이번 시리즈에서는 최신 Windows 운영 체제의 보안 도구인 BitLocker 기술에 대해 간략하게 설명했습니다. 원칙적으로 이 기사에서는 이 도구의 아키텍처에 대해 설명했는데, 이는 집이나 조직에서 디스크 암호화 자체를 수행할 때 많이 사용되지 않습니다. 또한 첫 번째 기사에서 이 기술을 최대한 활용하려면 암호화를 수행할 컴퓨터에 TPM(신뢰할 수 있는 플랫폼 모듈)과 같은 모듈이 장착되어 있어야 한다는 사실을 알 수 있었습니다. 모든 컴퓨터에서 멀리 떨어진 곳에서 찾을 수 있습니다. 따라서 이 시리즈의 다음 기사에서는 신뢰할 수 있는 플랫폼 모듈로 작업하는 방법을 설명할 때 가상 머신의 에뮬레이터만 고려합니다. 또한 이 기사나 이 시리즈의 다음 기사에서는 스마트 카드 사용 시 데이터 드라이브 차단에 대해 논의하지 않는다는 점도 주목할 가치가 있다고 생각합니다.

아시다시피 BitLocker 기술을 사용하면 전체 드라이브를 암호화할 수 있는 반면, EFS(파일 시스템 암호화)를 사용하면 개별 파일만 암호화할 수 있습니다. 당연히 특정 파일만 암호화해야 하는 경우도 있고 전체 파티션을 암호화하는 것은 의미가 없어 보일 수도 있지만, 부서와 사무실 간 이동이 없는 인트라넷의 컴퓨터에서만 EFS를 사용하는 것이 좋습니다. 즉, 사용자가 랩톱을 가지고 있고 주기적으로 출장을 가야 하며 이러한 사용자의 컴퓨터에는 암호화해야 할 파일이 수십 개밖에 없다면 랩톱 컴퓨터를 사용하는 것이 더 좋습니다. 암호화된 파일 시스템 대신 BitLocker 기술을 사용합니다. 이는 EFS를 사용하면 레지스트리 파일과 같은 운영 체제의 중요한 요소를 암호화할 수 없다는 사실로 설명됩니다. 공격자가 노트북의 레지스트리에 접근하면 사용자 도메인 계정의 캐시된 데이터, 비밀번호 해시 등과 같은 흥미로운 정보를 많이 찾을 수 있으며 이는 향후 심각한 피해를 입힐 수 있습니다. 이 사용자뿐만 아니라 회사 전체의 손실입니다. 그리고 위에서 언급한 것처럼 암호화된 파일 시스템과 달리 BitLocker 기술을 사용하면 사용자 랩톱의 암호화된 디스크에 있는 모든 데이터가 사용자 랩톱에서 암호화됩니다. 많은 사람들이 질문할 수 있습니다. 조직의 다른 사용자는 이 기술을 사용하여 암호화된 파일을 어떻게 사용할 수 있습니까? 실제로 모든 것이 매우 간단합니다. BitLocker 기술을 사용하여 암호화된 파일이 있는 컴퓨터가 공유되면 승인된 사용자는 해당 사용자의 컴퓨터에 암호화가 없는 것처럼 쉽게 해당 파일과 상호 작용할 수 있습니다. 또한 암호화된 디스크에 있는 파일을 다른 컴퓨터나 암호화되지 않은 디스크에 복사하면 해당 파일이 자동으로 해독됩니다.

다음 섹션에서는 Windows 7을 실행하는 TPM이 아닌 노트북에서 시스템 및 보조 파티션을 암호화하는 방법을 알아봅니다.

시스템 파티션에 대해 BitLocker 암호화를 활성화합니다.

도메인에 속하지 않은 컴퓨터의 시스템 파티션에서 BitLocker 드라이브 암호화를 활성화하는 것은 복잡하지 않습니다. 시스템 디스크를 암호화하기 전에 디스크가 암호화될 노트북에 세 개의 파티션이 생성되었으며 처음 두 개는 암호화되어야 한다는 사실에 주의해야 한다고 생각합니다.

쌀. 1. 디스크가 암호화될 노트북의 Windows 탐색기

시스템 파티션을 암호화하려면 다음 단계를 따르세요.

1. 우선, 이 예에서 드라이브를 암호화할 노트북에는 TPM이 없으므로 몇 가지 예비 단계를 수행하는 것이 좋습니다. 스냅을 열어야합니다 "로컬 그룹 정책 편집기"컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화\운영 체제 드라이브로 이동합니다. 여기서는 6가지 정책 설정을 찾을 수 있습니다. 앞서 이 노트북에는 TPM 모듈이 탑재되어 있지 않다고 언급했으므로 운영 체제를 로드하기 전에 시스템 인증 및 후속 부팅을 확인하도록 설계된 특수 키가 포함된 USB 드라이브를 사용해야 합니다. 이 작업을 수행하는 데 사용되는 정책 설정은 다음과 같습니다. "시작 시 추가 인증이 필요합니다". 이 정책 설정의 속성 대화 상자에서 옵션을 확인해야 합니다. "호환되는 TPM 없이 BitLocker를 허용합니다". 이 경우 작업 그룹에서 디스크를 암호화할 때 관심을 가질 수 있는 유일한 옵션이므로 변경 사항을 저장하십시오. 다음 그림은 이 정책 설정에 대한 속성 대화 상자를 보여줍니다.



쌀. 2. 시작 정책 설정 속성 대화 상자에서 추가 인증 필요

BitLocker 기술을 관리하는 데 사용할 수 있는 다양한 그룹 정책 설정이 있습니다. 이러한 옵션은 BitLocker 기술에 대한 향후 기사에서 자세히 논의될 것입니다.

2. 열려 있는 "제어판", 카테고리로 이동 "시스템과 안전"그런 다음 선택 "BitLocker 드라이브 암호화";
3. 나타나는 제어판 창에서 시스템 파티션을 선택한 다음 링크를 클릭하십시오. "BitLocker 활성화". 파티션이 기본 디스크에 있는 경우에만 파티션을 암호화할 수 있다는 사실에 주목할 필요가 있습니다. 동적 디스크에 파티션을 생성한 경우 이를 암호화하기 전에 디스크를 동적 디스크에서 기본 디스크로 변환해야 합니다. 다음 그림은 창을 보여줍니다. "BitLocker 드라이브 암호화":



쌀. 3. 제어판 BitLocker 드라이브 암호화 창

4. 컴퓨터 구성을 확인한 후 BitLocker 드라이브 암호화 마법사의 첫 번째 페이지에서 다양한 시작 옵션을 지정할 수 있습니다. 하지만 내 노트북에는 TPM이 없고 TPM이 지원되지 않는 하드웨어에서 BitLocker 암호화를 허용하도록 그룹 정책 설정이 변경되었으므로 "시작할 때 키를 요청하세요". 마법사의 첫 번째 페이지는 다음과 같습니다.



쌀. 4. BitLocker 드라이브 암호화 마법사 시작 옵션

5. 페이지에서 "시작 키 저장" BitLocker 드라이브 암호화 마법사에서는 플래시 드라이브를 컴퓨터에 연결한 다음 목록에서 선택해야 합니다. 드라이브를 선택한 후 버튼을 클릭하십시오 "구하다";
6. 마법사의 세 번째 페이지에서는 복구 키의 위치를 ​​지정해야 합니다. 복구 키는 몇 가지 지침, 드라이브 레이블, 비밀번호 ID 및 48자 복구 키가 포함된 작은 텍스트 파일입니다. 이 키는 다른 수단으로 액세스할 수 없는 경우 데이터에 액세스하는 데 사용된다는 점에서 실행 키와 다르다는 점을 기억해야 합니다. 다음 세 가지 옵션 중 하나를 선택할 수 있습니다. 복구 키를 USB 플래시 드라이브에 저장, 복구 키를 파일에 저장또는 인쇄 복구 키. 첫 번째 옵션을 선택할 때 복구 및 시작 키를 다른 플래시 드라이브에 저장해야 합니다. 여러 복구 키를 암호화된 컴퓨터가 아닌 다른 컴퓨터에 저장하는 것이 권장되므로 제 경우에는 복구 키가 HP 클라우드 드라이브뿐만 아니라 제 서버 중 하나의 네트워크 폴더에 저장되었습니다. 이제 복구 키의 내용은 나와 HP에만 알려지지만 대부분 정보의 완전한 기밀성을 보장합니다. 복구 키를 인쇄하는 경우 문서를 잠긴 금고에 보관하는 것이 좋습니다. 나는 이 48개의 숫자를 기억하고 문서를 읽은 후 그냥 태워버리는 것을 권장합니다 :). 페이지 “복구 키를 어떻게 저장하나요?” BitLocker 암호화 마법사는 다음 그림에 나와 있습니다.



쌀. 5. BitLocker로 암호화된 데이터의 복구 키 저장

7. 이 시점에서 BitLocker 시스템 검사를 실행하여 필요한 경우 복구 키를 쉽게 사용할 수 있는지 확인할 수 있으므로 이는 드라이브 암호화 마법사의 마지막 페이지입니다. 시스템 검사를 완료하려면 컴퓨터를 다시 시작하라는 메시지가 표시됩니다. 원칙적으로 이 단계는 필수는 아니지만 이 확인을 수행하는 것이 좋습니다. 아래에서 마법사의 마지막 페이지를 볼 수 있습니다.



쌀. 6. 디스크 암호화 마법사의 마지막 페이지

8. POST 테스트 직후 운영 체제를 시작하려면 시작 키가 있는 플래시 드라이브를 삽입하라는 메시지가 표시됩니다. 컴퓨터가 다시 시작되고 BitLocker가 암호화 후에 예상치 못한 상황이 발생하지 않는다는 것을 알게 되면 디스크 암호화 프로세스 자체가 시작됩니다. 알림 영역에 표시된 아이콘을 통해 알 수 있거나 창으로 이동하면 알 수 있습니다. "BitLocker 드라이브 암호화"제어판에서. 암호화 프로세스 자체는 백그라운드에서 실행됩니다. 즉, 암호화가 실행되는 동안 컴퓨터에서 계속 작업할 수 있지만 BitLocker는 암호화된 디스크의 프로세서 리소스와 여유 공간을 집중적으로 사용합니다. 드라이브의 몇 퍼센트가 이미 암호화되어 있는지 확인하려면 알림 영역에서 아이콘을 찾으세요. "BitLocker 드라이브 암호화를 사용하여 %volume_name% 암호화 중"그리고 그것을 더블클릭하세요. BitLocker 알림 아이콘 및 대화 상자 "BitLocker 드라이브 암호화"아래에 표시됨:



쌀. 7. 암호화 수행

9. BitLocker 드라이브 암호화 프로세스가 완료되면 선택한 드라이브의 암호화가 성공적으로 완료되었다는 알림이 표시됩니다. 이 대화 상자는 아래에서 볼 수 있습니다.





쌀. 8. BitLocker 드라이브 암호화 완료

처음으로 디스크를 암호화하는 분들을 위해 이 절차가 즉시 수행되지 않는다는 점을 참고하고 싶습니다. 예를 들어 75GB 용량의 시스템 디스크를 암호화하는 데 70분이 걸렸습니다.

이제 다음 그림에서 볼 수 있듯이 Windows 탐색기에는 시스템 파티션 아이콘이 잠겨 있습니다. 이는 이 파티션이 BitLocker 기술을 사용하여 암호화되었음을 의미합니다.

쌀. 9. 암호화된 시스템 파티션이 있는 Windows 탐색기

결론

이 기사에서는 BitLocker 기술을 사용하여 드라이브를 암호화하는 방법을 배웠습니다. 암호화를 준비하는 과정과 그래픽 인터페이스를 이용해 디스크 자체를 암호화하는 과정을 고려한다. 기사 시작 부분에서 이 노트북에서 두 개의 드라이브가 암호화될 것이라고 표시했으므로 다음 기사에서는 명령줄 유틸리티를 사용하여 BitLocker 기술을 사용하여 드라이브를 암호화하는 방법을 배우게 됩니다. 관리-dbe .

안녕하세요 친구! 이 기사에서는 데이터 보안을 강화하도록 설계된 Windows에 내장된 시스템에 대해 계속해서 연구할 것입니다. 현재는 Bitlocker 디스크 암호화 시스템입니다. 낯선 사람이 귀하의 정보를 사용하는 것을 방지하려면 데이터 암호화가 필요합니다. 그녀가 그들에게 어떻게 다가갈지는 또 다른 질문입니다.

