BitLocker 기본 배포
IT 전문가를 위한 이 항목에서는 드라이브 암호화를 통해 데이터를 보호하는 데 BitLocker 기능을 사용하는 방법에 대해 설명합니다.
다음 섹션에서는 조직에서 BitLocker를 구현하기 위한 기본 배포 계획을 모으는 데 도움이 되는 정보를 제공합니다.
BitLocker를 사용하여 볼륨 암호화
하위 수준 호환성
Manage-bde를 사용하여 BitLocker로 볼륨 암호화
PowerShell을 사용하여 BitLocker로 볼륨 암호화
BitLocker를 사용하여 볼륨 암호화
BitLocker는 고정 및 이동식 데이터 볼륨뿐만 아니라 운영 체제 볼륨에 대한 FVE(전체 볼륨 암호화)를 제공합니다. 완전히 암호화된 운영 체제 볼륨을 지원하기 위해 BitLocker는 운영 체제를 부팅, 암호 해독, 로드하는 데 필요한 파일을 위해 암호화되지 않은 시스템 볼륨을 사용합니다. 이 볼륨은 클라이언트와 서버 운영 체제 둘 다 새로 설치하는 동안 자동으로 만들어집니다.
드라이브를 인접한 하나의 공간으로 준비한 경우 BitLocker는 부팅 파일을 보관하기 위해 새 볼륨이 필요합니다. BdeHdCfg.exe가 이러한 볼륨을 만들 수 있습니다.
참고
이 도구를 사용하는 방법에 대한 자세한 내용은 명령줄 참조에서 Bdehdcfg를 참조하세요.
BitLocker 암호화는 다음 방법을 사용하여 수행할 수 있습니다.
BitLocker 제어판
Windows 탐색기
Manage-bde 명령줄 인터페이스
BitLocker Windows PowerShell cmdlet
BitLocker 제어판을 사용하여 볼륨 암호화
BitLocker 제어판에서 볼륨을 암호화하면 많은 사용자가 BitLocker를 이용할 수 있게 됩니다. BitLocker 제어판의 이름은 BitLocker 드라이브 암호화입니다. BitLocker 제어판은 운영 체제, 고정 데이터 및 이동식 데이터 볼륨 암호화를 지원합니다. BitLocker 제어판은 장치가 자체적으로 Windows에 보고하는 방법에 따라 적절한 범주로 사용 가능한 드라이브를 구성합니다. 드라이브 문자가 할당되고 포맷된 볼륨만 BitLocker 제어판 애플릿에 제대로 표시됩니다.
볼륨에 대한 암호화를 시작하려면 적절한 드라이브에 대해 BitLocker 켜기를 선택하여 BitLocker 드라이브 암호화 마법사를 초기화합니다. BitLocker 드라이브 암호화 마법사 옵션은 볼륨 유형(운영 체제 볼륨 또는 데이터 볼륨)에 따라 다릅니다.
운영 체제 볼륨
시작 시 BitLocker 드라이브 암호화 마법사는 컴퓨터가 운영 체제 볼륨을 암호화하기 위한 BitLocker 시스템 요구 사항을 충족하는지 확인합니다. 기본적으로 시스템 요구 사항은 다음과 같습니다.
| 요구 사항 | 설명 |
|---|---|
하드웨어 구성 |
컴퓨터는 지원되는 Windows 버전을 위한 최소 요구 사항을 충족해야 합니다. |
운영 체제 |
BitLocker는 Windows Server 2012 이상의 서버 관리자에서 설치할 수 있는 선택적 기능입니다. |
하드웨어 TPM |
TPM 버전 1.2 또는 2.0 TPM은 BitLocker에 필요하지 않습니다. 그러나 TPM이 있는 컴퓨터만 시작 전 시스템 무결성 확인 및 다단계 인증의 추가 보안을 제공할 수 있습니다. |
BIOS 구성 |
|
파일 시스템 |
기본적으로 UEFI 펌웨어를 사용하여 부팅하는 컴퓨터의 경우 시스템 드라이브용 FAT32 파티션이 하나 이상, 운영 체제 드라이브용 NTFS 파티션이 하나 있습니다. 레거시 BIOS 펌웨어를 사용하는 컴퓨터의 경우 NTFS 디스크 파티션이 두 개 이상 있고 시스템 드라이브용으로 하나, 운영 체제 드라이브용으로 하나가 있습니다. 두 펌웨어에서 모두 시스템 드라이브 파티션은 350MB 이상이어야 하고 활성 파티션으로 설정되어 있어야 합니다. |
하드웨어 암호화 드라이브 필수 구성 요소(옵션) |
하드웨어 암호화 드라이브를 부팅 드라이브로 사용하려면 해당 드라이브가 초기화되지 않은 상태이며 보안 비활성 상태여야 합니다. 또한 시스템은 항상 네이티브 UEFI 버전 2.3.1 이상으로 부팅되어야 하며 CSM(있는 경우)이 사용되지 않도록 설정되어야 합니다. |
초기 구성을 통과할 때 사용자는 볼륨의 암호를 입력해야 합니다. 볼륨이 BitLocker의 초기 구성을 통과하지 못하는 경우 사용자에게 수행할 적절한 조치를 설명하는 오류 대화 상자가 표시됩니다.
