그는 옵션을 제공합니다.이러한 추가 보안 대책은 다단계 인증을 제공하며 올바른 PIN 또는 시작 키 없이는 컴퓨터가 시작되거나 최대 절전 모드에서 복원되지 않도록 합니다.
유용한 팁
분실하거나 도난당한 컴퓨터의 데이터는 소프트웨어 공격 도구를 실행하거나 컴퓨터의 하드 디스크를 다른 컴퓨터로 옮기는 방식을 이용한 무단 액세스에 취약합니다.BitLocker는 파일 및 시스템 보호를 향상시켜 데이터가 무단으로 액세스되는 것을 방지합니다.또한 BitLocker는 BitLocker로 보호되는 컴퓨터를 폐기하거나 재활용하는 경우 데이터에 액세스하지 못하도록 합니다.
원격 서버 관리 도구에는 BitLocker를 관리하는 데 사용할 수 있는 두 가지 추가 도구가 있습니다.
BitLocker 복구 암호 뷰어.BitLocker 복구 암호 뷰어를 사용하면 AD DS(Active Directory 도메인 서비스)에 백업된 BitLocker 드라이브 암호화 복구 암호를 찾아 확인할 수 있습니다.또한 BitLocker를 사용하여 암호화된 드라이브에 저장된 데이터를 쉽게 복구할 수 있습니다.BitLocker 복구 암호 뷰어 도구는 Active Directory 사용자 및 컴퓨터 MMC(Microsoft Management Console) 스냅인용 확장입니다.
이 도구를 사용하면 컴퓨터 개체의 속성 대화 상자를 검사하여 해당 BitLocker 복구 암호를 확인할 수 있습니다.또한 도메인 컨테이너를 마우스 오른쪽 단추로 클릭한 다음 Active Directory 포리스트의 모든 도메인에서 BitLocker 복구 암호를 검색할 수 있습니다.도메인 관리자거나 도메인 관리자로부터 권한을 위임받은 사용자만 복구 암호를 볼 수 있습니다.
BitLocker 드라이브 암호화 도구.BitLocker 드라이브 암호화 도구에는 명령줄 도구 manage-bde 및 repair-bde와 Windows PowerShell용 BitLocker cmdlet이 포함됩니다.manage-bde와 BitLocker cmdlet은 모두 BitLocker 제어판을 통해 수행할 수 있는 모든 작업을 수행하는 데 사용할 수 있으며 자동 배포 및 기타 스크립팅 시나리오에 사용하는 데 적합합니다.Repair-bde는 BitLocker 보호 드라이브를 정상적으로 또는 복구 콘솔을 사용하여 잠금 해제할 수 없는 재해 복구 시나리오용으로 제공됩니다.
새로운 기능 및 변경된 기능
다음 표에는 Windows 8 및 Windows Server 2012에서 BitLocker에 대해 새롭게 제공되는 기능과 변경된 기능이 나와 있습니다.BitLocker의 새로운 기능를 체크 아웃합니다.
기능 |
Windows 7 |
Windows 8 및 Windows Server 2012 |
|---|---|---|
BitLocker PIN 또는 암호 재설정 |
운영 체제 드라이브의 BitLocker PIN과 고정/이동식 데이터 드라이브의 암호를 재설정하려면 관리자 권한이 필요합니다. |
표준 사용자가 운영 체제 드라이브, 고정/이동식 데이터 드라이브에서 BitLocker PIN 및 암호를 재설정할 수 있습니다. |
디스크 암호화 |
BitLocker를 사용하도록 설정하면 전체 디스크가 암호화됩니다. |
BitLocker를 사용하도록 설정할 때 전체 디스크를 암호화할지, 디스크에서 사용된 공간만 암호화할지 선택할 수 있습니다.디스크 공간이 사용되면 디스크가 암호화됩니다. |
하드웨어 암호화 드라이브 지원 |
BitLocker에서 기본적으로 지원되지 않습니다. |
BitLocker는 제조업체에서 사전에 암호화하여 제공하는 Windows 로고가 표시된 하드 드라이브를 지원할 수 있습니다. |
네트워크 기반 키를 사용한 잠금 해제를 통해 이중 단계 인증 지원 |
사용할 수 없음.이중 단계 인증을 적용하려면 컴퓨터에 물리적으로 액세스해야 합니다. |
