MBAM 2.5 SP1 정보

  • 아티클

업데이트 날짜: 2015년 8월

적용 대상: Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 SP1에서는 BitLocker 드라이브 암호화용으로 간소화된 관리 인터페이스를 제공합니다. BitLocker는 분실 또는 도난당한 컴퓨터의 데이터 도난 또는 데이터 노출을 방지하는 개선된 기능을 제공합니다. BitLocker는 Windows 운영 체제와 드라이브 및 구성된 데이터 드라이브에 저장되는 모든 데이터를 암호화합니다.

MBAM 개요

MBAM 2.5 SP1에 포함된 기능은 다음과 같습니다.

  • 관리자가 기업 전체의 클라이언트 컴퓨터 볼륨 암호화 프로세스를 자동화하는 기능을 제공합니다.

  • 보안 담당자가 개별 컴퓨터 또는 기업 자체의 준수 상태를 빠르게 확인하는 기능을 제공합니다.

  • Microsoft System Center Configuration Manager를 통한 중앙 집중식 보고 및 하드웨어 관리 기능을 제공합니다.

  • 지원 센터의 업무 부담을 줄여 최종 사용자의 BitLocker PIN 및 복구 키 요청을 지원합니다.

  • 최종 사용자가 셀프 서비스 포털을 사용하여 암호화된 장치를 독립적으로 복구하는 기능을 제공합니다.

  • 보안 담당자가 감사를 위해 복구 키 정보에 손쉽게 액세스하는 기능을 제공합니다.

  • Windows Enterprise 사용자가 회사 데이터의 보호 상태를 유지하면서 어디서나 작업을 계속할 수 있는 기능을 제공합니다.

MBAM은 관리자가 기업에 대해 설정한 BitLocker 암호화 정책 옵션을 적용하고, 클라이언트 컴퓨터가 해당 정책을 준수하는지 모니터링하고, 기업 및 개인 사용자 컴퓨터의 암호화 상태를 모두 보고합니다. 또한 사용자가 PIN 또는 암호를 잊거나 BIOS 또는 부트 레코드가 변경된 경우 MBAM을 통해 복구 키 정보에 액세스할 수도 있습니다.

다음 그룹이 MBAM을 사용하여 BitLocker를 관리하는 작업과 관련될 수 있습니다.

  • 허가 없이 기밀 데이터가 공개되지 않도록 보장하는 관리자, IT 보안 전문가 및 준수 관리자

  • 원격 또는 지사의 컴퓨터 보안을 담당하는 관리자

  • Windows를 실행하는 클라이언트 컴퓨터를 담당하는 관리자

참고

이 MBAM 설명서에서는 BitLocker에 대해서 자세히 설명하지 않습니다. 자세한 내용은 BitLocker 드라이브 암호화 개요를 참조하십시오.

MBAM 2.5 SP1의 새로운 기능

이 섹션에서는 MBAM 2.5 SP1의 새로운 기능에 대해 설명합니다.

MBAM 2.5 SP1 클라이언트용으로 새롭게 지원되는 언어

이제 셀프 서비스 포털을 비롯한 MBAM 클라이언트에 한해 MBAM 2.5 SP1에서 다음 언어가 추가로 지원됩니다.

  • 체코어(체코 공화국) cs-CZ

  • 덴마크어(덴마크) da-DK

  • 네덜란드어(네덜란드) nl-NL

  • 핀란드어(핀란드) fi FI

  • 그리스어(그리스) el-GR

  • 헝가리어(헝가리) hu-HU

  • 노르웨이어, 복말(노르웨이) nb-NO

  • 폴란드어(폴란드) pl-PL

  • 포르투갈어(포르투갈) pt-PT

  • 슬로바키아어(슬로바키아) sk-SK

  • 슬로베니아어(슬로베니아) sl-SI

  • 스웨덴어(스웨덴) sv-SE

  • 터키어(터키) tr-TR

MBAM 2.5 및 MBAM 2.5 SP1에서 클라이언트 및 서버용으로 지원되는 모든 언어 목록은 MBAM 2.5 지원 구성을 참조하세요.

Windows 10 지원

MBAM 2.5 SP1에서는 이전 MBAM 버전에서 지원되었던 것과 동일한 소프트웨어 이외에 Windows 10도 추가로 지원됩니다.

MBAM 2.5 및 MBAM 2.5 SP1에서 모두 Windows 10이 지원됩니다.