암호화는 적절한 사람만 액세스할 수 있도록 데이터를 변환하는 프로세스입니다. 일반적으로 키나 비밀번호는 액세스 권한을 얻는 데 사용됩니다.

전체 드라이브를 암호화하면 하드 드라이브를 다른 컴퓨터에 연결할 때 데이터에 액세스할 수 없습니다. 공격자의 시스템에는 보호를 우회하기 위해 다른 운영 체제가 설치되어 있을 수 있지만 BitLocker를 사용하는 경우에는 도움이 되지 않습니다.

BitLocker 기술은 Windows Vista 운영 체제 출시와 함께 등장했으며 Windows 7에서 개선되었습니다. Bitlocker는 Windows 7 Ultimate 및 Enterprise 버전은 물론 Windows 8 Pro에서도 사용할 수 있습니다. 다른 버전의 소유자는 대안을 찾아야 합니다.

BitLocker 드라이브 암호화 작동 방식

자세히 들어가지 않아도 이렇게 보입니다. 시스템은 전체 디스크를 암호화하고 이에 대한 키를 제공합니다. 시스템 디스크를 암호화하면 키가 없으면 컴퓨터가 부팅되지 않습니다. 아파트 열쇠도 마찬가지다. 당신은 그것들을 가지고 있고 그것에 들어갈 것입니다. 분실시 예비번호(복구코드(암호화시 발급))를 이용하시고, 잠금장치를 변경하셔야 합니다(다른 키로 다시 암호화를 해주세요)

안정적인 보호를 위해서는 컴퓨터에 TPM(Trusted Platform Module)을 설치하는 것이 바람직합니다. 존재하고 버전이 1.2 이상인 경우 프로세스를 제어하고 더 강력한 보호 방법을 갖게 됩니다. 해당 키가 없으면 USB 드라이브의 키만 사용할 수 있습니다.

BitLocker는 다음과 같이 작동합니다. 디스크의 각 섹터는 키(전체 볼륨 암호화 키, FVEK)를 사용하여 별도로 암호화됩니다. 128비트 키와 디퓨저를 갖춘 AES 알고리즘이 사용됩니다. 그룹 보안 정책에서 키를 256비트로 변경할 수 있습니다.

이렇게 하려면 Windows 7에서 검색을 사용하십시오. 시작 메뉴를 열고 검색 필드에 "정책"을 쓰고 그룹 정책 변경을 선택하십시오.

왼쪽에 열리는 창에서 경로를 따라 가세요

컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화

오른쪽에서 디스크 암호화 방법 및 암호화 강도 선택을 두 번 클릭합니다.

열리는 창에서 정책 활성화를 클릭합니다. 암호화 방법 선택 섹션의 드롭다운 목록에서 원하는 방법을 선택하세요.

가장 안정적인 것은 디퓨저가 포함된 256비트 키를 갖춘 AES입니다. 이 경우 중앙 프로세서의 부하가 약간 높을 가능성이 높지만 그다지 높지는 않으며 최신 컴퓨터에서는 차이를 느끼지 못할 것입니다. 하지만 데이터는 더욱 안정적으로 보호됩니다.

디퓨저를 사용하면 원본 데이터가 약간 변경되어도 암호화된 정보가 크게 변경되므로 신뢰성이 더욱 높아집니다. 즉, 거의 동일한 데이터로 두 섹터를 암호화하면 결과가 크게 달라집니다.

FVEK 키 자체는 하드 디스크 메타데이터 중에 위치하며 VMK(볼륨 마스터 키)를 사용하여 암호화됩니다. VMK도 TPM 모듈을 사용하여 암호화됩니다. 후자가 없으면 USB 드라이브의 키를 사용하십시오.

키가 포함된 USB 드라이브를 사용할 수 없는 경우 48자리 복구 코드를 사용해야 합니다. 그런 다음 시스템은 볼륨의 마스터 키를 해독할 수 있으며 이를 통해 FVEK 키를 해독하고 이를 통해 디스크 잠금이 해제되고 운영 체제가 부팅됩니다.

Windows 7의 BitLocker 개선 사항

플래시 드라이브나 디스크에서 Windows 7을 설치할 때 디스크를 분할하거나 구성하라는 메시지가 표시됩니다. 디스크를 설정할 때 추가 100MB 부팅 파티션이 생성됩니다. 그의 임명에 대해 의문을 품은 사람은 아마 나뿐만이 아닐 것이다. 이는 Bitlocker 기술이 작동하는 데 필요한 섹션입니다.

이 파티션은 숨겨져 있고 부팅 가능하며 암호화되지 않습니다. 그렇지 않으면 운영 체제를 로드할 수 없습니다.

Windows Vista에서는 이 파티션 또는 볼륨이 1.5GB여야 합니다. Windows 7에서는 100MB로 만들어졌습니다.

운영 체제를 설치할 때 타사 프로그램으로 파티션을 나눈 경우, 즉 부팅 파티션을 만들지 않은 경우 Windows 7에서 BitLocker는 필요한 파티션 자체를 준비합니다. Windows Vista에서는 운영 체제에 포함된 추가 소프트웨어를 사용하여 이를 만들어야 합니다.

Windows 7에는 플래시 드라이브와 외장 하드 드라이브를 암호화하는 BitLocker To Go 기술도 도입되었습니다. 나중에 살펴보겠습니다.

BitLocker 드라이브 암호화를 활성화하는 방법

기본적으로 BitLocker는 TPM 모듈과 함께 실행되도록 구성되어 있으며 TPM 모듈이 없으면 실행되지 않습니다. (먼저 암호화를 활성화해 보십시오. 암호화가 시작되면 그룹 정책에서 아무것도 비활성화할 필요가 없습니다.)

암호화를 시작하려면 제어판\시스템 및 보안\BitLocker 드라이브 암호화로 이동하세요.

원하는 디스크(이 예에서는 시스템 파티션)를 선택하고 BitLocker 활성화를 클릭합니다.

아래와 같은 사진이 보이신다면

그룹 정책을 편집해야 합니다.

시작 메뉴에서 검색을 사용하여 로컬 그룹 정책 편집기를 불러옵니다.

길을 따라 가자

컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브

오른쪽에서 추가 인증 필요를 선택하세요.

열리는 창에서 활성화를 클릭한 다음 호환되는 TPM 없이 BitLocker 사용 허용 확인란이 선택되어 있는지 확인하고 확인을 클릭해야 합니다.

그런 다음 BitLocker를 시작할 수 있습니다. 유일한 보안 옵션인 시작 시 시작 키 요청을 선택하라는 메시지가 표시됩니다. 이것이 우리가 선택한 것이다

시작 키가 기록될 USB 플래시 드라이브를 삽입하고 저장을 클릭합니다.

이제 실행 키가 포함된 플래시 드라이브가 액세스 영역에 없는 경우를 대비해 복구 키를 저장해야 합니다. 플래시 드라이브(다른 드라이브 선호)에 키를 저장하거나 나중에 다른 컴퓨터로 전송하기 위해 파일에 키를 저장하거나 즉시 인쇄할 수 있습니다.

복구 키는 당연히 안전한 곳에 보관해야 합니다. 키를 파일에 저장하겠습니다

복구 키는 키 자체가 포함된 간단한 텍스트 문서입니다.

그러면 드라이브를 암호화하기 전에 BitLocker 시스템 검사를 실행하라는 최종 창이 표시됩니다. 계속을 클릭하세요

열려 있는 모든 문서를 저장하고 지금 다시 로드를 클릭하세요.

문제가 발생하면 다음을 확인하세요.

모든 것이 작동하면 컴퓨터를 다시 시작한 후 암호화가 시작됩니다

시간은 프로세서 성능, 암호화하는 파티션이나 볼륨의 용량, 드라이브(SSD 또는 HDD)와의 데이터 교환 속도에 따라 달라집니다. 거의 용량이 채워진 60GB 솔리드 스테이트 드라이브는 약 30분 만에 암호화되며 자발적 분산 컴퓨팅은 계속 작동합니다.

암호화가 완료되면 다음 그림을 볼 수 있습니다

창을 닫고 시작 키와 복구 키가 안전한 장소에 있는지 확인하세요.

플래시 드라이브 암호화 - BitLocker To Go

Windows 7에 BitLocker To Go 기술이 도입되면서 플래시 드라이브, 메모리 카드 및 외장 하드 드라이브를 암호화하는 것이 가능해졌습니다. 노트북이나 넷북보다 플래시 드라이브를 잃어버리는 것이 훨씬 쉽기 때문에 매우 편리합니다.

경로를 검색하거나 따라가는 것을 통해

시작 > 제어판 > 시스템 및 보안 > BitLocker 드라이브 암호화

제어창을 열어보세요. 암호화하려는 플래시 드라이브를 삽입하고 BitLocker To Go 섹션에서 원하는 USB 드라이브에 대한 암호화를 활성화합니다.

드라이브 잠금을 해제하는 방법을 선택해야 합니다. 선택의 폭은 크지 않습니다. 비밀번호 또는 PIN 코드가 있는 SIM 카드입니다. SIM 카드는 대기업의 특수 부서에서 발급됩니다. 간단한 비밀번호를 사용해보자.

비밀번호를 사용하여 디스크 잠금 해제 옆의 확인란을 선택하고 비밀번호를 두 번 입력합니다. 기본적으로 최소 비밀번호 길이는 8자입니다(그룹 정책에서 변경 가능). 다음을 클릭하세요

복구 키를 저장하는 방법을 선택합니다. 인쇄해 두시면 안전할 것 같습니다. 저장하고 다음을 클릭하세요

암호화 시작 및 데이터 보호를 클릭하세요.

암호화 시간은 플래시 드라이브의 용량, 정보 용량, 프로세서 성능 및 컴퓨터와의 데이터 교환 속도에 따라 달라집니다.

대용량 플래시 드라이브나 외장 하드 드라이브에서는 이 절차에 시간이 오래 걸릴 수 있습니다. 이론적으로 이 프로세스는 다른 컴퓨터에서 완료될 수 있습니다. 이렇게 하려면 암호화를 일시 중지하고 드라이브를 올바르게 제거하십시오. 다른 컴퓨터에 삽입하고 비밀번호를 입력하여 잠금을 해제하면 암호화가 자동으로 계속됩니다.

이제 컴퓨터에 플래시 드라이브를 설치하면 아래에 비밀번호를 입력하라는 창이 나타납니다.

이 컴퓨터를 신뢰하고 비밀번호를 계속 입력하지 않으려면 다음 확인란을 선택하여 이 컴퓨터를 자동으로 잠금 해제하고 잠금 해제를 클릭하세요. 이 컴퓨터에서는 더 이상 이 플래시 드라이브의 비밀번호를 입력할 필요가 없습니다.

Windows Vista 또는 Windows XP를 실행하는 컴퓨터에서 암호화된 USB 드라이브의 정보를 사용하려면 플래시 드라이브를 FAT32 파일 시스템으로 포맷해야 합니다. 이러한 운영 체제에서는 비밀번호를 입력해야만 플래시 드라이브의 잠금을 해제할 수 있으며 정보는 읽기 전용입니다. 녹화정보를 확인할 수 없습니다.

암호화된 파티션 관리

관리는 BitLocker 드라이브 암호화 창에서 수행됩니다. 이 창은 검색을 이용해서 찾아보시거나, 해당 주소로 들어가시면 됩니다

제어판 > 시스템 및 보안 > BitLocker 드라이브 암호화

"BitLocker 끄기"를 클릭하여 암호화를 끌 수 있습니다. 이 경우 디스크 또는 볼륨의 암호가 해독됩니다. 이 작업은 시간이 좀 걸리며 키가 필요하지 않습니다.

여기에서 보호를 일시중지할 수도 있습니다.

이 기능은 BIOS를 업데이트하거나 부팅 디스크를 편집할 때 사용하는 것이 좋습니다. (100MB의 볼륨과 동일한 것). 시스템 드라이브(Windows가 설치된 파티션 또는 볼륨)에서만 보호를 일시 중지할 수 있습니다.

암호화를 일시중지해야 하는 이유는 무엇입니까? 따라서 BitLocker는 드라이브를 차단하지 않으며 복구 절차에 의존하지 않습니다. 추가 보호를 위해 암호화 중에는 시스템 매개변수(BIOS 및 부팅 파티션 내용)가 잠깁니다. 이를 변경하면 컴퓨터가 차단될 수 있습니다.