새로운 유형의 키 보호기는 신뢰할 수 있는 유선 네트워크에서 컴퓨터가 다시 부팅되는 경우 특수한 네트워크 키를 사용하여 PIN 항목 프롬프트를 잠금 해제하고 건너뛰는 기능을 허용합니다.따라서 PIN을 사용하여 보호되는 컴퓨터를 휴무시간 동안 원격으로 유지 관리할 수 있으며 컴퓨터에 실제로 있을 필요가 없는 이중 요소 인증을 제공하지만 컴퓨터가 신뢰할 수 있는 네트워크에 연결되어 있지 않은 경우에는 사용자 인증을 계속 요구합니다. |
클러스터 보호 |
사용할 수 없음. |
Windows Server 2012에는 Kerberos 키 배포 센터 서비스를 사용하도록 설정한 Windows Server 2012 도메인 컨트롤러에서 설정된 도메인에서 실행되는 Windows 클러스터 공유 볼륨 및 Windows 장애 조치 클러스터에 대한 BitLocker 지원이 포함되어 있습니다. |
BitLocker 키 보호기를 Active Directory 계정에 연결 |
사용할 수 없음. |
BitLocker 키 보호기를 Active Directory의 사용자, 그룹 또는 컴퓨터 계정에 연결할 수 있습니다.이 키 보호기는 사용자가 올바른 자격 증명을 사용하여 로그인할 때 또는 올바른 자격 증명을 사용하여 컴퓨터에 로그온할 때 BitLocker로 보호된 데이터 볼륨의 잠금을 해제하는 데 사용할 수 있습니다. |
제거되었거나 더 이상 사용되지 않는 기능
디퓨저 옵션을 더 이상 AES(Advanced Encryption Standard) 암호화 알고리즘에 추가할 수 없습니다.
"TPM 유효성 검사 프로필 구성" 그룹 정책 설정이 Windows 8 및 Windows Server 2012에서 사용되지 않습니다.BIOS 기반 및 UEFI 기반 컴퓨터에 대한 시스템별 정책으로 대체되었습니다.
–tpm 옵션은 더 이상 관리 bde에서 지원되지 않습니다.
시스템 요구 사항
BitLocker의 하드웨어 요구 사항은 다음과 같습니다.
TPM(신뢰할 수 있는 플랫폼 모듈)에서 제공하는 시스템 무결성 검사 기능을 BitLocker에서 사용하려면 컴퓨터에 TPM 1.2 또는 TPM 2.0이 있어야 합니다.컴퓨터에 TPM이 없는 경우 BitLocker를 사용하려면 USB 플래시 드라이브와 같은 이동식 장치에 시작 키를 저장해야 합니다.
TPM이 있는 컴퓨터에는 TCG(신뢰할 수 있는 컴퓨팅 그룹) 규격 BIOS 또는 UEFI 펌웨어도 있어야 합니다.BIOS 또는 UEFI 펌웨어는 운영 체제 사전 시작을 위한 신뢰 체인을 설정하며 TCG에서 지정한 신뢰도 측정의 정적 루트를 지원해야 합니다.TPM이 없는 컴퓨터에는 TCG 규격 펌웨어가 필요하지 않습니다.
TPM 및 TPM 이외 컴퓨터의 시스템 BIOS 또는 UEFI 펌웨어는 운영 체제 이전 환경에서 USB 플래시 드라이브에 있는 작은 파일을 읽는 기능을 포함하여 USB 대용량 저장 장치 클래스를 지원해야 합니다.USB에 대한 자세한 내용은 USB 웹 사이트의 USB 대용량 저장 장치 대량 전용 및 대용량 저장 장치 UFI 명령 사양을 참조하십시오.
하드 디스크는 최소 두 개 이상의 드라이브로 파티션을 나누어야 합니다.
운영 체제 드라이브(또는 부팅 드라이브)에는 운영 체제와 지원 파일이 포함되며,이 드라이브는 NTFS 파일 시스템으로 포맷해야 합니다.
시스템 드라이브에는 펌웨어에서 시스템 하드웨어를 준비한 후 Windows를 로드하는 데 필요한 파일이 포함됩니다.BitLocker는 이 드라이브에서 사용할 수 없습니다.BitLocker가 작동하려면 시스템 드라이브가 암호화되지 않아야 하고, 운영 체제 드라이브와 구분되어야 합니다. 또한 UEFI 기반 펌웨어를 사용하는 컴퓨터에서는 FAT32 파일 시스템으로, BIOS 펌웨어를 사용하는 컴퓨터에서는 NTFS 파일 시스템으로 포맷되어야 합니다.시스템 드라이브 크기는 약 350MB인 것이 좋습니다.BitLocker를 설정한 후에는 약 250MB의 사용 가능한 공간이 필요합니다.
새 컴퓨터에 설치되어 있으면 Windows에서 자동으로 BitLocker에 필요한 파티션을 만듭니다.