볼륨에 대한 강력한 암호가 만들어지면 복구 키가 생성됩니다. BitLocker 드라이브 암호화 마법사에 이 키를 저장할 위치를 입력하라는 메시지가 표시됩니다. BitLocker 복구 키는 암호화하는 각 드라이브에서 처음으로 BitLocker 드라이브 암호화를 켤 때 만들 수 있는 특수 키입니다. Windows가 설치된 드라이브(운영 체제 드라이브)가 BitLocker 드라이브 암호화를 사용하여 암호화되고 컴퓨터가 시작될 때 BitLocker가 드라이브를 잠금 해제하지 못하게 하는 조건을 감지한 경우 복구 키를 사용하여 컴퓨터에 액세스할 수 있습니다. 또한 복구 키는 어떤 이유로 암호를 잊어 버리거나 컴퓨터가 드라이브에 액세스할 수 없는 경우 BitLocker To Go를 사용하여 암호화된 이동식 데이터 드라이브(예: 외부 하드 드라이브 또는 USB 플래시 드라이브)의 파일 및 폴더에 액세스하기 위해 사용할 수도 있습니다.
복구 키는 인쇄하거나 이동식 미디어에 저장, 네트워크 폴더 또는 OneDrive, 암호화하지 않은 컴퓨터의 다른 드라이브에 파일로 저장하여 보관해야 합니다. 복구 키는 이동식이 아닌 드라이브의 루트 디렉터리에 저장할 수 없으며 암호화된 볼륨에 저장할 수도 없습니다. 이동식 미디어에는 USB 플래시 드라이브와 같은 이동식 데이터 드라이브에 대한 복구 키를 저장할 수 없습니다. 컴퓨터와 분리해서 복구 키를 저장하는 것이 좋습니다. 복구 키를 만든 후 BitLocker 제어판에서 추가 복사본을 만들 수 있습니다.
복구 키가 제대로 저장되면 BitLocker 드라이브 암호화 마법사에서 드라이브를 암호화하는 방법을 선택하라는 메시지를 표시합니다. 두 가지 옵션이 있습니다.
사용된 디스크 공간만 암호화 - 데이터가 포함된 디스크 공간만 암호화
전체 드라이브 암호화 - 사용 가능한 공간을 포함하여 전체 볼륨 암호화
데이터가 거의 없는 드라이브는 사용된 디스크 공간만 암호화 옵션을 사용하고 데이터 또는 운영 체제가 있는 드라이브는 전체 드라이브 암호화 옵션을 사용하는 것이 좋습니다.
참고
삭제된 파일은 파일 시스템에 사용 가능한 공간으로 표시되고 사용된 디스크 공간만에 의해 암호화되지 않습니다. 지우거나 덮어쓰기 전까지, 삭제된 파일은 일반 데이터 법정 도구로 복구할 수 있는 정보를 그대로 유지합니다.
암호화 유형을 선택하고 다음을 선택하면 볼륨 암호화가 시작되기 전에 BitLocker가 복구 및 암호화 키에 제대로 액세스할 수 있는지를 확인하는 BitLocker 시스템 검사(기본적으로 선택됨) 실행 옵션이 표시됩니다. 암호화 프로세스를 시작하기 전에 이 시스템 검사를 실행하는 것이 좋습니다. 운영 체제가 시작하려고 시도할 때 시스템 검사가 실행되지 않고 문제가 발생하면 Windows를 시작하기 위해 사용자가 복구 키를 제공해야 합니다.
