[Win2016] Windosw EFS 정리 및 EPS 암호화하는 방법

Windosw EFS 정리 및 EPS 암호화하는 방법

---

파일 시스템 암호화 Encrypting File System (EFS)

- Microsoft Windows에 내장된 암호화 기능 암호화 및 복호화를 처리하는 프로세스 

- NTFS(New Technology File System) 파티션의 파일 및 폴더를 암호화한다.

- EFS는 중요한 데이터를 사용자의 계정에 연결된 암호화 키로 암호화하여 보호하는 방법을 제공한다.

- 누군가가 파일 또는 컴퓨터에 물리적으로 액세스할 수 있더라도 사용자의 계정 자격 증명 없이 암호화된 데이터에 액세스할 수 없음을 의미한다.

- Windows EFS는 공유 네트워크 드라이브의 민감한 문서나 파일 보안과 같이 파일 단위로 데이터를 보호해야 하는 시나리오에 자주 사용된다.

- 주로 로컬 파일 시스템용으로 설계되어 SMB와 같은 네트워크 파일 공유 프로토콜과 직접 호환되지 않는다.

- 네트워크를 통해  전송되는 파일을 보호해야 하는 경우 SSL/TLS 또는 BitLocker를 사용할 수 있다.

 

Windows EFS의 주요 기능 및 측면

 

1. 파일 수준 암호화

드라이브 전체를 암호화하는 대신 개별 파일이나 폴더를 암호화하므로 보호되는 파일을 보다 세밀하게 제어있다.

2. User-Based Encryption

- EFS 보호 파일의 암호화 및 복호화는 사용자 계정에 연결된다.

- 파일을 암호화한 사용자 또는 적절한 권한을 가진 사람만이 암호화된 내용에 접근할 수 있다.
- 사용자는 파일을 수동으로 복호화할 필요 없이 평소처럼 파일을 작업할 수 있습니다.

 

3. NTFS 권한과의 통합

- NTFS 권한과 함께 작동하므로 관리자는 암호화된 파일에 액세스하고 암호를 해독할 수 있는 사용자를 제어할 수 있다.

4. 데이터 보호

- 강력한 암호화 알고리즘을 사용하여 데이터를 보호하므로 권한이 없는 사용자는 복호화 키없이 암호화된 파일을 해독할 수 없다.

5. 암호화된 데이터에 접근할 때의 동작 방식

- 암호화된 파일은 일반 파일과 동일하게 읽고 쓸 수 있다. 사용자가 파일을 읽는 동안 자동으로 암호화가 해제되며, 사용자가 파일을 닫으면 다시 EFS 암호화가 진행된다. 암호화 된 파일은 파일을 암호화한 사용자 계정만이 읽을 수 있다.

 

6. 참고 사항

- 폴더를 암호화하면 암호화 된 폴더에 만들어 지는 모든 파일과 하위 폴더도 자동으로 암호화 된다. 또한, 암호화는 폴더 수준에서 수행하는 것이 좋다.

- NTFS 볼륨에서 압축과 암호화는 상호 배타적으로 동작하기 때문에, 동시에 수행할 수 없다.

- 암호화된 데이터를 압축시키면 자동으로 데이터를 복호화 한 후 데이터를 압축한다.

- 압축된 데이터를 암호화시키면 데이터의 압축을 해제시킨 후 데이터를 암호화한다.

 

---

1. EFS TEST를 위한 기초 구성

1.1) 사용자 계정 생성

- 사용자 계정을 생성한다. aa라는 사용자 계정과 bb라는 사용자 계정을 생성하고 각각, 암호화가 된 파일을 생성/수정/삭제를 진행하는 과정에서의 동작 방식을 확인한다.

 

1.2) MMC 실행

- MMC(Microsoft Mangement Console)는 자주 사용하는 관리도구를 즐겨찾기처럼 등록하여 빠르게 확인할 수 있도록 돕는 프로그램이다. aa 사용자 계정으로 접속하고, [실행] 창에 mmc를 입력하여 MMC를 실행한다. 그리고, 다음과 같이 인증서를 추가한다.

 

1.3) 폴더 암호화

- 임의의 폴더를 생성하고, 속성에서 [고급]을 클릭한다.

 

- [고급 특성]에서 [데이터 보호를 위해 내용을 암호화]를 클릭하고 설정을 마치면 오른쪽 하단에 [파일 암호화 키 백업]이라는 알람이 등장한다. 그리고, 암호화된 폴더에서 파일을 생성하면, 해당 파일까지 암호화가 되어 자물쇠 아이콘과 함께 암호화되었음을 알려준다.

 

 

- 그리고 다시 MMC로 돌아와서 확인하면, aa라는 사용자 계정 앞으로 인증서가 발급되었다. 해당 키로 암호화하고 복호화하여 파일의 내용을 볼 수 있는 것이다.

 

 

2. EPS TEST

2.1) 사용자 계정 변경

- 이번에는 bb라는 사용자 계정으로 로그인하여 aa 사용자 계정이 만든 파일을 수정해본다. bb로 접속하여 test 파일을 열면 [액세스 거부] 라는 Error 창이 출력된다. 그리고, bb 사용자가 바탕화면에서 만들어서 암호화된 폴더에 넣으면 암호화가 된다. 즉, 다른 계정이 만든 파일은 열어볼 수 없고 삭제만 가능하다. 심지어 Administrator도 볼 수 없다.

 

 

 

 

2.2) 신뢰할 수 있는 사용자 추가

- 관리자는 신뢰할 수 있는 사용자를 추가하여 암호화 문서에 접근할 수 있는 권한을 부여할 수 있다. 다시 동일하게 [고급 특성]에서 [자세히]를 누르면, [이 파일에 액세스 할 수 있는 사용자] 가 출력된다. 

 

 

- [추가]를 누르고, [다른 옵션 선택]을 눌러서 aa 사용자와 bb 사용자 계정에게 암호화된 파일을 복호화화여 볼 수 있는 권한을 부여한다. 그리고 각각 aa 사용자와 bb 사용자에게 파일에 대한 권한을 부여한다. 

- 위의 작업은 암호화된 파일을 복호화할 수 있는 권한을 부여한 것이기 때문에 파일에 대한 권한도 부여해야한다. 다음과 같이 파일에 대한 권한을 부여한다. aa는 읽기만 가능하고 bb는 수정이 가능하도록 권한을 부여한다.

 

 

-  aa는 읽기만 가능하고 수정이 불가능하다.

 

 

-  bb는 읽기와 수정이 가능하다.

---