BitLocker 사용 정책 수정 - 호환되는 TPM 이 없이 BitLocker 허용
기존 자료 백업 2010. 2. 23. 22:36 |이곳은 백업 블로그 입니다. 현재 캐플이 활동 중인 블로그는 CAppleBlog.co.kr 입니다. 최신 정보들은 새로운 블로그에서 확인해 보세요. ^^
- 이곳은 기존 블로그들의 글을 한군데로 모아 놓은 백업 블로그입니다.
- 현재 링크는 대부분 올바르지 않으며 이러한 링크들은 모두 cappleblog.co.kr 로 이동합니다. (※ 링크 주의)
- 블로그와 커뮤니티는 서로 다른 공간입니다.(로그인을 따로 해야합니다.)
- 저는 윈티티(WinTT)이자 신비(ShinB)이며 캐플(CApple)입니다. 편한대로 불러주세요.
운영 체제 드라이브의 BitLocker 드라이브 암호화와 TPM
윈도우 7 의 BitLocker 드라이브 암호화 중 운영 체제 드라이브를(운영 체제 볼륨을) BitLocker 로 암호화 하는 것은 암호를 해독하는 해독 키를 메인보드에 내장 또는 장착된 TPM 1.2 보안 칩과 연동하여 사용하는 것이 기본 정책입니다.
[TPM 1.2 보안 칩]
[TPM 이 포함된 BitLocker 의 암호 해독 과정]
하지만 최근에 출시된 노트북을 제외한 대다수의 데스크탑 시스템(또는 구형 노트북)에는 TPM 1.2 보안 칩이 내장되어 있질 않죠. 그리하여 아무런 준비없이 운영 체제 드라이브를 BitLocker 로 암호화하려고 하면 아래와 같은 오류 메시지를 출력하고 BitLocker 드라이브 암호화를 진행할 수 없습니다.(고정 & 이동식 데이터 드라이브의 암호화와는 관련이 없습니다.)
하지만 우리는 분명히 알고 있습니다. 운영 체제 드라이브를 암호화하는 BitLocker 기능은 TPM 1.2 보안 칩이 없어도 USB 장치에 드라이브의 암호를 해독하는 시작 키를 저장하여 사용할 수도 있다고 말입니다.
[USB 장치 - USB 플래시 메모리 드라이브 -]
[USB 장치를 사용하는 BitLocker 의 암호 해독 과정]
그렇다면 윈도우는 왜 USB 장치를 사용할 수 있음에도 불구하고 위와 같은 오류를 출력하면서 BitLocker 드라이브 암호화를 시작하지 않는 것일까요? 그것은 BitLocker 의 기본 정책이 TPM 1.2 보안 칩을 필수로 사용하도록 설정이 되어 있기 때문입니다. 이유는 여러 가지 일 테지만 아무래도 TPM 1.2 보안 칩과 연동하여 BitLocker 를 사용하는 게 보안상 가장 확실하기 때문에 이를 기본 값으로 설정해 놓지 않았을 까 생각합니다.
이러한 정책은 수정될 수 있습니다. 그리고 시스템 관리자는 이 정책을 수정할 권한이 있습니다. 여러분은 시스템 관리자 입니다. 그러니 여러분은 자신의 메인보드에 TPM 1.2 보안 칩이 내장 또는 장착되어 있지 않더라도 스스로 정책을 수정하여 USB 장치를 통해 BitLocker 를 정상적으로 사용할 수 있습니다. 이러한 내용은 위의 오류 메시지에서 시스템 관리자에게 BitLocker 를 활성화하도록 요청하라고 내용으로 명시하고 있습니다.
BitLocker 정책의 수정 - 시작시 추가 인증 요구
운영 체제 드라이브의 암호화와 관련된 정책을 수정하여 TPM 1.2 보안 칩이 없어도 USB 장치를 통해 BitLocker 드라이브 암호화를 사용할 수 있도록 하겠습니다. 아래는 윈도우 7 에서 해당 정책을 수정하는 과정입니다. 해당 정책을 수정하기 위해선 관리자 계정이 필요합니다.
- 실행 -> gpedit.msc 를 통해 로컬 그룹 정책 편집기를 실행합니다.
- 좌측 트리에서 컴퓨터 구성 -> 관리 템플릿 -> BitLocker 드라이브 암호화 -> 운영 체제 드라이브 정책으로 이동한 후 우측 창에서 시작 시 추가 인증 요구 설정을 더블 클릭합니다.
- 정책을 사용으로 설정합니다. 자동으로 호환되는 TPM 이 없이 BitLocker 허용 항목이 체크 됩니다. 나머지 설정은 건들이지 않고 확인 버튼을 클릭합니다.
- 로컬 그룹 정책 편집기를 닫습니다.
- 실행 -> gpupdate /force 명령을 실행하여 변경된 정책을 반영합니다.(바로 반영되기도 합니다.)
간단하죠? 다시 운영 체제 드라이브를 BitLocker 로 암호화 하는 작업을 진행해 본 모습입니다.
시작할 때마다 시작 키 필요(S) 항목이 활성화 된 것을 확인할 수 있습니다. 이 항목은 USB 장치를 사용하는 - USB 저장 장치에 시작 키 복사 - 암호화 옵션입니다. 이로써 TPM 없이 USB 장치를 통해 운영 체제 드라이브를 암호화 하여 사용할 수 있습니다. 참고로 나머지 두 옵션은 TPM 과 관련된 항목이며 현재 시스템에 TPM 1.2 보안 칩이 존재하지 않기 때문에 비활성화되어 있습니다.
이 글은 여기까지 입니다. 그럼 잘 활용하시길 바랍니다. ^ㅡ^*
비스타의 BitLocker 정책의 수정
비스타에도 마찬가지로 BitLocker 기능이 포함이 되어 있습니다. 비스타에서도 동일하게 정책을 수정하여 TPM 없이 USB 장치를 통해 BitLocker 를 사용하도록 설정할 수 있습니다. 다만 윈도우 7 과는 달리 데이터 드라이브에 대한 BitLocker 를 지원하지 않기 때문에 BitLocker 전체 설정 부분에 해당 정책이 있으며 정책의 이름도 윈도우 7 과는 다릅니다. 아래는 비스타에서 USB 장치를 사용하도록 BitLocker 의 정책을 수정하는 과정입니다.
- 로컬 그룹 정책 편집기(그룹 정책 개체 편집기)를 실행하는 과정은 윈도우 7 과 동일합니다.
- 좌측 트리에서 컴퓨터 구성 -> 관리 템플릿 -> BitLocker 드라이브 암호화 정책으로 이동한 후 우측 창에서 제어판 설정 : 고급 시작 옵션 사용 설정을 더블 클릭합니다.
- 정책을 사용으로 설정합니다. 자동으로 호환되는 TPM 이 없이 BitLocker 허용 항목이 체크 됩니다. 나머지 설정은 건들이지 않고 확인 버튼을 클릭합니다.
- 이후의 과정 또한 윈도우 7 과 동일합니다.