시스템 검사(선택한 경우)를 완료한 후 BitLocker 드라이브 암호화 마법사가 암호화를 시작하기 위해 컴퓨터를 다시 시작합니다. 다시 부팅 시 사용자는 운영 체제 볼륨으로 부팅하기 위해 선택한 암호를 입력해야 합니다. 사용자는 시스템 알림 영역 또는 BitLocker 제어판을 확인하여 암호화 상태를 확인할 수 있습니다.
암호화가 완료될 때까지 BitLocker 관리를 위해 유일하게 사용할 수 있는 옵션은 운영 체제 볼륨 보호, 복구 키 백업, BitLocker를 끄기 위한 암호 조작뿐입니다.
데이터 볼륨
BitLocker 제어판 인터페이스를 사용하는 볼륨 데이터 암호화는 운영 체제 볼륨의 암호화와 유사한 방식으로 작동합니다. 사용자가 제어판에서 BitLocker 켜기를 선택하여 BitLocker 드라이브 암호화 마법사를 시작합니다.
운영 체제 볼륨과 달리 데이터 볼륨은 마법사를 계속 진행하기 위한 구성 테스트를 통과할 필요가 없습니다. 마법사를 시작할 때 드라이브를 잠금 해제하기 위한 인증 방법 옵션이 나타납니다. 사용 가능한 옵션은 암호, 스마트 카드 및 이 컴퓨터의 이 드라이브 자동 잠금 해제입니다. 기본적으로 사용하지 않도록 설정되어 있으므로 후자는 운영 체제 볼륨이 잠금 해제된 경우 사용자 입력 없이 데이터 볼륨을 잠금 해제합니다.
원하는 인증 방법을 선택하고 다음을 선택하면 마법사가 복구 키의 저장소에 대한 옵션을 제공합니다. 이러한 옵션은 운영 체제 볼륨에 대한 옵션과 동일합니다.
복구 키를 저장하고 마법사에서 다음을 선택하면 암호화를 위해 사용 가능한 옵션이 표시됩니다. 이러한 옵션은 운영 체제 볼륨에 대한 옵션(사용된 디스크 공간만과 전체 드라이브 암호화)과 동일합니다. 암호화되는 볼륨이 새 볼륨이거나 빈 볼륨인 경우 사용된 공간만 암호화를 선택하는 것이 좋습니다.
암호화 방법을 선택하면 암호화 프로세스를 시작하기 전에 최종 확인 화면이 표시됩니다. 암호화 시작을 선택하면 암호화가 시작됩니다.
암호화 상태가 알림 영역 또는 BitLocker 제어판에 표시됩니다.
OneDrive 옵션
OneDrive를 사용하여 BitLocker 복구 키를 저장하는 새로운 옵션이 제공됩니다. 이 옵션을 사용하려면 컴퓨터가 도메인의 구성원이 아니고 사용자가 Microsoft 계정을 사용해야 합니다. 로컬 계정은 OneDrive를 사용하는 옵션을 제공하지 않습니다. OneDrive 사용 옵션이 기본값이며, 도메인에 가입되지 않은 컴퓨터에 대해 권장되는 복구 키 저장 방법입니다.
저장 프로세스 중 자동으로 만들어진 BitLocker 폴더의 해당 OneDrive를 확인하면 사용자는 복구 키가 제대로 저장되었는지 확인할 수 있습니다. 폴더에는 readme.txt와 복구 키, 두 파일이 포함됩니다. OneDrive에 둘 이상의 복구 암호를 저장하는 사용자는 파일 이름을 보고 필요한 복구 키를 식별할 수 있습니다. 복구 키 ID는 파일 이름 끝에 추가됩니다.
Windows 탐색기에서 BitLocker 사용
사용자는 Windows 탐색기에서 볼륨을 마우스 오른쪽 단추로 클릭하고 BitLocker 켜기를 선택하여 BitLocker 드라이브 암호화 마법사를 시작할 수 있습니다. 이 옵션은 기본적으로 클라이언트 컴퓨터에 제공됩니다. 서버에서 이 옵션을 사용할 수 있게 하려면 먼저 BitLocker 및 데스크톱 환경 기능을 설치해야 합니다. BitLocker 켜기를 선택하면 마법사가 BitLocker 제어판을 사용하여 시작할 때처럼 작동합니다.
