Windosw EFS 정리 및 EPS 암호화하는 방법
파일 시스템 암호화 Encrypting File System (EFS)
- Microsoft Windows에 내장된 암호화 기능 암호화 및 복호화를 처리하는 프로세스
- NTFS(New Technology File System) 파티션의 파일 및 폴더를 암호화한다.
- EFS는 중요한 데이터를 사용자의 계정에 연결된 암호화 키로 암호화하여 보호하는 방법을 제공한다.
- 누군가가 파일 또는 컴퓨터에 물리적으로 액세스할 수 있더라도 사용자의 계정 자격 증명 없이 암호화된 데이터에 액세스할 수 없음을 의미한다.
- Windows EFS는 공유 네트워크 드라이브의 민감한 문서나 파일 보안과 같이 파일 단위로 데이터를 보호해야 하는 시나리오에 자주 사용된다.
- 주로 로컬 파일 시스템용으로 설계되어 SMB와 같은 네트워크 파일 공유 프로토콜과 직접 호환되지 않는다.
- 네트워크를 통해 전송되는 파일을 보호해야 하는 경우 SSL/TLS 또는 BitLocker를 사용할 수 있다.
Windows EFS의 주요 기능 및 측면
1. 파일 수준 암호화
드라이브 전체를 암호화하는 대신 개별 파일이나 폴더를 암호화하므로 보호되는 파일을 보다 세밀하게 제어있다.
2. User-Based Encryption
- EFS 보호 파일의 암호화 및 복호화는 사용자 계정에 연결된다.
- 파일을 암호화한 사용자 또는 적절한 권한을 가진 사람만이 암호화된 내용에 접근할 수 있다.
- 사용자는 파일을 수동으로 복호화할 필요 없이 평소처럼 파일을 작업할 수 있습니다.
3. NTFS 권한과의 통합
- NTFS 권한과 함께 작동하므로 관리자는 암호화된 파일에 액세스하고 암호를 해독할 수 있는 사용자를 제어할 수 있다.
4. 데이터 보호
- 강력한 암호화 알고리즘을 사용하여 데이터를 보호하므로 권한이 없는 사용자는 복호화 키없이 암호화된 파일을 해독할 수 없다.
5. 암호화된 데이터에 접근할 때의 동작 방식
- 암호화된 파일은 일반 파일과 동일하게 읽고 쓸 수 있다. 사용자가 파일을 읽는 동안 자동으로 암호화가 해제되며, 사용자가 파일을 닫으면 다시 EFS 암호화가 진행된다. 암호화 된 파일은 파일을 암호화한 사용자 계정만이 읽을 수 있다.
6. 참고 사항
- 폴더를 암호화하면 암호화 된 폴더에 만들어 지는 모든 파일과 하위 폴더도 자동으로 암호화 된다. 또한, 암호화는 폴더 수준에서 수행하는 것이 좋다.
- NTFS 볼륨에서 압축과 암호화는 상호 배타적으로 동작하기 때문에, 동시에 수행할 수 없다.
- 암호화된 데이터를 압축시키면 자동으로 데이터를 복호화 한 후 데이터를 압축한다.
- 압축된 데이터를 암호화시키면 데이터의 압축을 해제시킨 후 데이터를 암호화한다.
1. EFS TEST를 위한 기초 구성
1.1) 사용자 계정 생성
- 사용자 계정을 생성한다. aa라는 사용자 계정과 bb라는 사용자 계정을 생성하고 각각, 암호화가 된 파일을 생성/수정/삭제를 진행하는 과정에서의 동작 방식을 확인한다.
1.2) MMC 실행
- MMC(Microsoft Mangement Console)는 자주 사용하는 관리도구를 즐겨찾기처럼 등록하여 빠르게 확인할 수 있도록 돕는 프로그램이다. aa 사용자 계정으로 접속하고, [실행] 창에 mmc를 입력하여 MMC를 실행한다. 그리고, 다음과 같이 인증서를 추가한다.
1.3) 폴더 암호화
- 임의의 폴더를 생성하고, 속성에서 [고급]을 클릭한다.
- [고급 특성]에서 [데이터 보호를 위해 내용을 암호화]를 클릭하고 설정을 마치면 오른쪽 하단에 [파일 암호화 키 백업]이라는 알람이 등장한다. 그리고, 암호화된 폴더에서 파일을 생성하면, 해당 파일까지 암호화가 되어 자물쇠 아이콘과 함께 암호화되었음을 알려준다.
- 그리고 다시 MMC로 돌아와서 확인하면, aa라는 사용자 계정 앞으로 인증서가 발급되었다. 해당 키로 암호화하고 복호화하여 파일의 내용을 볼 수 있는 것이다.
2. EPS TEST
2.1) 사용자 계정 변경
- 이번에는 bb라는 사용자 계정으로 로그인하여 aa 사용자 계정이 만든 파일을 수정해본다. bb로 접속하여 test 파일을 열면 [액세스 거부] 라는 Error 창이 출력된다. 그리고, bb 사용자가 바탕화면에서 만들어서 암호화된 폴더에 넣으면 암호화가 된다. 즉, 다른 계정이 만든 파일은 열어볼 수 없고 삭제만 가능하다. 심지어 Administrator도 볼 수 없다.
2.2) 신뢰할 수 있는 사용자 추가
- 관리자는 신뢰할 수 있는 사용자를 추가하여 암호화 문서에 접근할 수 있는 권한을 부여할 수 있다. 다시 동일하게 [고급 특성]에서 [자세히]를 누르면, [이 파일에 액세스 할 수 있는 사용자] 가 출력된다.
- [추가]를 누르고, [다른 옵션 선택]을 눌러서 aa 사용자와 bb 사용자 계정에게 암호화된 파일을 복호화화여 볼 수 있는 권한을 부여한다. 그리고 각각 aa 사용자와 bb 사용자에게 파일에 대한 권한을 부여한다.
- 위의 작업은 암호화된 파일을 복호화할 수 있는 권한을 부여한 것이기 때문에 파일에 대한 권한도 부여해야한다. 다음과 같이 파일에 대한 권한을 부여한다. aa는 읽기만 가능하고 bb는 수정이 가능하도록 권한을 부여한다.
- aa는 읽기만 가능하고 수정이 불가능하다.
- bb는 읽기와 수정이 가능하다.
'IT > ㄴ Windows' 카테고리의 다른 글
| [Win2016] Windows 파일 차단 및 예외 처리 방법 [파일 서버 리소스 관리자] (0) | 2023.09.14 |
|---|---|
| [Win2016] Windows BitLocker 정리 및 하드디스크 암호화하는 방법 [데이터 보호 / 도난 방지] (0) | 2023.09.08 |
| [Win2016] Windows Server 디스크 관리 기초 [스팬 볼륨 / 스트라이프 볼륨 / 미러 볼륨 / RAID-5] (0) | 2023.09.08 |
| [Win2016] Windows Server를 Router로 활용하기 [윈도우 라우팅 테이블] (0) | 2023.09.08 |
| [Win2016] Windows SSTP VPN Client 생성 후 접속하기[2/2] (0) | 2023.09.07 |