Microsoft SQL Server 2014 SP1 지원

MBAM 2.5 SP1에서는 이전 MBAM 버전에서 지원되었던 것과 동일한 소프트웨어 이외에 Microsoft SQL Server 2014 SP1도 추가로 지원됩니다.

MBAM는 더 이상 별도의 MSI와 함께 제공되지 않음

MBAM 2.5 SP1부터는 별도의 MSI가 MBAM 제품에 더 이상 포함되지 않습니다. 그러나 제품에 포함된 실행 파일(.exe)에서 MSI를 추출할 수 있습니다.

MBAM이 TPM을 소유하지 않고도 OwnerAuth 암호를 위탁할 수 있음

이전에는 MBAM이 TPM을 소유하고 있지 않으면 MBAM 데이터베이스에 TPM OwnerAuth를 위탁할 수 없었습니다. 따라서 TPM을 소유하고 암호를 저장하도록 MBAM을 구성하려면 클라이언트 컴퓨터에서 TPM 자동 프로비전을 사용하지 않도록 설정하고 TPM을 지워야 했습니다.

이제 Windows 8 이상 버전에서는 MBAM 2.5 SP1이 TPM을 소유하지 않아도 OwnerAuth 암호를 위탁할 수 있습니다. 서비스를 시작하는 동안 MBAM은 쿼리를 통해 TPM을 이미 소유하고 있는지를 확인하며, TPM을 소유한 경우 운영 체제에서 암호를 요청합니다. 그런 다음 MBAM 데이터베이스에 암호를 위탁합니다. 또한 로컬에서 OwnerAuth가 삭제되지 않도록 그룹 정책을 설정해야 합니다.

Windows 7의 경우에는 MBAM 데이터베이스에서 TPM OwnerAuth 정보를 자동으로 위탁하려면 MBAM이 TPM을 소유해야 합니다. MBAM이 TPM을 소유하고 있지 않으며 TPM의 AD(Active Directory) 백업이 그룹 정책을 통해 구성된 경우에는 MBAM AD(Active Directory) 데이터 가져오기 cmdlet을 사용하여 TPM OwnerAuth를 AD에서 MBAM 데이터베이스로 복사해야 합니다. 5개의 새로운 PowerShell cmdlet이 MBAM 데이터베이스를 Active Directory에 저장된 볼륨 복구 및 TPM 소유자 정보로 미리 채웁니다.

자세한 내용은 Configure MBAM to escrow the TPM and store OwnerAuth passwords를 참조하세요.

잠금이 설정된 후 MBAM이 TPM 잠금을 자동으로 해제할 수 있음

이제는 TPM 1.2를 실행하는 컴퓨터에서 잠금이 설정된 경우 TPM 잠금을 자동으로 해제하도록 MBAM을 구성할 수 있습니다. TPM 잠금 자동 다시 설정 기능이 사용하도록 설정되어 있으면 MBAM은 사용자가 잠겼음을 검색한 다음 MBAM 데이터베이스에서 OwnerAuth 암호를 가져와 해당 사용자에 대한 TPM 잠금을 자동으로 해제할 수 있습니다.

이 기능은 클라이언트 쪽의 그룹 정책과 서버 쪽에서 모두 사용하도록 설정해야 합니다. 자세한 내용은 Configure MBAM to automatically unlock the TPM after a lockout를 참조하세요.

FIPS 규격 BitLocker 숫자 암호 보호기 지원

MBAM 2.5에서는 Windows 8.1 운영 체제를 실행 중인 장치에서 FIPS(Federal Information Processing Standard) 규격 BitLocker 복구 키를 지원하는 기능이 추가되었습니다. 그러나 Windows 7에서 FIPS 규격 복구 키가 구현되지 않았습니다. 따라서 Windows 7 및 Windows 8 장치에서 복구를 수행하려면 여전히 DRA(데이터 복구 에이전트) 보호기가 필요합니다.

Windows 팀에서 핫픽스를 통해 FIPS 규격 복구 키를 백포트함에 따라 MBAM 2.5 SP1에는 이러한 복구 키에 대한 지원도 추가되었습니다.

참고

Windows 8 운영 체제에 대해서는 핫픽스가 백포트되지 않았으므로 Windows 8을 실행하는 클라이언트 컴퓨터의 경우에는 계속 DRA 보호기가 필요합니다. Windows 7 및 Windows 8 컴퓨터용 BitLocker 핫픽스를 다운로드하고 설치하려면 BitLocker Administration and Monitoring 2.5용 핫픽스 패키지 2를 참조하세요. DRA에 대한 자세한 내용은 BitLocker와 함께 데이터 복구 에이전트 사용을 참조하십시오.