하위 수준 호환성
다음 표는 BitLocker가 사용하도록 설정되고 다른 버전의 Windows에 표시되는 시스템에 대한 호환성 매트릭스를 보여 줍니다.
표 1: Windows 10, Windows 8.1, Windows 8 및 Windows 7의 암호화된 볼륨에 대한 상호 호환성
암호화 유형 |
Windows 10 및 Windows 8.1 |
Windows 8 |
Windows 7 |
Windows 8에서 완전 암호화됨 |
완전 암호화됨으로 표시 |
해당 없음 |
완전 암호화됨으로 표시 |
Windows 8에서 사용된 디스크 공간만 암호화됨 |
쓰기에 대해 암호화로 표시 |
해당 없음 |
완전 암호화됨으로 표시 |
Windows 7에서 완전 암호화된 볼륨 |
완전 암호화됨으로 표시 |
완전 암호화됨으로 표시 |
해당 없음 |
Windows 7에서 부분적으로 암호화된 볼륨 |
정책에 관계없이 Windows 10 및 Windows 8.1에서 암호화 완료 |
정책에 관계없이 Windows 8에서 암호화 완료 |
해당 없음 |
Manage-bde 명령줄 인터페이스를 사용하여 볼륨 암호화
Manage-bde는 BitLocker 작업 스크립팅에 사용할 수 있는 명령줄 유틸리티입니다. Manage-bde는 BitLocker 제어판에 표시되지 않는 추가 옵션을 제공합니다. 옵션의 전체 목록은 Manage-bde를 참조하세요.
Manage-bde는 BitLocker 구성을 위한 다양하고 광범위한 옵션을 제공합니다. 이는 명령 구문을 사용할 때 주의가 필요하고 이후에 사용자에 의한 사용자 지정이 필요할 수 있다는 것입니다. 예를 들어 데이터 볼륨에서 manage-bde -on 명령만 사용해도 인증 보호기 없이 볼륨을 완전히 암호화합니다. 볼륨이 완전히 보호되려면 인증 방법이 볼륨에 추가되어야 하기 때문에 명령이 성공적으로 완료되어도 이 방법으로 암호화된 볼륨을 사용하려면 여전히 사용자가 BitLocker 보호를 켜는 조작이 필요합니다.
명령줄 사용자는 주어진 상황에 맞는 적절한 구문을 결정해야 합니다. 다음 섹션은 운영 체제 볼륨 및 데이터 볼륨에 대한 일반 암호화를 설명합니다.
운영 체제 볼륨
운영 체제 볼륨에 대해 유효한 기본 명령의 예제가 아래 나열되어 있습니다. 일반적으로 manage-bde -on <drive letter> 명령만 사용하면 TPM 전용 보호기를 사용하고 복구 키 없이 운영 체제 볼륨을 암호화합니다. 많은 환경에서는 암호 또는 PIN과 같이 더 안전한 보호기를 요구하며 복구 키로 정보를 복구할 수 있다고 예상합니다.
볼륨 상태 확인
Manage-bde를 사용할 때 대상 시스템에서 볼륨 상태를 확인하는 것이 좋습니다. 다음 명령을 사용하여 볼륨 상태를 확인합니다.
manage-bde -status
이 명령은 대상의 볼륨, 각 볼륨의 현재 암호화 상태 및 볼륨 유형(운영 체제 또는 데이터)을 반환합니다. 이 정보를 사용하여 사용자는 해당 환경을 위한 최상의 암호화 방법을 결정할 수 있습니다.
TPM 없이 BitLocker를 사용하도록 설정
예를 들어 TPM 칩 없이 컴퓨터에서 BitLocker를 사용하도록 설정한다고 가정해 보세요. 운영 체제 볼륨에 대해 BitLocker를 제대로 사용하도록 설정하려면 USB 플래시 드라이브를 부팅할 시작 키로 사용해야 합니다(이 예제에서는 드라이브 문자 E). 먼저 –protectors 옵션을 사용하여 BitLocker에 필요한 시작 키를 만들고 E:의 USB 드라이브에 저장한 다음 암호화 프로세스를 시작합니다. 암호화 프로세스를 완료하라는 메시지가 표시되면 컴퓨터를 다시 부팅해야 합니다.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
TPM만 사용하여 BitLocker를 사용하도록 설정
Manage-bde를 사용하여 정의된 보호기 없이 운영 체제 볼륨을 암호화할 수 있습니다. 다음은 이를 수행하기 위한 명령입니다.