BitLocker 관리를 선택하면 복구 키를 저장 또는 인쇄하고 시작 키를 복제할 수 있습니다.

키(시작 키 또는 복구 키) 중 하나를 분실한 경우 여기에서 복구할 수 있습니다.

외부 드라이브 암호화 관리

플래시 드라이브의 암호화 설정을 관리하는 데 다음 기능을 사용할 수 있습니다.

비밀번호를 변경하여 잠금을 해제할 수 있습니다. 스마트 카드를 사용하여 잠금을 해제하는 경우에만 비밀번호를 제거할 수 있습니다. 복구 키를 저장하거나 인쇄하고 이 컴퓨터에 대한 디스크 잠금 해제를 자동으로 활성화할 수도 있습니다.

디스크 액세스 복구 중

시스템 디스크에 대한 액세스 복원

키가 있는 플래시 드라이브가 액세스 영역을 벗어나면 복구 키가 작동됩니다. 컴퓨터를 부팅하면 다음과 같은 내용이 표시됩니다.

액세스를 복원하고 창을 로드하려면 Enter를 누르세요.

복구 키를 입력하라는 화면이 나타납니다.

복구 키가 올바른 경우 마지막 숫자를 입력하면 운영 체제가 자동으로 부팅됩니다.

이동식 드라이브에 대한 액세스 복원

플래시 드라이브 또는 외장 HDD의 정보에 대한 액세스를 복원하려면 비밀번호를 잊으셨나요?를 클릭하세요.

복구 키 입력을 선택하세요.

그리고 이 끔찍한 48자리 코드를 입력하세요. 다음을 클릭하세요

복구 키가 적합하면 디스크 잠금이 해제됩니다.

드라이브 잠금을 해제하기 위해 비밀번호를 변경할 수 있는 BitLocker 관리 링크가 나타납니다.

결론

이 기사에서는 내장된 BitLocker 도구를 사용하여 정보를 암호화하여 정보를 보호하는 방법을 배웠습니다. 이 기술이 Windows OS의 이전 버전이나 고급 버전에서만 사용할 수 있다는 점은 실망스럽습니다. 또한 Windows를 사용하여 디스크를 설정할 때 크기가 100MB인 숨겨진 부팅 가능한 파티션이 생성되는 이유도 분명해졌습니다.

아마도 플래시 드라이브나 외장 하드 드라이브의 암호화를 사용할 것입니다. 그러나 DropBox, Google Drive, Yandex Drive 등과 같은 클라우드 데이터 스토리지 서비스 형태의 좋은 대체 서비스가 있기 때문에 그럴 가능성은 거의 없습니다.

감사합니다, 안톤 디아첸코

YouPK.ru

Windows에서 Bitlocker 활성화 또는 비활성화

순수한 개인 정보나 가치가 높은 기업 데이터가 개인용 컴퓨터에 저장될 수 있다는 사실에 누구도 놀라지 않습니다. 그러한 정보가 이를 사용할 수 있는 제3자의 손에 들어가게 되어 PC의 이전 소유자에게 심각한 문제를 일으키는 것은 바람직하지 않습니다.

상황에 따라 Bitlocker를 활성화하거나 비활성화할 수 있습니다.

이러한 이유로 많은 사용자는 컴퓨터에 저장된 모든 파일에 대한 액세스를 제한하기 위한 조치를 취하고자 합니다. 실제로 그런 절차가 존재합니다. 특정 조작을 수행한 후에는 비밀번호나 복구 키를 모르는 외부인은 문서에 액세스할 수 없습니다.

Bitlocker로 드라이브를 암호화하면 제3자가 중요한 정보에 액세스하지 못하도록 보호할 수 있습니다. 이러한 조치는 특정 PC뿐만 아니라 누군가가 하드 드라이브를 제거하여 다른 개인용 컴퓨터에 삽입하는 경우에도 문서의 완전한 기밀을 보장하는 데 도움이 됩니다.

기능 활성화 및 비활성화 알고리즘

Bitlocker 디스크 암호화는 Windows 7, 8, 10에서 작동하지만 모든 버전에서 작동하는 것은 아닙니다. 사용자가 암호화를 수행하려는 특정 컴퓨터가 장착된 마더보드에는 TPM 모듈이 있어야 한다고 가정합니다.

조언. 마더보드에 그러한 특수 모듈이 없다는 것을 확실히 알고 있더라도 당황하지 마십시오. 이러한 요구 사항을 "무시"하여 해당 모듈 없이 설치할 수 있는 몇 가지 트릭이 있습니다.

모든 파일을 암호화하는 프로세스를 시작하기 전에 이 절차가 상당히 길다는 점에 유의하는 것이 중요합니다. 사전에 정확한 시간을 말씀드리기는 어렵습니다. 그것은 모두 하드 드라이브에 얼마나 많은 정보가 있는지에 따라 다릅니다. 암호화 프로세스 중에 Windows 10은 계속 작동하지만 성능 표시기가 크게 감소하므로 성능에 만족할 가능성은 거의 없습니다.

기능 활성화

컴퓨터에 Windows 10이 설치되어 있고 데이터 암호화를 활성화하려는 적극적인 욕구가 있는 경우 성공할 뿐만 아니라 이러한 욕구를 실현하는 방법도 어렵지 않도록 팁을 사용하십시오. 처음에는 키보드에서 "Win" 키를 찾으세요. 때로는 Windows 아이콘과 함께 표시되는 경우도 있습니다. 이 키를 누른 상태에서 동시에 "R" 키를 누르세요. 이 두 키를 동시에 누르면 실행 창이 열립니다.

열리는 창에서 "gpedit.msc"를 입력해야 하는 빈 줄을 찾을 수 있습니다. "확인" 버튼을 클릭하면 새로운 "로컬 그룹 정책 편집기" 창이 열립니다. 이 창에서는 갈 길이 멀다.

창 왼쪽에서 "컴퓨터 구성"줄을 찾아 즉시 클릭하고, 열리는 하위 메뉴에서 "관리 템플릿"을 찾은 다음 열리는 다음 하위 메뉴에서 목록의 첫 번째에 있는 옵션으로 이동합니다. "Windows 구성 요소"라고 합니다.

이제 창 오른쪽으로 시선을 이동하여 "Bitlocker 디스크 암호화"를 찾아 두 번 클릭하여 활성화합니다. 이제 다음 목표가 "운영 체제 디스크" 줄이 되는 새 목록이 열립니다. 이 줄도 클릭하세요. Bitlocker가 직접 구성되는 창에 더 가까이 다가가기 위해 한 번 더 전환하면 됩니다. 그러면 Bitlocker를 켤 수 있습니다. 이것이 바로 여러분이 원하는 것입니다.

"이 정책 설정을 사용하면 시작 시 추가 인증에 대한 요구 사항을 구성할 수 있습니다." 줄을 찾아 이 설정을 두 번 클릭하여 확장합니다. 열려 있는 창에서 원하는 단어인 "활성화"를 찾을 수 있으며 그 옆에 확인란이 있으며 그 안에 동의 체크 형태로 특정 표시를 넣어야 합니다.

이 창 바로 아래에는 "플랫폼" 하위 섹션이 있습니다. 이 하위 섹션에서 특수 모듈 없이 BitLocker를 사용하려면 제안 옆에 있는 확인란을 선택해야 합니다. 이는 특히 Windows 10에 TPM 모듈이 없는 경우 매우 중요합니다.

이 창에서 원하는 기능의 설정이 완료되었으므로 닫으시면 됩니다. 이제 마우스 커서를 "창" 아이콘 위로 이동하고 마우스 오른쪽 버튼을 클릭하면 추가 하위 메뉴가 나타납니다. 여기에서 "제어판" 줄을 찾아 이동한 후 다음 줄인 "Bitlocker 디스크 암호화"로 이동합니다.

암호화를 수행할 위치를 지정해야 합니다. 이 작업은 하드 드라이브와 이동식 드라이브 모두에서 수행할 수 있습니다. 원하는 개체를 선택한 후 "Bitlocker 활성화"버튼을 클릭하십시오.

이제 Windows 10은 자동 프로세스를 시작하여 때때로 관심을 끌며 원하는 것을 지정하도록 요청합니다. 물론 이러한 프로세스를 수행하기 전에 백업을 만드는 것이 가장 좋습니다. 그렇지 않으면 비밀번호와 키를 분실하면 PC 소유자라도 정보를 복구할 수 없습니다.

다음으로 후속 암호화를 위해 디스크를 준비하는 프로세스가 시작됩니다. 이 프로세스가 실행되는 동안 컴퓨터를 끄면 안 됩니다. 이렇게 하면 운영 체제에 심각한 피해를 줄 수 있습니다. 이러한 오류가 발생하면 Windows 10을 시작할 수 없으므로 암호화 대신 새 운영 체제를 설치해야 추가 시간이 낭비됩니다.

디스크 준비가 성공적으로 완료되면 암호화를 위한 실제 디스크 설정이 시작됩니다. 나중에 암호화된 파일에 액세스할 수 있도록 비밀번호를 입력하라는 메시지가 표시됩니다. 또한 복구 키를 생성하고 입력하라는 메시지가 표시됩니다. 이 두 가지 중요한 구성 요소는 모두 안전한 장소에 보관하는 것이 가장 좋으며 인쇄된 것이 좋습니다. 비밀번호와 복구 키를 PC 자체에 저장하는 것은 매우 어리석은 일입니다.

암호화 과정에서 시스템은 구체적으로 어떤 부분을 암호화할지 물을 수 있습니다. 점유된 공간만 암호화하는 옵션이 있지만 전체 디스크 공간에 이 절차를 적용하는 것이 가장 좋습니다.

남은 것은 "새 암호화 모드"와 같은 작업 옵션을 선택한 다음 BitLocker 운영 체제의 자동 검사를 실행하는 것입니다. 다음으로 시스템은 프로세스를 안전하게 계속한 후 PC를 다시 시작하라는 메시지가 표시됩니다. 물론 이 요구 사항을 충족하고 재부팅하십시오.

다음 번 Windows 10 출시 이후에는 비밀번호를 입력하지 않고 문서에 액세스하는 것이 불가능하다는 것을 확신하게 될 것입니다. 암호화 프로세스는 계속 진행되며 알림 패널에 있는 BitLocker 아이콘을 클릭하여 제어할 수 있습니다.

기능 비활성화

어떤 이유로 컴퓨터에 있는 파일이 더 이상 중요하지 않고 해당 파일에 액세스할 때마다 비밀번호를 입력하는 것을 별로 좋아하지 않는 경우 암호화 기능을 비활성화하는 것이 좋습니다.

이러한 작업을 수행하려면 알림 패널로 이동하여 BitLocker 아이콘을 찾아 클릭하세요. 열린 창 하단에 "BitLocker 관리" 줄이 있는데 클릭하세요.

이제 시스템은 귀하에게 적합한 조치를 선택하라는 메시지를 표시합니다.

• 복구 키를 보관하십시오.
• 암호화된 파일에 접근하기 위한 비밀번호를 변경합니다.
• 이전에 설정한 비밀번호를 제거합니다.
• BitLocker를 비활성화합니다.

물론 BitLocker를 비활성화하기로 결정한 경우 제공된 마지막 옵션을 선택해야 합니다. 새 창이 화면에 즉시 나타나며, 여기서 시스템은 암호화 기능을 실제로 비활성화할지 확인합니다.

주목. "BitLocker 비활성화" 버튼을 클릭하자마자 암호 해독 프로세스가 즉시 시작됩니다. 불행히도 이 프로세스는 빠른 속도를 특징으로 하지 않으므로 일정 시간 동안 준비해야 하며 그 동안 기다리기만 하면 됩니다.

물론 지금 당장 컴퓨터를 사용해야 한다면 감당할 수 있으며 이에 대한 명확한 금지 사항은 없습니다. 하지만 현재로서는 PC 성능이 극도로 낮을 수 있다는 점을 염두에 두셔야 합니다. 운영 체제가 엄청난 양의 정보를 잠금 해제해야 하기 때문에 이러한 속도 저하의 이유를 이해하는 것은 어렵지 않습니다.

따라서 컴퓨터에서 파일을 암호화하거나 해독하려면 권장 사항을 읽은 다음 표시된 알고리즘의 각 단계를 서두르지 않고 수행하고 완료되면 달성된 결과에 기뻐하십시오.