조직에서 FIPS 준수를 사용하도록 설정하려면 FIPS(Federal Information Processing Standard) 그룹 정책 설정을 구성해야 합니다. 구성 지침은 BitLocker 그룹 정책 설정을 참조하십시오.

새 그룹 정책 설정을 사용해 사전 부팅 복구 메시지 및 URL 사용자 지정

새로운 그룹 정책 설정인 사전 부팅 복구 메시지 및 URL 구성을 사용하면 OS 드라이브가 잠길 때 사전 부팅 BitLocker 복구 화면에 표시되는 URL을 지정하거나 사용자 지정 복구 메시지를 구성할 수 있습니다. 이 설정은 Windows 10을 실행하는 클라이언트 컴퓨터에서만 사용할 수 있습니다.

이 정책 설정을 사용하도록 설정하면 사전 부팅 복구 메시지에 대해 다음 옵션 중 하나를 선택할 수 있습니다.

  • 사용자 지정 복구 메시지 사용: 사전 부팅 BitLocker 복구 화면에 사용자 지정 메시지를 포함하려면 이 옵션을 선택합니다.

  • 사용자 지정 복구 URL 사용: 사전 부팅 BitLocker 복구 화면에 표시되는 기본 URL을 바꾸려면 이 옵션을 선택합니다.

  • 기본 복구 메시지 및 URL 사용: 사전 부팅 BitLocker 복구 화면에서 기본 BitLocker 복구 메시지 및 URL을 표시하려면 이 옵션을 선택합니다. 이전에 사용자 지정 복구 메시지 또는 URL을 구성했으며 기본 메시지로 되돌리려는 경우에는 이 정책을 사용하도록 설정하고 이 옵션을 선택해야 합니다.

새 그룹 정책 설정은 컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > MDOP MBAM(BitLocker 관리) > 운영 체제 드라이브 GPO 노드에 있습니다. 자세한 내용은 MBAM 2.5 그룹 정책 요구 사항 계획를 참조하세요.

MBAM에 사용한 공간 암호화 지원이 추가됨

MBAM 2.5 SP1에서는 BitLocker 그룹 정책을 통해 사용한 공간 암호화를 사용하도록 설정하면 MBAM 클라이언트에서 해당 정책을 적용합니다.

이 그룹 정책 설정은 운영 체제 드라이브에 드라이브 암호화 종류 적용이라고 하며 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브 GPO 노드에 있습니다. 이 정책을 사용하도록 설정하고 암호화 종류를 사용한 공간만 암호화로 선택하면 MBAM에서 해당 정책을 적용하며, BitLocker는 볼륨에서 사용한 디스크 공간만 암호화합니다.

자세한 내용은 MBAM 2.5 그룹 정책 요구 사항 계획를 참조하세요.

암호화된 하드 드라이브에 대한 MBAM 클라이언트 지원

MBAM에서는 Opal에 대한 TCG 사양 요구 사항 및 IEEE 1667 표준을 준수하는 암호화된 하드 드라이브에서 BitLocker를 지원합니다. 이러한 장치에서 BitLocker를 사용하는 경우 키를 생성하고 암호화된 드라이브에서 관리 기능을 수행합니다. 자세한 내용은 암호화된 하드 드라이브를 참조하세요.

SPN 등록 시 더 이상 위임을 구성할 필요가 없음

응용 프로그램 풀 계정에 대해 등록하는 SPN의 제한된 위임을 구성해야 했던 요구 사항이 MBAM 2.5 SP1에서는 더 이상 적용되지 않습니다. 그러나 MBAM 2.5에서는 위임을 계속 구성해야 합니다.

Windows 배포의 일부로 MBAM을 통해 BitLocker를 사용하도록 설정

MBAM 2.5 SP1에서는 PowerShell 스크립트를 사용하여 BitLocker 드라이브 암호화를 구성하고 MBAM Server에 복구 키를 위탁할 수 있습니다.

자세한 내용은 Windows 배포의 일부로 MBAM을 사용하여 BitLocker를 사용하도록 설정하는 방법을 참조하세요.

PowerShell 또는 SSP 사용자 지정 마법사를 사용하여 셀프 서비스 포털 사용자 지정 가능

MBAM 2.5 SP1부터는 PowerShell뿐 아니라 사용자 지정 마법사를 통해서도 셀프 서비스 포털을 구성할 수 있습니다. MBAM 2.5 웹 응용 프로그램을 구성하는 방법을 참조하세요.