manage-bde -on C:
그러면 TPM을 보호기로 사용하여 드라이브를 암호화합니다. 사용자가 볼륨의 보호기를 잘 알 수 없는 경우 다음 명령처럼 manage-bde에 -protectors 옵션을 사용하면 이 정보를 나열할 수 있습니다.
manage-bde -protectors -get <volume>
두 보호기를 사용하여 BitLocker 프로비전
또 다른 예제는 암호 및 SID 기반 보호기를 운영 체제 볼륨에 추가하려는 비TPM 하드웨어의 사용자입니다. 이 예제에서 사용자는 보호기를 먼저 추가합니다. 이는 다음 명령으로 수행됩니다.
manage-bde -protectors -add C: -pw -sid <user or group>
이 명령을 사용하려면 볼륨에 보호기를 추가하기 전에 사용자가 암호 보호기를 입력하고 확인해야 합니다. 볼륨에서 보호기를 사용하도록 설정하면 사용자는 BitLocker를 켜기만 하면 됩니다.
데이터 볼륨
데이터 볼륨은 암호화를 위해 운영 체제 볼륨과 동일한 구문을 사용하지만 작업을 완료하기 위해 보호기는 필요하지 않습니다. 데이터 볼륨 암호화는 기본 명령인 manage-bde -on <drive letter>를 사용하여 수행하거나 사용자가 보호기를 볼륨에 추가하도록 선택할 수 있습니다. 하나 이상의 기본 보호기 및 복구 보호기를 데이터 볼륨에 추가하는 것이 좋습니다.
암호로 BitLocker를 사용하도록 설정
데이터 볼륨을 위한 일반적인 보호기는 암호 보호기입니다. 아래 예제에서는 볼륨에 암호 보호기를 추가하고 BitLocker를 켭니다.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Manage-bde를 사용하여 BitLocker로 볼륨 암호화
BitLocker Windows PowerShell cmdlet을 사용하여 볼륨 암호화
Windows PowerShell cmdlet은 BitLocker에서 작업하기 위한 대안을 제공합니다. 관리자는 Windows PowerShell의 스크립팅 기능을 사용하여 BitLocker 옵션을 간편하게 기존 스크립트로 통합할 수 있습니다. 아래 목록은 사용 가능한 BitLocker cmdlet을 표시합니다.
이름 |
매개 변수 |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
Manage-bde와 마찬가지로 Windows PowerShell cmdlet은 제어판에서 제공되는 옵션 이상의 구성을 허용하고 사용자는 Windows PowerShell cmdlet을 실행하기 전에 암호화하는 볼륨의 특정 요구 사항을 고려해야 합니다.
첫 단계로 컴퓨터에서 볼륨의 현재 상태를 확인하는 것이 좋습니다. 이렇게 하려면 Get-BitLocker 볼륨 cmdlet을 사용하면 됩니다. 이 cmdlet의 출력은 볼륨 유형, 보호기, 보호 상태 및 기타 유용한 정보에 대한 정보를 표시합니다.
경우에 따라 Get-BitLockerVolume을 사용할 때 출력 디스플레이의 공간 부족으로 인해 일부 보호기가 표시되지 않을 수 있습니다. 볼륨의 모든 보호기가 표시되지 않는 경우 Windows PowerShell 파이프 명령(|)을 사용하여 보호기 목록의 형식을 지정할 수 있습니다.
참고
볼륨에 5개 이상의 보호기가 있는 경우 파이프 명령으로 디스플레이 공간이 부족할 수 있습니다. 5개 이상의 보호기가 있는 볼륨의 경우 아래 섹션에서 설명한 방법을 사용하여 보호기 ID로 모든 보호기 목록을 생성합니다.
Get-BitLockerVolume C: | fl
볼륨에서 BitLocker를 프로비전하기 전에 기존 보호기를 제거하려는 경우 Remove-BitLockerKeyProtector cmdlet을 사용할 수 있습니다. 이 작업을 수행하려면 제거할 보호기와 관련된 GUID가 필요합니다.
간단한 스크립트를 위해 아래와 같이 각 Get-BitLockerVolume 값을 다른 변수로 반환하도록 파이프할 수 있습니다.