NastroyVse.ru

Bitlocker 설정

Bitlocker는 볼륨 수준에서 데이터 암호화를 제공하는 도구입니다(볼륨은 디스크의 일부를 차지하거나 여러 디스크의 배열을 포함할 수 있음). Bitlocker는 노트북/컴퓨터의 분실 또는 도난 시 데이터를 보호하는 데 사용됩니다. . 원래 버전에서 BitLocker는 하나의 볼륨(운영 체제가 포함된 디스크)에 대해서만 보호를 제공했습니다. BitLocker는 모든 버전의 Server 2008 R2 및 Server 2008(Itanium 버전 제외), Windows 7 Ultimate 및 Enterprise, Windows Vista에 포함되어 있습니다. Windows Server 2008 및 Vista SP1 버전에서 Microsoft는 로컬 데이터 볼륨을 포함한 다양한 볼륨에 대한 보호를 구현했습니다. Windows Server 2008 R2 및 Windows 7 버전에서 개발자는 이동식 데이터 저장 장치(USB 플래시 메모리 장치 및 외장 하드 드라이브)에 대한 지원을 추가했습니다. 이 기능을 BitLocker To Go라고 합니다. BitLocker 기술은 AES 암호화 알고리즘을 사용하며, 키는 TMP(신뢰할 수 있는 플랫폼 모듈 - 암호화 키 저장을 제공하는 제조 과정에서 컴퓨터에 설치된 특수 회로) 또는 USB 장치에 저장할 수 있습니다. 다음과 같은 액세스 조합이 가능합니다:

TPM - TPM + PIN - TPM + PIN + USB 키 - TPM + USB 키 - USB 키 컴퓨터에는 TMP가 없는 경우가 많기 때문에 USB 드라이브로 BitLocker를 구성하는 방법을 단계별로 설명하고 싶습니다.

"컴퓨터"로 이동하여 암호화하려는 로컬 드라이브를 마우스 오른쪽 버튼으로 클릭하고(이 예에서는 로컬 드라이브 C를 암호화합니다) "BitLocker 활성화"를 선택합니다.

이 단계를 마치면 오류가 표시됩니다.

이미 쓴 것처럼 이해할 수 있습니다. 이 컴퓨터에는 TMP 모듈이 없으며 이것이 결과이지만 이 모든 것은 쉽게 고칠 수 있습니다. 컴퓨터의 로컬 정책으로 이동하여 설정을 변경하면 됩니다. 로컬 정책 편집기로 이동하여 gpedit 검색 필드 .msc를 입력하고 "Enter"를 누릅니다.

결과적으로 로컬 정책 창이 열리고 "컴퓨터 구성 - 관리 템플릿 -windows 구성 요소 -Bit-Locker 드라이브 암호화 - 운영 체제 드라이브" 경로로 이동한 후 시작 시 필수 추가 인증 정책에서 다음으로 설정했습니다. 활성화. 또한 호환되는 TPM 없이 BitLocker 사용 허용 확인란이 선택되어 있는지 확인해야 합니다. "확인"을 클릭합니다.

이제 로컬 드라이브에서 BitLocker를 활성화하는 첫 번째 단계를 반복하면 디스크 암호화를 구성하는 창이 열리고 시작 시 "시작 키 요청"을 선택합니다(그러나 선택의 여지가 없었습니다. TPM).

다음 창에서 키를 저장할 USB 장치를 선택하세요.

그런 다음 복구 키를 저장할 위치를 선택합니다(기본 키가 있는 미디어가 손실된 경우 수동으로 입력하는 키입니다). 다른 USB 드라이브나 다른 컴퓨터에서 수행하거나 인쇄하는 것이 좋습니다. 동일한 컴퓨터 또는 동일한 USB 드라이브에 복구 키를 저장하는 경우 키가 저장된 USB를 분실하면 Windows를 시작할 수 없습니다. 이 예에서는 다른 USB 드라이브에 저장했습니다.

다음 창에서 "계속" 버튼을 클릭하여 Bitlocker 시스템 검사를 실행하면 컴퓨터가 다시 시작됩니다.

컴퓨터가 부팅되면 암호화 프로세스 창이 나타납니다. 이는 종종 몇 시간이 소요되는 긴 절차입니다.

결과적으로 암호화된 드라이브 C가 생겼는데, 이는 키나 복구 키가 있는 USB 드라이브 없이는 시작되지 않습니다.

pk-help.com

Windows용 BitLocker 데이터 암호화를 설정하는 방법

하드 드라이브는 물론 이동식 드라이브(외부 드라이브 또는 USB 플래시 드라이브)에 저장된 파일에 대한 무단 액세스를 방지하기 위해 Windows OS 사용자는 내장된 BitLocker 및 BitLocker To Go 암호화 소프트웨어를 사용하여 해당 파일을 암호화할 수 있습니다.

BitLocker 암호화 프로그램과 BitLocker To Go는 Windows 8/8.1 OS의 Proffessional 및 Enterprise 버전과 Windows 7의 Ultimate 버전에 사전 설치되어 있습니다. 그러나 Windows 8.1 기본 버전 사용자는 다음에도 액세스할 수 있습니다. 고급 버전의 운영 체제에서 BitLocker와 유사한 역할을 하는 "장치 암호화" 옵션.

BitLocker 암호화 소프트웨어 활성화

BitLocker 암호화 프로그램을 활성화하려면 제어판을 열고 시스템 및 보안 > BitLocker 드라이브 암호화로 이동합니다. Windows 탐색기(“컴퓨터”)를 열고 선택한 드라이브를 마우스 오른쪽 버튼으로 클릭한 후 드롭다운 메뉴에서 “BitLocker 활성화”를 선택할 수도 있습니다. 위의 줄이 메뉴에 없으면 잘못된 버전의 Windows OS를 사용하고 있는 것입니다.

시스템 드라이브, 데이터 드라이브 또는 이동식 드라이브에 대해 BitLocker를 활성화하려면 BitLocker 활성화를 선택해야 합니다.

이 창에서는 두 가지 유형의 BitLocker 드라이브 암호화를 사용할 수 있습니다.

• BitLocker 드라이브 암호화 - 하드 드라이브: 이 기능을 사용하면 전체 드라이브를 암호화할 수 있습니다. 컴퓨터를 부팅하면 Windows 부트 로더가 시스템이 예약한 하드 드라이브 영역에서 데이터를 로드하고, 예를 들어 비밀번호를 입력하려면 지정한 잠금 해제 유형을 묻는 메시지가 표시됩니다. 그런 다음 BitLocker는 데이터 암호 해독 프로세스를 수행하고 Windows 부팅 프로세스가 계속됩니다. 즉, 암호화는 사용자가 인지하지 못하는 사이에 발생하는 프로세스라고 생각할 수 있습니다. 평소와 마찬가지로 파일과 데이터로 작업하며 이는 결국 디스크에 암호화됩니다. 또한 시스템 드라이브뿐만 아니라 암호화를 사용할 수도 있습니다.
• "BitLocker 드라이브 암호화 - BitLocker To Go": USB 플래시 드라이브 또는 외부 하드 드라이브와 같은 외부 저장 장치는 BitLocker To Go 유틸리티를 사용하여 암호화할 수 있습니다. 암호화된 장치를 컴퓨터에 연결하면, 예를 들어 낯선 사람으로부터 데이터를 보호하기 위해 비밀번호를 입력하라는 메시지가 표시됩니다.

TPM 없이 BitLocker 사용

TPM(신뢰할 수 있는 플랫폼 모듈)이 설치되지 않은 PC에서 BitLocker를 사용하여 암호화하려고 하면 "호환되는 TPM 없이 BitLocker 허용" 옵션을 활성화할지 묻는 창이 열립니다.

BitLocker 암호화 소프트웨어가 제대로 작동하려면 시스템 드라이브를 보호하기 위해 하드웨어 TPM이 있는 PC가 필요합니다. TPM 모듈은 마더보드에 설치되는 작은 칩입니다. BitLocker는 여기에 암호화 키를 저장할 수 있는데, 이는 암호화 키를 일반 데이터 드라이브에 저장하는 것보다 더 안전한 옵션입니다. TPM 모듈은 시작 후 시스템 상태를 확인한 후에만 키를 제공하므로 하드 드라이브를 도난당하거나 다른 PC를 해킹하기 위해 암호화된 디스크 이미지가 생성되는 경우 데이터가 해독될 가능성이 없습니다.

위 옵션을 활성화하려면 관리자 권한이 있어야 합니다. "로컬 그룹 정책 편집기"를 열고 다음 옵션을 활성화하면 됩니다.

Win + R 키 조합을 눌러 실행 대화 상자를 시작하고 gpedit.msc 명령을 입력하십시오. 그런 다음 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브로 이동합니다. "시작 시 추가 인증 필요" 옵션을 두 번 클릭하고 "사용" 옵션을 선택한 다음 "호환되는 TPM 없이 BitLocker 허용" 확인란을 선택합니다. "적용"을 클릭하여 설정을 저장하세요.

디스크 잠금 해제 방법 선택

위 단계를 성공적으로 완료하면 "시작 시 드라이브 잠금 해제 방법 선택" 창이 표시됩니다. PC에 TPM 모듈이 없으면 암호를 입력하거나 특수 USB 플래시 드라이브(스마트 카드)를 잠금 해제 키로 사용하는 두 가지 옵션이 있습니다.

마더보드에 TPM 모듈이 있는 경우 더 많은 옵션을 사용할 수 있습니다. 예를 들어, 컴퓨터가 부팅될 때 자동 잠금 해제를 구성할 수 있습니다. 모든 키는 TPM 모듈에 저장되고 디스크의 데이터를 해독하는 데 자동으로 사용됩니다. 또한 부트로더에 PIN 비밀번호를 입력하면 TPM에 저장된 암호 해독 키의 잠금이 해제되고 전체 디스크가 잠금 해제됩니다.

가장 적합한 방법을 선택하고 설치 프로그램의 지침을 따르십시오.

백업 키 생성

BitLocker는 백업 키를 생성하는 기능도 제공합니다. 이 키는 기본 키를 잊어버렸거나 분실한 경우(예: 키 액세스 비밀번호를 잊어버렸거나 하드 드라이브를 새 TPM 모듈이 있는 새 PC로 이동한 경우) 암호화된 데이터에 액세스하는 데 사용됩니다.

키를 파일에 저장하거나, 인쇄하거나, 외부 USB 드라이브에 저장하거나, Microsoft 계정(Windows 8 및 8.1 사용자의 경우)에 저장할 수 있습니다. 가장 중요한 것은 이 백업 키가 안전한 장소에 저장되어 있는지 확인하는 것입니다. 그렇지 않으면 공격자가 쉽게 BitLocker를 우회하여 관심 있는 모든 데이터에 액세스할 수 있습니다. 하지만 그럼에도 불구하고, 백업 키 없이 메인 키를 분실하면 모든 데이터를 잃게 되므로 백업 키를 생성하는 것이 필수적입니다.

디스크 암호화 및 복호화

BitLocker는 새 파일이 사용 가능해지면 자동으로 암호화하지만 나머지 디스크 공간을 암호화할 방법을 선택해야 합니다. 전체 디스크(여유 공간 포함)(아래 스크린샷의 두 번째 옵션)를 암호화하거나 파일만 암호화할 수 있습니다(첫 번째 옵션). 이렇게 하면 암호화 프로세스 속도가 빨라집니다.

새 PC(즉, OS를 새로 설치한 PC)에서 BitLocker를 사용할 때는 시간이 조금 걸리므로 파일이 차지하는 공간을 암호화하는 것이 좋습니다. 하지만 장기간 사용 중인 디스크에 대해 암호화를 활성화하는 경우에는 여유 공간이 있어도 디스크 전체를 암호화하는 방식을 사용하는 것이 좋습니다. 이 방법을 사용하면 이전에 삭제되어 암호화되지 않은 파일을 복구할 수 없습니다. 따라서 첫 번째 방법이 더 빠르지만 두 번째 방법이 더 안정적입니다.

암호화를 추가로 설정하면 BitLocker가 시스템을 분석하고 컴퓨터를 다시 시작합니다. PC를 다시 시작하면 암호화 프로세스가 시작됩니다. 트레이에 아이콘으로 표시되며 이를 통해 프로세스의 진행률을 확인할 수 있습니다. 컴퓨터를 계속 사용할 수 있지만 동시에 실행되는 파일 암호화로 인해 시스템 속도가 약간 느려질 수 있습니다.

암호화가 완료되고 다음에 PC를 시작할 때 BitLocker는 암호, PIN을 입력하거나 USB 드라이브를 키로 삽입해야 하는 창을 표시합니다(이전에 액세스를 구성한 방법에 따라 다름). 열쇠).

이 창에서 Esc 키를 누르면 기본 키에 대한 액세스가 손실된 경우 백업 키를 입력할 수 있는 창으로 이동합니다.

외부 장치에 대해 BitLocker To Go 암호화 방법을 선택하면 유사한 설정 마법사가 표시되지만 이 경우 컴퓨터를 다시 시작할 필요가 없습니다. 암호화 프로세스가 완료될 때까지 외장 드라이브를 분리하지 마십시오.

다음에 암호화된 장치를 PC에 연결할 때 잠금을 해제하려면 암호나 스마트 카드를 입력하라는 메시지가 표시됩니다. BitLocker로 보호되는 장치는 파일 관리자 또는 Windows 탐색기에 해당 아이콘과 함께 나타납니다.

BitLocker 제어판 창을 사용하여 암호화된 드라이브를 관리할 수 있습니다(비밀번호 변경, 암호화 끄기, 키 백업 복사본 만들기 등). 암호화된 드라이브를 마우스 오른쪽 버튼으로 클릭하고 "BitLocker 관리"를 선택하면 대상으로 이동됩니다.

정보를 보호하는 다른 방법과 마찬가지로 BitLocker를 사용한 이동 중 실시간 암호화는 물론 컴퓨터 리소스의 일부를 차지합니다. 이로 인해 디스크에서 디스크로 데이터가 지속적으로 암호화되기 때문에 주로 CPU 부하가 증가하게 됩니다. 그러나 반면에, 공격자의 손에 악의적인 트럼프 카드를 제공할 수 있는 정보를 엿보는 눈으로부터 정보를 안정적으로 보호해야 하는 사람들에게는 이러한 생산성 손실이 가장 절충적인 솔루션입니다.

osmaster.org.ua

BitLocker를 사용하여 Windows 7에서 암호화

블라디미르 베즈말리

2009년 1월 7일, Microsoft는 워크스테이션용 운영 체제의 다음 버전인 Windows 7을 테스트하기 위해 발표했습니다. 이 운영 체제에서는 관례적으로 이전에 Windows Vista에서 제시된 기술을 포함하여 보안 기술이 널리 표현되었습니다. 오늘은 Windows Vista에 도입된 이후 상당한 변화를 겪은 Windows BitLocker 암호화 기술에 대해 이야기하겠습니다. 오늘날 누구도 하드 드라이브와 이동식 미디어의 데이터를 암호화해야 한다는 사실을 확신할 필요가 없는 것 같습니다. 그럼에도 불구하고 우리는 이 솔루션을 지지하는 주장을 제시할 것입니다.

모바일 장치의 도난 또는 분실로 인한 기밀 데이터 손실

오늘날 하드웨어 비용은 장치에 포함된 정보 비용보다 몇 배나 저렴합니다. 데이터 손실은 평판 손실, 경쟁력 상실 및 소송 가능성으로 이어질 수 있습니다.

전 세계적으로 데이터 암호화 문제는 오랫동안 관련 법률에 의해 규제되어 왔습니다. 예를 들어 미국에서는 미국 GISRA(정부 정보 보안 개혁법)에서는 민감한 정부 정보를 보호하기 위해 데이터 암호화를 요구합니다. EU 국가는 유럽 연합 데이터 개인 정보 보호 지침을 채택했습니다. 캐나다와 일본에는 자체 규정이 있습니다.

이러한 모든 법률은 개인 또는 기업 정보의 손실에 대해 엄중한 처벌을 부과합니다. 장치가 도난(분실)되면 데이터도 함께 손실될 수 있습니다. 데이터 암호화를 사용하면 데이터에 대한 무단 액세스를 방지할 수 있습니다. 또한 수리(보증 포함) 또는 중고 장치 판매 중 데이터에 대한 무단 액세스와 같은 위험을 잊지 마십시오.

그리고 이것이 공허한 말이 아니라는 사실은 사실에 의해 반복적으로 확인되었습니다. 영국 내무부(UK Home Office)의 한 프리랜서 직원은 복역 중인 범죄자를 포함하여 수십만 명 이상의 범죄자들의 개인 데이터가 들어 있는 메모리 카드를 분실했습니다. 이는 부서의 메시지에 명시되어 있습니다. 언론에는 영국 교도소에 수감된 84,000명의 수감자들의 이름, 주소, 경우에 따라 혐의에 대한 세부 정보가 포함되어 있었습니다. 또한 메모리 카드에는 6개 이상의 범죄 기록을 가진 3만 명의 주소가 기록되어 있습니다. 국토부에서 밝힌 바와 같이 메모리 카드의 정보는 RA 컨설팅의 연구원이 사용했습니다. “우리는 영국과 웨일스의 범법자에 대한 개인정보를 계약직 직원이 잃어버리는 보안 침해 사건을 인지하게 되었습니다. 국토부 관계자는 "현재 철저한 조사가 진행 중"이라고 말했다.

그림자 정부의 도미닉 그리브(Dominic Grieve) 내무장관은 이미 이 문제에 대해 논평한 바 있다. 그는 영국 납세자들이 영국 정부가 기밀 정보를 처리하는 방식에 "완전히 충격을 받을 것"이라고 지적했습니다.

Grieve는 영국에서 다양한 조직과 부서에 의한 기밀 정보 손실이 발생한 첫 번째 사례는 아니라고 회상했습니다.

지난 4월 영국의 대형 은행인 HSBC는 고객 37만명의 개인정보가 저장된 디스크가 분실됐다고 인정했다. 지난 2월 중순에는 더들리(웨스트 미들랜즈)시에 위치한 영국 병원 러셀 홀 병원에서 환자 5천123명의 의료 데이터가 담긴 노트북이 도난당한 사실이 알려졌습니다. 지난 1월 말에는 영국 슈퍼마켓 체인인 마크스앤스펜서에서 직원 2만6000명의 개인정보가 담긴 노트북이 도난당한 것으로 알려졌다. 데스 브라운 영국 국방부장은 지난 1월 21일 수천 명의 개인정보가 담긴 노트북 3대가 국방부에서 도난당했다고 발표했습니다.

지난 12월 미국의 한 민간 기업이 영국 운전면허 신청자 300만 명의 기록을 분실한 것으로 밝혀졌습니다. 그들은 컴퓨터의 하드 드라이브에 포함되어 있었습니다. 손실된 데이터에는 2004년 9월부터 2007년 4월까지 운전면허 신청자의 이름, 주소, 전화번호가 포함되어 있습니다.

2007년 10월 말, 2,500만 명의 아동 수당 수혜자와 그들의 은행 계좌에 대한 정보가 포함된 디스크 2개가 두 정부 기관을 오가는 도중에 사라졌습니다. 납세자들이 £500,000의 비용을 지출한 대규모 수색 작업에서는 결과가 나오지 않았습니다.

또한 올해 6월에는 런던행 열차에서 테러자금 조달, 마약 밀수, 돈세탁 근절에 관한 정보가 담긴 비밀문서(http://korrespondent.net/world/493585)가 담긴 꾸러미가 발견됐다. 앞서 알카에다 테러리스트 네트워크의 최신 정보와 관련된 비밀 문서가 담긴 패키지(http://korrespondent.net/world/490374)가 런던의 한 열차 좌석에서 발견됐다. 문제는 이런 일이 발생하도록 허용한 사용자가 무엇을 생각하고 있었느냐는 것입니다.

모바일 장치 소유자가 생각하게 만드는 또 다른 사실은 다음과 같습니다.

Ponemon Institute(http://computerworld.com/action/inform.do?command=search&searchTerms=The+Ponemon+Institute)의 보고서에 따르면 미국의 대형 및 중형 공항에서 매년 약 637,000대의 노트북이 분실되는 것으로 나타났습니다. 조사에 따르면 노트북은 일반적으로 보안 검색대에서 분실되는 것으로 나타났습니다.

미국의 36개 주요 공항에서 매주 약 10,278대의 노트북이 분실되고 있으며, 그 중 65%가 주인에게 반환되지 않습니다. 중형 공항에서는 약 2,000대의 노트북이 분실된 것으로 보고되며, 그 중 69%가 주인에게 반환되지 않습니다. 연구소는 46개국 106개 공항에서 설문조사를 실시하고 864명을 인터뷰했다.

노트북을 분실하는 가장 일반적인 장소는 다음 5개 공항입니다.

• 로스앤젤레스 국제
• 마이애미인터내셔널
• 존 F. 케네디 인터내셔널
• 시카고 오헤어
• 뉴어크 리버티 인터내셔널.

여행자들은 분실한 노트북을 돌려받을 수 있을지 확신하지 못합니다.

조사 대상자 중 약 77%는 잃어버린 노트북을 되찾을 가능성이 없다고 답했으며, 16%는 노트북을 잃어버리면 아무것도 하지 않겠다고 답했습니다. 약 53%는 노트북에 회사 기밀 정보가 포함되어 있다고 답했으며, 65%는 해당 정보를 보호하기 위해 아무런 조치도 취하지 않았다고 답했습니다.

(http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId=17&articleId=9105198&intsrc=hm_topic)

이에 반대할 수 있는 것은 무엇입니까? 데이터 암호화만 가능합니다.

이 경우 암호화는 PC에 대한 최종 물리적 방어선 역할을 합니다. 오늘날에는 매우 다양한 하드 드라이브 암호화 기술이 있습니다. 당연히 Windows Vista Enterprise 및 Windows Vista Ultimate의 일부로 BitLocker 기술을 성공적으로 선보인 후 Microsoft는 이 기술을 Windows 7에 포함할 수밖에 없었습니다. 그러나 공정하게 말하면 새 OS에서 우리가 보게 될 점은 주목할 가치가 있습니다. 대폭 재설계된 암호화 기술입니다.

Windows 7의 암호화

따라서 우리의 친분은 PC에 Windows 7을 설치하는 것부터 시작됩니다. Windows Vista에서 암호화를 사용하려면 두 가지 중 하나를 수행해야 했습니다. 먼저 명령줄을 사용하여 적절하게 파티션을 나누어 하드 드라이브를 준비하거나 나중에 Microsoft의 특수 소프트웨어(BitLocker 디스크 준비 도구)를 사용하여 준비해야 했습니다. Windows 7에서는 하드 드라이브를 분할할 때 처음에 문제가 해결되었습니다. 그래서 설치하는 동안 39GB 용량의 시스템 파티션을 지정했고, 파티션이 2개 생겼습니다! 하나는 크기가 200MB이고 두 번째는 38GB가 조금 넘습니다. 또한 표준 탐색기 창에는 다음 그림이 표시됩니다(그림 1).

쌀. 1. 탐색기 창

그러나 시작 – 모든 프로그램 – 관리 도구 – 컴퓨터 관리 – ​​디스크 관리를 열면 다음이 표시됩니다(그림 2).

쌀. 2. 컴퓨터 관리

보시다시피 크기가 200MB인 첫 번째 파티션은 단순히 숨겨져 있습니다. 기본적으로 이는 시스템, 활성 및 기본 파티션입니다. Windows Vista의 암호화에 이미 익숙한 사용자라면 이 단계에서 특별히 새로운 점은 없습니다. 단, 이러한 방식의 파티셔닝은 기본적으로 수행되며 하드 드라이브는 설치 단계에서 후속 암호화를 위해 이미 준비되어 있습니다. 눈에 띄는 유일한 차이점은 Windows Vista의 200MB와 1.5GB의 크기입니다.

물론 디스크를 파티션으로 분할하는 것이 훨씬 더 편리합니다. 왜냐하면 사용자가 OS를 설치할 때 하드 드라이브를 암호화할지 여부를 즉시 생각하지 않기 때문입니다.

OS를 설치한 후 즉시 제어판의 시스템 및 보안 섹션에서 BitLocker 드라이브 암호화를 선택할 수 있습니다(그림 3).

쌀. 3.시스템 및 보안

디스크의 데이터를 암호화하여 컴퓨터 보호를 선택하면 창이 나타납니다(그림 4).