웹 브라우저가 더 이상 관리자 권한으로 잘못 실행되지 않음

MBAM 2.5에는 서버 구성 도구의 도움말 링크를 클릭하면 브라우저 창이 관리자 권한으로 열렸던 문제가 있었습니다. MBAM 2.5 SP1에서는 이 문제가 해결되었습니다.

CDN에 액세스할 수 없을 때 셀프 서비스 포털을 구성하기 위해 더 이상 JavaScript 파일을 다운로드할 필요가 없음

MBAM 2.5 이하 버전에서는 셀프 서비스 포털에 액세스하는 클라이언트가 인터넷에 연결할 수 없는 경우 셀프 서비스 포털을 구성하는 데 사용되는 jQuery 파일을 CDN에서 미리 다운로드해야 했습니다. MBAM 2.5 SP1에서는 모든 JavaScript 파일이 제품에 포함되어 있기 때문에 별도로 다운로드할 필요가 없습니다.

보고서 작성기 3.0에서 보고서를 열 수 있음

MBAM 2.5 SP1에서는 보고서가 최신 보고서 정의 언어 스키마로 업데이트되어 사용자가 보고서 작성기 3.0에서 보고서를 열어 사용자 지정한 후 보고서 파일을 손상시키지 않고 즉시 저장할 수 있습니다.

새 PowerShell cmdlet

MBAM 2.5 SP1용의 새로운 PowerShell cmdlet을 사용하면 데이터베이스, 보고서, 웹 응용 프로그램 등의 다양한 MBAM 기능을 구성하고 관리할 수 있습니다. 각 기능에는 해당하는 PowerShell cmdlet이 있으며, 해당 cmdlet을 사용하여 기능을 사용 또는 사용하지 않도록 설정하거나 기능에 대한 정보를 확인할 수 있습니다.

MBAM 2.5 SP1용으로 구현된 cmdlet은 다음과 같습니다.

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

MBAM 2.5 SP1용 Enable-MbamWebApplication 및 Test-MbamWebApplication cmdlet에서 구현된 매개 변수는 다음과 같습니다.

  • DataMigrationAccessGroup

  • TpmAutoUnlock

cmdlet에 대한 자세한 내용은 MBAM 2.5 보안 고려 사항Microsoft Bitlocker Administration and Monitoring cmdlet 도움말을 참조하세요.

MBAM 에이전트가 프레젠테이션 모드를 검색함

MBAM 에이전트는 컴퓨터가 프레젠테이션 모드임을 검색하여 이 모드를 사용 중일 때 MBAM UI 호출을 차단할 수 있습니다.

이제 MBAM 에이전트 서비스가 지연된 시작을 사용하도록 구성됨

이제는 설치 후에 서비스가 지연된 시작을 사용하도록 MBAM 에이전트 서비스를 설정하므로 Windows를 시작하는 데 걸리는 시간이 단축됩니다.

이제 잠긴 고정 데이터 볼륨이 호환 볼륨으로 보고됨

"잠긴 고정 데이터" 볼륨에 대한 준수 계산 논리가 이러한 볼륨을 "호환"으로 보고하도록 변경되었습니다. 보호기 상태와 암호화 상태는 "알 수 없음"으로, 준수 상태 세부 정보는 "볼륨이 잠겨 있음"으로 보고됩니다. 이전에는 잠긴 볼륨이 "비호환"으로 보고되었으며 보호기 상태는 "암호화됨", 암호화 상태는 "알 수 없음", 준수 상태 세부 정보는 "알 수 없는 오류"로 보고되었습니다.

MDOP 기술을 사용하는 방법

MBAM은 Microsoft Desktop Optimization Pack(MDOP)의 일부입니다. MDOP는 Microsoft Software Assurance 프로그램의 구성 요소입니다. Microsoft Software Assurance 프로그램 및 MDOP를 받는 방법에 대한 자세한 내용은 MDOP를 받는 방법을 참조하십시오.

MBAM 2.5 SP1 릴리스 정보

자세한 내용과 이 설명서에 포함되지 않은 최신 뉴스는 MBAM 2.5 SP1의 릴리스 정보를 참조하십시오.

MBAM에 대한 제안 사항이 있으신가요?

여기에서 제안 사항을 추가하거나 투표해 보세요. MBAM 문제가 있는 경우 MBAM TechNet 포럼을 사용하세요.

참고 항목

개념

Microsoft BitLocker Administration and Monitoring 2.5

기타 리소스

MBAM 2.5 시작