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
이를 사용하여 $keyprotectors 변수의 정보를 표시하면 각 보호기의 GUID를 확인할 수 있습니다.
이 정보를 사용하여 다음 명령을 통해 특정 볼륨의 키 보호기를 제거할 수 있습니다.
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
참고
BitLocker cmdlet을 실행하려면 키 보호기 GUID를 따옴표로 묶어야 합니다. 중괄호로 묶인 전체 GUID가 명령에 포함되어야 합니다.
운영 체제 볼륨
BitLocker Windows PowerShell cmdlet을 사용하는 것은 운영 체제 볼륨을 암호화하기 위해 manage-bde 도구를 사용하는 작업과 비슷합니다. Windows PowerShell은 사용자에게 많은 유연성을 제공합니다. 예를 들어 사용자는 볼륨을 암호화하기 위한 부분 명령으로 원하는 보호기를 추가할 수 있습니다. 아래는 Windows PowerShell용 BitLocker cmdlet을 사용하여 이 작업을 수행하기 위한 일반 사용자 시나리오 및 단계의 예제입니다.
TPM 보호기만 사용하여 BitLocker를 사용하도록 설정하려면. 다음 명령을 사용하여 이 작업을 수행할 수 있습니다.
Enable-BitLocker C:
아래 예제에서는 1개의 추가 보호기인 StartupKey 보호기를 추가하고 BitLocker 하드웨어 테스트를 건너뛰도록 선택합니다. 이 예제에서는 다시 부팅할 필요 없이 암호화가 즉시 시작됩니다.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
데이터 볼륨
Windows PowerShell을 사용하는 데이터 볼륨 암호화는 운영 체제 볼륨의 경우와 같습니다. 볼륨을 암호화하기 전에 원하는 보호기를 추가해야 합니다. 다음 예제에서는 $pw 변수를 암호로 사용하여 E: 볼륨에 암호 보호기를 추가합니다. $pw 변수는 SecureString 값으로 보관되어 사용자 정의 암호를 저장합니다. 마지막으로 암호화가 시작됩니다.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Windows PowerShell에서 SID 기반 보호기 사용
ADAccountOrGroup 보호기는 Active Directory SID 기반 보호기입니다. 이 보호기는 사전 부팅 환경에서 운영 체제 볼륨의 잠금을 해제하지는 않지만 운영 체제와 데이터 볼륨 둘 다에 추가할 수 있습니다. 보호기를 사용하려면 보호기와 연결할 도메인 계정 또는 그룹에 대한 SID가 필요합니다. BitLocker는 디스크가 제대로 장애 조치(failover)를 수행하고 클러스터의 구성원 컴퓨터에서 잠금이 해제될 수 있도록 하는 CNO(클러스터 이름 개체)를 위한 SID 기반 보호기를 추가하여 클러스터 인식 디스크를 보호할 수 있습니다.
경고
SID 기반 보호기는 운영 체제 볼륨에서 사용되는 경우 추가 보호기(예: TPM, PIN, 복구 키 등)를 사용해야 합니다.
ADAccountOrGroup 보호기를 볼륨에 추가하려면 실제 도메인 SID 또는 그룹 이름 앞에 도메인과 백슬래시가 와야 합니다. 아래 예제에서는 CONTOSO\Administrator 계정이 데이터 볼륨 G에 보호기로 추가됩니다.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
계정 또는 그룹에 대해 SID를 사용하려는 사용자가 첫 번째로 수행할 단계는 계정과 연결된 SID를 확인하는 것입니다. Windows PowerShell에서 사용자 계정에 대한 특정 SID를 가져오려면 다음 명령을 사용합니다.
get-aduser -filter {samaccountname -eq "administrator"}
참고
이 명령을 사용하려면 RSAT-AD-PowerShell 기능이 필요합니다.
팁
위의 Windows PowerShell 명령 외에 WHOAMI /ALL을 사용하여 로컬로 로그온한 사용자 및 그룹 구성원에 대한 정보를 찾을 수 있습니다. 그러면 추가 기능을 사용하지 않아도 됩니다.
아래 예제에서 사용자는 이전에 암호화된 운영 체제 볼륨에 도메인 SID 기반 보호기를 추가하려고 합니다. 사용자는 다음 명령을 추가하고 사용하려는 사용자 계정 또는 그룹에 대한 SID를 알고 있는 상태입니다.