쌀. 4. BitLocker 드라이브 암호화

Windows Vista에서 누락되었거나 다르게 구성되어 있는 옵션을 참고하세요(그림에서 빨간색으로 강조 표시됨). 따라서 Windows Vista에서는 NTFS 파일 시스템을 사용하는 경우에만 이동식 미디어를 암호화할 수 있으며 하드 드라이브와 동일한 규칙에 따라 암호화가 수행되었습니다. 그리고 시스템 파티션(C: 드라이브)을 암호화한 후에만 하드 드라이브의 두 번째 파티션(이 경우 D: 드라이브)을 암호화하는 것이 가능했습니다.

그러나 일단 BitLocker 켜기를 선택했다고 해서 끝이라고 생각하지 마십시오. 별로! 추가 옵션 없이 BitLocker를 활성화하면 얻을 수 있는 것은 TPM을 사용하지 않고 이 PC의 하드 드라이브를 암호화하는 것뿐입니다. 이는 이미 내 기사에서 지적한 것처럼 좋은 예가 아닙니다. 그러나 러시아 연방이나 우크라이나와 같은 일부 국가의 사용자는 TRM이 포함된 컴퓨터 수입이 금지되어 있으므로 다른 선택의 여지가 없습니다. 이 경우 BitLocker 켜기를 선택하면 그림 5가 표시됩니다.

쌀. 5. BitLocker 드라이브 암호화

TPM을 사용하여 암호화 기능을 최대한 활용하려면 그룹 정책 편집기를 사용해야 합니다. 이렇게 하려면 명령줄 모드(cmd.exe)를 시작하고 명령줄에 gpedit.msc를 입력한 후(그림 6) 그룹 정책 편집기를 시작해야 합니다(그림 7).

쌀. 6. 그룹 정책 편집기 실행

쌀. 7. 그룹 정책 편집기

BitLocker 암호화를 관리하는 데 사용할 수 있는 그룹 정책 옵션을 자세히 살펴보겠습니다.

BitLocker 드라이브 암호화 그룹 정책 옵션

Active Directory 도메인 서비스(Windows Server 2008 및 Windows Vista)에 BitLocker 복구 정보 저장

이 그룹 정책 옵션을 사용하면 AD DS(Active Directory 도메인 서비스)를 관리하여 나중에 BitLocker 드라이브 암호화 복구를 위한 정보를 백업할 수 있습니다. 이 옵션은 Windows Server 2008 또는 Windows Vista를 실행하는 컴퓨터에만 적용됩니다.

이 옵션을 설정하면 BitLocker가 활성화되면 해당 복구 정보가 자동으로 AD DS에 복사됩니다.

이 정책 옵션을 비활성화하거나 기본값으로 두면 BitLocker 복구 정보가 AD DS에 복사되지 않습니다.

복구 비밀번호를 위한 기본 폴더 선택

이 정책 옵션을 사용하면 메시지가 표시될 때 BitLocker 드라이브 암호화 마법사에 표시되는 복구 암호를 저장할 기본 폴더 위치를 정의할 수 있습니다. 이 옵션은 BitLocker 암호화를 활성화할 때 적용됩니다. 그러나 사용자는 복구 비밀번호를 다른 폴더에 저장할 수 있다는 점에 유의해야 합니다.

사용자가 BitLocker로 보호된 드라이브를 복구할 수 있는 방법 선택(Windows Server 2008 및 Windows Vista)

이 옵션을 사용하면 설치 마법사에 표시되는 BitLocker 복구 옵션을 제어할 수 있습니다. 이 정책은 Windows Server 2008 및 Windows Vista를 실행하는 컴퓨터에 적용됩니다. 이 옵션은 BitLocker가 활성화된 경우 적용됩니다.

암호화된 데이터를 복구하려면 사용자는 48자리 디지털 비밀번호나 256비트 복구 키가 포함된 USB 드라이브를 사용할 수 있습니다.

이 옵션을 사용하면 256비트 암호 키가 보이지 않는 파일과 48자리 복구 암호가 포함된 텍스트 파일로 USB 드라이브에 저장되도록 허용할 수 있습니다.

이 그룹 정책 규칙을 비활성화하거나 구성하지 않으면 BitLocker 설정 마법사를 통해 사용자가 복구 옵션을 선택할 수 있습니다.

이 정책 설정을 사용하지 않거나 구성하지 않으면 BitLocker 설정 마법사는 사용자에게 복구 옵션을 보존할 수 있는 다른 방법을 제공합니다.

드라이브 암호화 방법 및 암호화 강도 선택

이 규칙을 사용하면 사용할 암호화 알고리즘과 키 길이를 선택할 수 있습니다. 드라이브가 이미 암호화된 상태에서 키 길이를 변경하기로 결정한 경우 아무 일도 일어나지 않습니다. 기본 암호화 방법은 128비트 키와 디퓨저를 사용하는 AES입니다.

조직의 고유 식별자를 제공하세요.

이 정책 규칙을 사용하면 조직이 소유하고 BitLocker로 보호되는 각각의 새 드라이브에 대해 고유한 ID를 만들 수 있습니다. 이러한 식별자는 식별자의 첫 번째 및 두 번째 필드로 저장됩니다. 첫 번째 ID 필드를 사용하면 BitLocker로 보호되는 드라이브에 고유한 조직 ID를 설정할 수 있습니다. 이 ID는 새로운 BitLocker로 보호되는 드라이브에 자동으로 추가되며 Manage-BDE 명령줄 소프트웨어를 사용하여 기존 BitLocker로 암호화된 드라이브에 대해 업데이트할 수 있습니다.

두 번째 ID 필드는 "BitLocker로 보호되지 않는 이동식 미디어에 대한 액세스 거부" 정책 규칙과 함께 사용되며 회사에서 이동식 드라이브를 관리하는 데 사용할 수 있습니다.

이러한 필드의 조합을 사용하여 드라이브가 조직에 속하는지 여부를 확인할 수 있습니다.

이 규칙의 값이 정의되지 않거나 비활성화된 경우 식별 필드가 필요하지 않습니다.

식별 필드는 최대 260자까지 가능합니다.

재시작 시 메모리 덮어쓰기 방지

이 규칙은 메모리 덮어쓰기를 방지하여 컴퓨터 성능을 향상시키지만 BitLocker 키는 메모리에서 삭제되지 않는다는 점을 이해해야 합니다.

이 규칙을 비활성화하거나 구성하지 않으면 컴퓨터를 다시 시작할 때 BitLocker 키가 메모리에서 제거됩니다.

보안을 강화하려면 이 규칙을 기본값으로 두어야 합니다.

스마트 카드 인증서 개체 식별자 구성

이 규칙을 사용하면 스마트 카드 인증서 개체 식별자를 BitLocker 암호화 드라이브와 연결할 수 있습니다.

고정식 하드 드라이브

이 섹션에서는 데이터 디스크(시스템 파티션 아님)에 적용되는 그룹 정책 규칙을 설명합니다.

고정 데이터 드라이브에서 스마트 카드 사용 구성

이 규칙은 스마트 카드를 사용하여 PC 하드 드라이브의 데이터에 액세스할 수 있는지 여부를 결정합니다.

이 규칙을 비활성화하면 스마트 카드를 사용할 수 없습니다.

기본적으로 스마트 카드를 사용할 수 있습니다.

BitLocker로 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부

이 규칙은 BitLocker로 보호되지 않는 드라이브에 쓸 수 있는지 여부를 결정합니다. 이 규칙이 정의되면 BitLocker로 보호되지 않는 모든 드라이브는 읽기 전용이 됩니다. BitLocker를 사용하여 드라이브를 암호화하면 읽고 쓸 수 있습니다. 이 규칙을 비활성화하거나 정의하지 않으면 모든 컴퓨터 하드 드라이브를 읽고 쓸 수 있습니다.

이전 버전의 Windows에서 BitLocker로 보호되는 고정 데이터 드라이브에 대한 액세스를 허용합니다.

이 정책 규칙은 Windows Server 2008, Windows Vista, Windows XP SP3 및 Windows XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템이 있는 드라이브를 잠금 해제하고 읽을 수 있는지 여부를 제어합니다.

이 규칙이 활성화되거나 구성되지 않으면 위 운영 체제를 실행하는 컴퓨터에서 FAT 파일 시스템으로 포맷된 데이터 디스크를 읽을 수 있습니다.

이 규칙을 비활성화하면 Windows Server 2008, Windows Vista, Windows XP SP3 및 Windows XP SP2를 실행하는 컴퓨터에서 해당 드라이브를 잠금 해제할 수 없습니다.

주목! 이 규칙은 NTFS로 포맷된 드라이브에는 적용되지 않습니다.

이 규칙은 BitLocker로 보호되는 드라이브의 잠금을 해제하는 데 암호가 필요한지 여부를 결정합니다. 비밀번호를 사용하려는 경우 비밀번호 복잡성 요구사항과 최소 비밀번호 길이를 설정할 수 있습니다. 복잡성 요구 사항을 설정하려면 그룹 정책의 암호 정책 섹션에서 암호 복잡성 요구 사항을 설정해야 한다는 점을 고려해 볼 가치가 있습니다.

이 규칙이 정의되면 사용자는 선택한 요구 사항을 충족하는 비밀번호를 구성할 수 있습니다.

비밀번호는 8자 이상이어야 합니다(기본값).

BitLocker로 보호되는 고정 드라이브를 복구할 수 있는 방법을 선택하세요

이 규칙을 사용하면 암호화된 디스크의 복구를 제어할 수 있습니다.

이 규칙이 구성되거나 차단되지 않으면 기본 복구 옵션을 사용할 수 있습니다.

운영 시스템 드라이브

이 섹션에서는 운영 체제 파티션(일반적으로 C: 드라이브)에 적용되는 그룹 정책 규칙을 설명합니다.

시작 시 추가 인증 필요

이 그룹 정책 규칙을 사용하면 인증에 TMP(신뢰할 수 있는 플랫폼 모듈)를 사용하고 있는지 여부를 확인할 수 있습니다.

주목! 시작할 때 옵션 중 하나만 지정할 수 있다는 점을 고려해 볼 가치가 있습니다. 그렇지 않으면 정책 오류가 발생합니다.

활성화되면 사용자는 BitLocker 설정 마법사에서 고급 시작 옵션을 구성할 수 있습니다.

정책이 비활성화되거나 구성되지 않은 경우 TPM을 실행하는 컴퓨터에서만 기본 옵션을 구성할 수 있습니다.

주목! PIN 및 USB 드라이브를 사용하려면 BitLocker 드라이브 암호화 마법사 대신 bde 명령줄을 사용하여 BitLocker를 구성해야 합니다.

시작 시 추가 인증 필요(Windows Server 2008 및 Windows Vista)

이 정책은 Windows 2008 또는 Windows Vista를 실행하는 컴퓨터에만 적용됩니다.

TPM이 장착된 컴퓨터에서는 추가 보안 매개변수인 PIN 코드(4~20자리)를 설정할 수 있습니다.

TRM이 탑재되지 않은 컴퓨터에서는 주요 정보가 담긴 USB 디스크가 사용됩니다.

이 옵션을 활성화하면 마법사는 사용자가 추가 BitLocker 시작 옵션을 구성할 수 있는 창을 표시합니다.

이 옵션이 비활성화되거나 구성되지 않은 경우 설치 마법사는 TPM이 있는 컴퓨터에서 BitLocker를 실행하기 위한 기본 단계를 표시합니다.

시작을 위한 최소 PIN 길이 구성

이 매개변수를 사용하면 컴퓨터를 시작하기 위한 PIN 코드의 최소 길이를 구성할 수 있습니다.

PIN 코드의 길이는 4~20자리입니다.

BitLocker로 보호되는 OS 드라이브를 복구할 수 있는 방법을 선택하세요.

이 그룹 정책 규칙을 사용하면 암호화 키가 누락된 경우 BitLocker로 암호화된 드라이브를 복구하는 방법을 결정할 수 있습니다.

TPM 플랫폼 유효성 검사 프로필 구성

이 규칙을 사용하면 TPM 모델을 구성할 수 있습니다. 해당 모듈이 없으면 이 규칙이 적용되지 않습니다.

이 규칙을 활성화하면 암호화된 드라이브에 대한 액세스를 허용하기 전에 TPM에서 확인할 부트스트랩 구성 요소를 구성할 수 있습니다.

이동식 미디어

이동식 드라이브에서 BitLocker 사용 제어

이 그룹 정책 규칙을 사용하면 이동식 드라이브에서 BitLocker 암호화를 제어할 수 있습니다.

사용자가 BitLocker를 구성하는 데 사용할 수 있는 설정을 선택할 수 있습니다.

특히 BitLocker 암호화 설치 마법사가 이동식 드라이브에서 실행되도록 허용하려면 "사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용"을 선택해야 합니다.

"사용자가 이동식 데이터 드라이브에서 BitLocker를 일시 중단 및 해독하도록 허용"을 선택하면 사용자는 이동식 드라이브의 암호를 해독하거나 암호화를 일시 중지할 수 있습니다.

이 규칙이 구성되지 않으면 사용자는 이동식 미디어에서 BitLocker를 사용할 수 있습니다.

이 규칙을 비활성화하면 사용자는 이동식 드라이브에서 BitLocker를 사용할 수 없습니다.

이동식 데이터 드라이브에서 스마트 카드 사용 구성

이 정책 설정을 사용하면 사용자를 인증하고 특정 PC의 이동식 드라이브에 액세스하는 데 스마트 카드를 사용할 수 있는지 여부를 결정할 수 있습니다.

보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부 BitLocker

이 정책 규칙을 사용하면 BitLocker로 보호되지 않는 이동식 드라이브에 쓰는 것을 방지할 수 있습니다. 이 경우 BitLocker로 보호되지 않는 모든 이동식 드라이브는 읽기 전용이 됩니다.

"다른 조직에 구성된 장치에 대한 쓰기 접근 거부" 옵션을 선택한 경우 해당 조직에 속한 이동식 디스크에만 쓰기가 가능합니다. 확인은 "조직에 대한 고유 식별자 제공" 그룹 정책 규칙에 따라 정의된 두 개의 식별 필드에 대해 수행됩니다.

이 규칙을 비활성화하거나 구성하지 않으면 모든 이동식 디스크에 읽기 및 쓰기 액세스가 모두 가능해집니다.

주목! 이 규칙은 사용자 구성관리 템플릿시스템 이동식 저장소 액세스 정책 설정에 의해 재정의될 수 있습니다. "이동식 디스크: 쓰기 액세스 거부" 규칙이 활성화된 경우 이 규칙은 무시됩니다.

이전 버전의 Windows에서 BitLocker로 보호되는 이동식 데이터 드라이브에 대한 액세스 허용

이 규칙은 Windows 2008, Windows Vista, Windows XP SP3 및 Windows XP SP2를 실행하는 컴퓨터에서 FAT로 포맷된 이동식 드라이브를 잠금 해제하고 볼 수 있는지 여부를 결정합니다.

이 규칙이 활성화되거나 구성되지 않으면 FAT 파일 시스템이 있는 이동식 드라이브를 잠금 해제하고 Windows 2008, Windows Vista, Windows XP SP3 및 Windows XP SP2를 실행하는 컴퓨터에서 볼 수 있습니다. 이 경우 해당 디스크는 읽기 전용입니다.

이 규칙이 차단되면 Windows 2008, Windows Vista, Windows XP SP3 및 Windows XP SP2를 실행하는 컴퓨터에서 해당 이동식 디스크를 잠금 해제하거나 볼 수 없습니다.

이 규칙은 NTFS로 포맷된 드라이브에는 적용되지 않습니다.

비밀번호 복잡성 요구 사항 및 최소 길이 구성

이 정책 규칙은 BitLocker로 잠긴 이동식 드라이브를 암호로 잠금 해제해야 하는지 여부를 결정합니다. 비밀번호 사용을 허용하면 비밀번호 복잡성 요구 사항과 최소 비밀번호 길이를 설정할 수 있습니다. 이 경우 복잡성 요구 사항은 암호 정책의 요구 사항과 일치해야 한다는 점을 고려해 볼 가치가 있습니다. 컴퓨터 구성창 설정보안 설정계정 정책암호 정책

BitLocker로 보호되는 이동식 드라이브를 복구할 수 있는 방법을 선택하세요.

이 규칙을 사용하면 BitLocker로 보호되는 이동식 드라이브를 복구하는 방법을 선택할 수 있습니다.

그러나 계속해서 하드 드라이브를 암호화해 보겠습니다. 그룹 정책을 변경하면 BitLocker 암호화 기능을 훨씬 더 광범위하게 사용할 수 있다는 것을 이미 확인했으므로 그룹 정책 편집으로 넘어가겠습니다. 이를 위해 암호화 사용의 목표와 조건을 공식화합니다.

1. 테스트 중인 컴퓨터에는 TRM 모듈이 설치되어 있습니다.

2. 우리는 다음을 암호화합니다:

• 시스템 디스크
• 데이터 디스크
• 이동식 미디어(NTFS 및 FAT 모두).

또한 FAT로 포맷된 이동식 미디어를 Windows XP SP2와 Windows Vista SP1을 모두 실행하는 컴퓨터에서 사용할 수 있는지 확인해야 합니다.

암호화 프로세스로 넘어 갑시다.

먼저 BitLocker 그룹 정책에서 암호화 알고리즘과 키 길이를 선택합니다(그림 8).

쌀. 8. 암호화 알고리즘 및 키 길이 선택

그런 다음 운영 체제 드라이브 섹션에서 시작 시 추가 인증 필요 규칙을 선택합니다(그림 9).

쌀. 9. “시작 시 추가 인증 필요” 규칙

그런 다음 시작 규칙에 대한 최소 PIN 길이 구성을 사용하여 최소 PIN 길이를 6자로 설정했습니다.

데이터 섹션을 암호화하기 위해 복잡성 및 최소 비밀번호 길이 8자에 대한 요구 사항을 설정합니다(그림 10).

쌀. 10. 최소 비밀번호 길이 및 복잡성에 대한 요구 사항 설정

비밀번호 보호를 위한 요구 사항을 설정해야 한다는 점을 기억해야 합니다(그림 11).

쌀. 11. 비밀번호 보호 요구사항

이동식 디스크의 경우 다음 설정을 선택합니다.

• 낮은 버전의 Windows에서는 FAT 파일 시스템을 사용하는 이동식 디스크 읽기를 허용하지 마세요.
• 비밀번호는 복잡성 요구 사항을 충족해야 합니다.
• 최소 비밀번호 길이는 8자입니다.

그런 다음 명령줄 창에서 gpupdate.exe /force 명령을 사용하여 정책을 업데이트합니다(그림 12).

쌀. 12. 그룹 정책 설정 업데이트

재부팅할 때마다 PIN 코드를 사용하기로 결정했기 때문에 (그림 13) 시작할 때마다 PIN 필요를 선택합니다.

쌀. 13. 부팅할 때마다 PIN을 입력하세요.

쌀. 14. PIN 코드 입력

PIN 코드를 4자리로 입력하세요(그림 15).

쌀. 15. PIN이 최소 길이 요구 사항을 충족하지 않습니다.

정책에 지정된 PIN 코드의 최소 길이는 6자리이며, 새 PIN 코드를 입력하면 키를 USB 드라이브 및 텍스트 파일로 저장하라는 초대를 받게 됩니다.

쌀. 16. 백업 암호화 키 저장

그런 다음 시스템을 재부팅하면 C: 드라이브를 암호화하는 실제 프로세스가 시작됩니다.

그런 다음 귀하와 저는 하드 드라이브의 두 번째 파티션인 D 드라이브를 암호화합니다(그림 17).

쌀. 17. D 드라이브 암호화 중:

드라이브 D를 암호화하기 전에 이 드라이브의 비밀번호를 입력해야 합니다. 이 경우 비밀번호는 최소 비밀번호 길이 및 비밀번호 복잡성 요구 사항을 충족해야 합니다. 이 PC에서 이 디스크를 자동으로 열 수 있다는 점을 고려해 볼 가치가 있습니다.

따라서 마찬가지로 복구 비밀번호를 USB 드라이브에 저장합니다.

처음으로 비밀번호를 저장하면 동일한 USB 드라이브의 텍스트 파일에도 저장된다는 점을 고려해 볼 가치가 있습니다!

120GB 크기(100GB는 무료)의 데이터 파티션을 암호화할 때 Windows 탐색기는 항상 파티션 공간 부족에 대한 메시지를 표시한다는 점을 명심해야 합니다(그림 18).

쌀. 18. Windows 탐색기 창

FAT 파일 시스템으로 포맷된 USB 드라이브를 암호화해 보겠습니다.

USB 드라이브 암호화는 향후 암호화된 드라이브에 대한 비밀번호를 입력하라는 요청으로 시작됩니다. 특정 정책 규칙에 따르면 최소 비밀번호 길이는 8자입니다. 이 경우 비밀번호는 복잡성 요구 사항을 충족해야 합니다(그림 19).

쌀. 19. 이동식 USB 드라이브를 암호화하기 위한 비밀번호 입력

암호화가 완료된 후 Windows Vista Home Premium SP1을 실행하는 다른 컴퓨터에서 이 USB 드라이브를 보려고 했습니다. 결과는 그림 1에 나와 있습니다. 21.

쌀. 21. Windows Vista SP1을 실행하는 컴퓨터에서 암호화된 USB 드라이브 읽기 시도

보시다시피, 디스크를 분실하면 정보를 읽을 수 없으며, 디스크가 단순히 포맷될 가능성이 높습니다.

Windows 7 Beta1을 실행하는 컴퓨터에 동일한 USB 드라이브를 연결하려고 하면 다음이 표시됩니다(그림 22).

결론

따라서 우리는 Windows 7에서 암호화가 어떻게 수행되는지 살펴보았습니다. Windows Vista에 비해 그룹 정책에 더 많은 규칙이 있으므로 올바른 적용과 올바른 구성에 대한 IT 직원의 책임이 있습니다. 상호 연결된 관계가 증가합니다.

Windows 7에서 시스템 복원 지점을 삭제하는 방법

BitLocker - 새로운 디스크 암호화 기능

기밀 데이터의 손실은 공격자가 하드 드라이브의 정보에 접근한 후에 발생하는 경우가 많습니다. 예를 들어, 사기꾼이 시스템 파일을 읽을 기회를 얻은 경우 해당 파일을 사용하여 사용자 비밀번호를 찾고 개인 정보를 추출할 수 있습니다.

Windows 7에는 BitLocker라는 도구가 포함되어 있습니다. 이 도구를 사용하면 전체 드라이브를 암호화하여 드라이브에 있는 데이터를 엿보는 눈으로부터 보호할 수 있습니다. BitLocker 암호화 기술은 Windows Vista에 도입되었으며 새 운영 체제에서 더욱 발전되었습니다. 가장 흥미로운 혁신을 나열해 보겠습니다.

• Explorer 컨텍스트 메뉴에서 BitLocker를 활성화합니다.
• 숨겨진 부팅 디스크 파티션 자동 생성;
• 보호되는 모든 볼륨에 대해 DRA(데이터 복구 에이전트)를 지원합니다.

이 도구는 모든 Windows 버전에서 구현되지 않고 "Advanced", "Corporate" 및 "Professional" 버전에서만 구현됩니다.

BitLocker 기술을 사용한 디스크 보호는 이동식 미디어 손실, 도난, 디스크에 대한 무단 액세스 등 거의 모든 불가항력 상황에서 기밀 사용자 데이터를 보존합니다. BitLocker 데이터 암호화 기술은 시스템 드라이브의 모든 파일은 물론 추가로 연결된 미디어에도 적용될 수 있습니다. 암호화된 디스크에 포함된 데이터를 다른 매체에 복사하면 해당 정보는 암호화되지 않은 채 전송됩니다.

더 나은 보안을 제공하기 위해 BitLocker는 하드웨어 및 소프트웨어 방법을 포함한 여러 유형의 보호를 동시에 사용하는 다단계 암호화를 사용할 수 있습니다. 데이터 보호 방법을 조합하면 BitLocker 암호화 시스템의 여러 가지 작동 모드를 얻을 수 있습니다. 각각에는 고유한 장점이 있으며 고유한 보안 수준도 제공합니다.

• 신뢰할 수 있는 플랫폼 모듈을 사용하는 모드;
• 신뢰할 수 있는 플랫폼 모듈과 USB 장치를 사용하는 모드;
• 신뢰할 수 있는 플랫폼 모듈과 개인 식별 번호(PIN)를 사용하는 모드
• 키가 포함된 USB 장치를 사용하는 모드입니다.

BitLocker가 어떻게 사용되는지 자세히 살펴보기 전에 몇 가지 설명이 필요합니다. 우선 용어를 이해하는 것이 중요합니다. 신뢰할 수 있는 플랫폼 모듈은 식별을 허용하는 특수 암호화 칩입니다. 이러한 칩은 예를 들어 일부 노트북 모델, 데스크톱 PC, 다양한 모바일 장치 등에 통합될 수 있습니다.

이 칩은 고유한 "루트 액세스 키"를 저장합니다. 이러한 "스티칭" 칩은 암호화 키 해킹에 대한 또 다른 안정적인 추가 보호 기능입니다. 이 데이터가 하드 드라이브나 메모리 카드 등 다른 매체에 저장되어 있으면 이러한 장치에 액세스하기가 더 쉽기 때문에 정보 손실 위험이 훨씬 더 높아집니다. 칩은 "루트 액세스 키"를 사용하여 TPM을 통해서만 해독할 수 있는 자체 암호화 키를 생성할 수 있습니다. 소유자 비밀번호는 TPM이 처음 초기화될 때 생성됩니다. Windows 7은 TPM 버전 1.2를 지원하며 호환되는 BIOS도 필요합니다.

신뢰할 수 있는 플랫폼 모듈을 사용하여 독점적으로 보호를 수행하는 경우 컴퓨터를 켜면 BIOS 데이터 및 기타 데이터를 포함하여 하드웨어 수준에서 데이터가 수집되며, 그 전체는 하드웨어의 신뢰성을 나타냅니다. 이 작업 모드를 "투명"이라고 하며 사용자의 작업이 필요하지 않습니다. 확인이 이루어지고 성공하면 일반 모드에서 다운로드가 수행됩니다.

인증 문제로 인해 러시아와 우크라이나에서 이러한 장치의 수입 및 판매가 법으로 금지되어 있기 때문에 신뢰할 수 있는 플랫폼 모듈이 포함된 컴퓨터는 여전히 사용자에게 이론일 뿐이라는 점이 궁금합니다. 따라서 우리와 관련된 유일한 옵션은 액세스 키가 기록된 USB 드라이브를 사용하여 시스템 드라이브를 보호하는 것입니다.

BitLocker 기술을 사용하면 exFAT, FAT16, FAT32 또는 NTFS 파일 시스템을 사용하는 데이터 드라이브에 암호화 알고리즘을 적용할 수 있습니다. 운영 체제가 설치된 디스크에 암호화가 적용된 경우 BitLocker 기술을 사용하려면 이 디스크의 데이터를 NTFS 형식으로 작성해야 합니다. BitLocker 기술이 사용하는 암호화 방법은 128비트 키를 사용하는 강력한 AES 알고리즘을 기반으로 합니다.

Windows 7의 Bitlocker 기능과 Windows Vista의 유사한 도구 간의 차이점 중 하나는 새 운영 체제에는 특별한 디스크 파티셔닝이 필요하지 않다는 것입니다. 이전에는 이 작업을 수행하기 위해 사용자가 Microsoft BitLocker 디스크 준비 도구를 사용해야 했지만 이제는 보호해야 할 디스크를 지정하는 것만으로도 충분하며 시스템은 Bitlocker에서 사용하는 디스크에 숨겨진 부팅 파티션을 자동으로 생성합니다. 이 부팅 파티션은 컴퓨터를 시작하는 데 사용되며 암호화되지 않은 형식으로 저장되지만(그렇지 않으면 부팅이 불가능함) 운영 체제가 포함된 파티션은 암호화됩니다. Windows Vista에 비해 부팅 파티션은 약 10배 적은 디스크 공간을 차지합니다. 추가 파티션에는 별도의 문자가 할당되지 않으며 파일 관리자의 파티션 목록에 표시되지 않습니다.

암호화를 관리하려면 BitLocker 드라이브 암호화라는 제어판의 도구를 사용하는 것이 편리합니다. 이 도구는 디스크를 빠르게 암호화 및 잠금 해제하고 TPM 작업을 수행할 수 있는 디스크 관리자입니다. 이 창에서 언제든지 BitLocker 암호화를 중지하거나 일시 중지할 수 있습니다.

⇡ BitLocker To Go - 외부 장치 암호화

USB 드라이브, 메모리 카드 등 모든 이동식 드라이브를 암호화하도록 설계된 새로운 도구인 BitLocker To Go가 Windows 7에 나타났습니다. 이동식 드라이브의 암호화를 활성화하려면 "탐색기"를 열고 마우스 오른쪽 버튼을 클릭해야 합니다. 원하는 드라이브를 선택하고 상황에 맞는 메뉴에서 "BitLocker 켜기" 명령을 선택합니다.

그런 다음 선택한 디스크에 대한 암호화 마법사가 시작됩니다.

사용자는 암호화된 드라이브를 잠금 해제하는 두 가지 방법 중 하나를 선택할 수 있습니다. 비밀번호 사용 - 이 경우 사용자는 문자 조합을 입력해야 하며 스마트 카드도 사용해야 합니다. 스마트 카드에 대한 특수 PIN 코드를 지정합니다. 전체 디스크 암호화 절차는 암호화된 드라이브의 볼륨과 작동 속도에 따라 몇 분에서 30분까지 꽤 많은 시간이 걸립니다.

암호화된 이동식 드라이브를 연결하면 일반적인 방법으로 드라이브에 액세스할 수 없으며, 드라이브에 액세스하려고 하면 사용자에게 다음 메시지가 표시됩니다.

익스플로러에서는 암호화 시스템이 적용된 디스크의 아이콘도 변경됩니다.

미디어 잠금을 해제하려면 파일 관리자의 컨텍스트 메뉴에서 미디어 문자를 다시 마우스 오른쪽 버튼으로 클릭하고 컨텍스트 메뉴에서 해당 명령을 선택해야 합니다. 새 창에 비밀번호를 올바르게 입력하면 디스크 내용에 대한 액세스가 열리고 암호화되지 않은 미디어와 마찬가지로 작업할 수 있습니다.

"BitLocker"를 검색하고 "BitLocker 관리"를 선택하여 Windows에서 암호화 도구를 시작합니다. 다음 창에서 하드 드라이브 옆에 있는 "BitLocker 활성화"를 클릭하여 암호화를 활성화할 수 있습니다(오류 메시지가 나타나면 "TPM 없이 BitLocker 사용" 섹션을 읽으십시오).

이제 암호화된 드라이브를 잠금 해제할 때 USB 플래시 드라이브를 사용할지 아니면 비밀번호를 사용할지 선택할 수 있습니다. 선택한 옵션에 관계없이 설정 프로세스 중에 복구 키를 저장하거나 인쇄해야 합니다. 비밀번호를 잊어버리거나 플래시 드라이브를 분실한 경우에 필요합니다.

TPM 없이 BitLocker 사용

BitLocker를 설정합니다.
BitLocker는 TPM 칩 없이도 작동합니다. 단, 이를 위해서는 로컬 그룹 정책 편집기에서 일부 구성이 필요합니다.

컴퓨터에 TPM(신뢰할 수 있는 플랫폼 모듈) 칩이 없는 경우 BitLocker를 활성화하려면 몇 가지 조정이 필요할 수 있습니다. Windows 검색 창에 "그룹 정책 편집"을 입력하고 "로컬 그룹 정책 편집기" 섹션을 엽니다. 이제 편집기의 왼쪽 열에서 "컴퓨터 구성 | 관리 템플릿 | Windows 구성요소 | BitLocker 드라이브 암호화 | 운영 체제 디스크”를 선택하고 오른쪽 열에서 “시작 시 추가 인증 필요” 항목을 확인합니다.

그런 다음 가운데 열에서 "정책 설정 편집" 링크를 클릭하십시오. 아래에서 "활성화" 옆의 확인란을 선택하고 "호환되는 TPM 없이 BitLocker 허용" 옆의 확인란을 선택하십시오. "적용" 및 "확인"을 클릭한 후 위에서 설명한 대로 BitLocker를 사용할 수 있습니다.

VeraCrypt 형태의 대안

TrueCrypt의 후속 제품인 VeraCrypt를 사용하여 시스템 파티션이나 전체 하드 드라이브를 암호화하려면 VeraCrypt 메인 메뉴에서 "볼륨 생성"을 선택한 다음 "시스템 파티션 또는 전체 시스템 드라이브 암호화"를 선택하세요. Windows 파티션과 함께 전체 하드 드라이브를 암호화하려면 "전체 드라이브 암호화"를 선택한 다음 단계별 설정 지침을 따르십시오. 참고: VeraCrypt는 비밀번호를 잊어버린 경우를 대비해 복구 디스크를 생성합니다. 따라서 빈 CD가 필요합니다.

드라이브를 암호화한 후에는 부팅할 때 비밀번호 뒤에 PIM(Personal Iterations Multiplier)을 지정해야 합니다. 설정 중에 PIM을 설치하지 않은 경우 Enter 키를 누르십시오.

암호화는 파일 작성자만 파일을 읽을 수 있도록 하여 보안을 한층 더 강화합니다. 다른 사용자(관리자 권한이 있는 사용자라도)가 해당 파일을 열려고 하면 의미 없는 문자 집합이 표시되거나 전혀 표시되지 않습니다. 즉, 자신의 계정으로 시스템에 로그인하지 않으면 암호화된 데이터를 읽을 수 없습니다.

Windows 7에서 파일과 폴더를 암호화하는 것은 중요한 데이터를 보호하는 편리한 방법이지만, 암호화된 데이터와 암호화되지 않은 데이터를 동일한 드라이브에 저장하면 파일 암호화 섹션에서 설명한 대로 예측할 수 없는 결과가 발생할 수 있습니다. 그러나 Windows 7 Ultimate 및 Enterprise 버전 소유자는 BitLocker 드라이브 암호화 도구를 활용하여 이 문제를 해결할 수 있습니다.

Bit Locker는 디스크의 모든 데이터를 하나의 거대한 아카이브에 저장하고 이를 가상 하드 디스크로 처리합니다. Windows 탐색기에서는 BitLocker로 암호화된 파일을 다른 데이터와 마찬가지로 처리합니다. Windows는 백그라운드에서 자동으로 암호화 및 암호 해독을 수행합니다. BitLocker의 가장 큰 장점은 Windows 파일과 모든 시스템 파일을 암호화하여 누군가가 귀하의 암호를 해킹하고 시스템에 무단으로 액세스하는 것을 훨씬 더 어렵게 만든다는 것입니다. 또한 전체 드라이브를 암호화하면 개별 파일을 암호화할 필요가 없습니다.

드라이브를 암호화하려면 제어판에서 BitLocker 드라이브 암호화 페이지를 엽니다. TPM을 찾을 수 없음 오류가 표시되면 컴퓨터에 TPM을 지원하는 BIOS 업데이트가 있는지 확인하세요.

TPM(Trusted Platform Module)은 BitLocker 암호화 키를 저장하는 마더보드의 칩으로, 덕분에 컴퓨터가 암호화된 드라이브에서 부팅될 수 있습니다. BIOS가 TPM을 지원하지 않는 경우 일반 USB 드라이브를 이러한 칩으로 사용할 수 있습니다.

파일을 암호화하려는 것으로 표시하기만 하면 됩니다. Windows는 파일 작성자가 파일을 쓰거나 보는 동안 백그라운드에서 파일을 각각 암호화하고 해독합니다. 사실, Windows 7에서 실시간 암호화는 때때로 예상치 못한 결과를 낳을 수 있으며 보안은 우연에 의존할 수 있는 영역이 아닙니다.

파일 암호화

암호화는 다른 파일 시스템에서는 사용할 수 없는 NTFS 파일 시스템의 기능("올바른 파일 시스템 선택" 섹션에서 설명)입니다. 즉, 암호화된 파일을 메모리 카드, USB 드라이브 또는 CD에 복사하는 경우 NTFS 파일 시스템이 해당 장치에서 지원되지 않기 때문에 암호를 해독할 수 없습니다.

파일을 암호화하는 방법:

1. 탐색기에서 하나 이상의 파일을 마우스 오른쪽 버튼으로 클릭하고 상황에 맞는 메뉴에서 속성을 선택합니다.
2. 일반 탭에서 고급을 클릭합니다.
3. 데이터를 보호하기 위해 콘텐츠 암호화 확인란을 선택하고 확인을 클릭한 후 다시 확인을 클릭하여 창을 닫습니다.