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
참고
Active Directory 기반 보호기는 일반적으로 장애 조치(failover) 클러스터 사용 볼륨의 잠금을 해제하기 위해 사용됩니다.
PowerShell을 사용하여 BitLocker로 볼륨 암호화
BitLocker 상태 확인
특정 볼륨의 BitLocker 상태를 확인하려면 관리자는 BitLocker 제어판 애플릿, Windows 탐색기, manage-bde 명령줄 도구 또는 Windows PowerShell cmdlet에서 드라이브의 상태를 확인하면 됩니다. 각 옵션은 여러 수준의 세부 정보 및 사용 편의성을 제공합니다. 다음 섹션에서 사용할 수 있는 각 방법을 살펴보겠습니다.
제어판을 사용하여 BitLocker 상태 확인
제어판을 사용하여 BitLocker 상태를 확인하는 것이 대부분의 사용자가 사용하는 가장 일반적인 방법입니다. 제어판을 열면 각 볼륨의 상태가 볼륨 설명 및 드라이브 문자 옆에 표시됩니다. 제어판에서 표시되는 상태 반환 값은 다음과 같습니다.
상태 |
설명 |
설정 |
BitLocker가 볼륨에 대해 사용하도록 설정되었습니다. |
해제 |
BitLocker가 볼륨에 대해 사용하도록 설정되지 않았습니다. |
일시 중단 |
BitLocker 일시 중단되어 볼륨을 적극적으로 보호하지 않습니다. |
활성화 대기 중 |
BitLocker가 암호화되지 않은 키 보호기로 사용하도록 설정되어 있고 완전히 보호하려면 추가 작업이 필요합니다. |
드라이브가 BitLocker로 미리 프로비전된 경우 "활성화 대기 중" 상태가 볼륨 E에 노란색 느낌표 아이콘과 함께 표시됩니다. 이 상태는 볼륨을 암호화할 때 일반 보호기만 사용되었다는 의미입니다. 이 경우 볼륨은 보호되지 않으며, 보안 키를 볼륨에 추가해야 드라이브가 완전히 보호됩니다. 관리자는 제어판, manage-bde 도구 또는 WMI API를 사용하여 적절한 키 보호기를 추가할 수 있습니다. 완료되면 새 상태를 반영하도록 제어판이 업데이트됩니다.
관리자는 제어판에서 BitLocker 켜기를 선택하여 BitLocker 드라이브 암호화 마법사를 시작하고 운영 체제 볼륨에 대한 PIN(또는 TPM이 존재하지 않는 경우 암호)과 같은 보호기나 암호 또는 스마트 카드 보호기를 데이터 볼륨에 추가합니다.
볼륨 상태를 변경하기 전에 드라이브 보안 창이 표시됩니다. BitLocker 활성화를 선택하면 암호화 프로세스가 완료됩니다.
BitLocker 보호기 활성화가 완료되면 완료 알림이 표시됩니다.
Manage-bde를 사용하여 BitLocker 상태 확인
명령줄 인터페이스를 선호하는 관리자는 manage-bde를 이용하여 볼륨 상태를 확인할 수 있습니다. Manage-bde는 제어판의 그래픽 사용자 인터페이스 도구보다 볼륨에 대해 더 많은 정보를 반환할 수 있습니다. 예를 들어 manage-bde는 사용 중인 BitLocker 버전, 암호화 유형 및 볼륨과 연결된 보호기를 표시할 수 있습니다.
Manage-bde를 사용하여 볼륨의 상태를 확인하려면 다음 명령을 사용합니다.
manage-bde -status <volume>
참고
볼륨 문자가 -status 명령과 연결되지 않은 경우 컴퓨터의 모든 볼륨에 대한 상태가 표시됩니다.
Windows PowerShell을 사용하여 BitLocker 상태 확인
Windows PowerShell 명령은 볼륨의 BitLocker 상태를 쿼리하는 데 다른 방법을 제공합니다. Manage-bde와 같이 Windows PowerShell은 원격 컴퓨터의 볼륨 상태를 확인할 수 있는 이점이 있습니다.
Get-BitLockerVolume cmdlet을 사용하면 시스템의 각 볼륨이 현재 BitLocker 상태를 표시합니다. 특정 볼륨에 대해 더 자세한 정보를 가져오려면 다음 명령을 사용합니다.
Get-BitLockerVolume <volume> -Verbose | fl
이 명령은 암호화 방법, 볼륨 유형, 키 보호기 등에 대한 정보를 표시합니다.
운영 체제 배포 중 BitLocker 프로비전
관리자는 Windows 사전 설치 환경에서 운영 체제 배포 이전에 BitLocker를 사용하도록 설정할 수 있습니다. Windows 설치 프로세스를 실행하기 전에 포맷된 볼륨에 임의로 생성한 암호화되지 않은 키 보호기를 적용하고 볼륨을 암호화하여 이 작업을 수행할 수 있습니다. 사용된 디스크 공간만 옵션(이 문서의 뒷부분에서 설명)으로 암호화하는 경우 이 단계는 몇 초밖에 안 걸리며 일반 배포 프로세스와 잘 통합됩니다.
BitLocker 볼륨 암호 해독
볼륨의 암호를 해독하면 볼륨에서 BitLocker 및 관련된 보호기가 제거됩니다. 암호 해독은 보호가 더 이상 필요하지 않은 경우 수행해야 합니다. BitLocker 암호 해독을 문제 해결 단계로 수행하지 않아야 합니다. BitLocker는 BitLocker 제어판 애플릿, manage-bde 또는 Windows PowerShell cmdlet을 사용하여 볼륨에서 제거할 수 있습니다. 아래에서 각 메서드를 추가로 살펴보겠습니다.
BitLocker 제어판 애플릿을 사용하여 볼륨 암호 해독
제어판을 사용하는 BitLocker 암호 해독은 마법사를 사용하여 수행됩니다. 제어판은 Windows 탐색기에서 또는 직접 열어서 호출할 수 있습니다. BitLocker 제어판을 연 다음 사용자는 프로세스를 시작하기 위해 BitLocker 끄기 옵션을 선택합니다.
선택한 후 사용자는 확인 대화 상자를 클릭하여 계속합니다. BitLocker 끄기를 확인하면 드라이브 암호 해독 프로세스가 시작되고 제어판에 상태를 보고합니다.
제어판이 암호 해독 진행률을 보고하지는 않지만 작업 표시줄의 알림 영역에 진행률이 표시됩니다. 알림 영역 아이콘을 선택하면 진행률이 표시된 모달 대화 상자가 열립니다.
암호 해독이 완료되면 제어판에서 드라이브의 해당 상태가 업데이트되고 드라이브가 암호화를 위해 사용할 수 있게 됩니다.
Manage-bde 명령줄 인터페이스를 사용하여 볼륨 암호 해독
Manage-bde를 사용하여 볼륨의 암호를 해독하는 것은 매우 간단합니다. Manage-bde를 사용하는 암호 해독은 프로세스를 시작하기 위해 사용자 확인을 요구하지 않는다는 이점이 있습니다. Manage-bde는 -off 명령을 사용하여 암호 해독 프로세스를 시작합니다. 다음은 암호 해독에 대한 샘플 명령입니다.
manage-bde -off C:
이 명령은 볼륨의 암호를 해독하는 동안 보호기를 사용하지 않도록 설정하고 암호 해독이 완료되면 모든 보호기를 제거합니다. 사용자가 암호 해독의 상태를 확인하려는 경우 다음 명령을 사용할 수 있습니다.
manage-bde -status C:
BitLocker Windows PowerShell cmdlet을 사용하여 볼륨 암호 해독
Windows PowerShell cmdlet을 사용하는 암호 해독은 간단하며 manage-bde와 유사합니다. Windows PowerShell이 제공하는 추가 이점으로 한 번에 여러 드라이브의 암호를 해독하는 기능이 있습니다. 아래 예제에서는 암호를 해독하려는 3개의 암호화된 볼륨이 있습니다.
Disable-BitLocker 명령을 사용하여 추가 명령을 사용하지 않고 동시에 모든 보호기 및 암호화를 제거할 수 있습니다. 다음은 예제 명령입니다.
DisableBitLocker
사용자가 각 탑재 지점을 개별적으로 입력하지 않으려는 경우 배열에서 -MountPoint 매개 변수를 사용하면 추가 사용자 입력 없이 동일한 명령을 한 줄로 배열할 수 있습니다. 다음은 예제 명령입니다.
Disable-BitLocker -MountPoint E:,F:,G: