[Win2016] Windows BitLocker 정리 및 하드디스크 암호화하는 방법 [데이터 보호 / 도난 방지]

 

Windows BitLocker 정리 및 하드디스크 암호화하는 방법

 

BitLocker

- Microsoft Windows 운영 체제의 특정 버전에 포함된 전체 디스크 암호화 기능

- 이 기능은 전체 디스크를 암호화하여 무단 액세스 및 데이터 도난으로부터 보호함으로써 컴퓨터 또는 기타 저장 장치의 데이터 보안을 강화하도록 설계되었다.

- 물리적 장치가 잘못된 사람의 손에 들어가더라도 적절한 인증 정보 없이는 데이터에 액세스할 수 없도록 보장한다.

 

 

BitLocker의 주요 측면과 기능

1. 전체 디스크 암호화

BitLocker는 컴퓨터의 시스템 드라이브와 같은 저장 장치의 전체 내용(일반적으로 C:\)을 암호화합니다. 여기에는 운영 체제, 시스템 파일 및 사용자 데이터가 포함되므로 포괄적인 보안 조치가 됩니다.

2. TPM 지원

TPM은 BitLocker에서 일반적으로 사용되는 하드웨어 기반 보안 기능으로 암호화 키를 보안 하드웨어 구성 요소에 저장하여 암호화 프로세스의 보안을 강화합니다. 투명한 암호화를 위해 TPM과 함께 작동하도록 BitLocker를 구성할 수 있습니다.

3. 그룹 정책 제어

Windows 환경에서 그룹 정책을 통해 BitLocker 설정을 관리하고 적용할 수 있으므로 관리자가 암호화 정책을 중앙 집중식으로 제어할 수 있습니다.

4. 이동식 드라이브 암호화

BitLocker는 시스템 드라이브를 암호화하는 것 외에도 USB 드라이브 및 외장 하드 드라이브와 같은 외장 스토리지 장치를 암호화하는 데 사용할 수 있으므로 이러한 장치를 분실하거나 도난 당했을 때 데이터를 보호할 수 있습니다.

5. 호환성

BitLocker를 지원하는 Windows 시스템에서 BitLocker 암호화 드라이브에 액세스할 수 있으므로 데이터 공유 및 복구가 가능합니다.

 

---

1. BitLocker 전역 설정

1.1) HDD 추가 장착

- Test를 위해, HDD를 추가 장착했다.

 

1.2) 로컬 그룹 정책 편집기 실행

- [실행] 을 입력하여 실행 도구를 실행한다. [gpedit.msc]를 입력하여, [로컬 그룹 정책 편집기] 를 실행하고 사진과 같이 설정한다.

 

1.2.1) 드라이브 암호화 방법 및 암호화 수준 선택

- [로컬 컴퓨터 정책] - [컴퓨터 구성] - [관리 템플릿] - [BitLocker 드라이브 암호화] 에서 [드라이브 암호화 방법 및 암호화 수준 선택(Window10 [버전 1511])을 더블 클릭하여 [사용]으로 변경한다. 자신의 운영체제의 버전에 맞게 지정하면 된다. 필자는 Window Server 2016에서 진행하고 있다. 암호화 방법은 기본값으로 지정했다.

 

 

1.2.2) 운영 체제 드라이브에 드라이브 암호화 종류 적용

- [로컬 컴퓨터 정책] - [컴퓨터 구성] - [관리 템플릿] - [BitLocker 드라이브 암호화] -[운영 체제 드라이브] 에서 [운영 체제 드라이브에 드라이브 암호화 종류 적용]을 더블 클릭하여 [사용]으로 변경한다. 전체 암호화를 지정한다. 도움말과 같이 BitLocker를 사용할 때 드라이브에서 데이터를 저장하는데 사용되는 부분만 암호화하려면 [사용한 공간만 암호화]를 선택한다.

 

 

1.2.3) 시작 시 추가 인증 요구

- [로컬 컴퓨터 정책] - [컴퓨터 구성] - [관리 템플릿] - [BitLocker 드라이브 암호화] -[운영 체제 드라이브] 에서 [시작 시 추가 인증 요구]을 더블 클릭하여 TPM을 구성할 수 있다. 현재는 TEST인 관계로 [호환 TPM이 없는 BitLocker 허용] 을 체크한다.

 

 

1.2.4) 고정 데이터 드라이브에 드라이브 암호화 종류 적용

- [로컬 컴퓨터 정책] - [컴퓨터 구성] - [관리 템플릿] - [BitLocker 드라이브 암호화] -[고정 데이터 브라이브] 에서 [고정 데이터 브라이브에 드라이브 암호화 종류 적용]을 더블 클릭하여 [사용]으로 변경한다. 전체 암호화를 지정한다.

 

 

 

1.2.5) 이동식 데이터 드라이브에 드라이브 암호화 종류 적용

- [로컬 컴퓨터 정책] - [컴퓨터 구성] - [관리 템플릿] - [BitLocker 드라이브 암호화] -[이동식 데이터 브라이브] 에서 [이동식 데이터 브라이브에 드라이브 암호화 종류 적용]을 더블 클릭하여 [사용]으로 변경한다. 전체 암호화를 지정한다.

- 여기까지 설정이 되었으면 재부팅으로 적용한다.

 

 

 

2. BitLocker 드라이브 암호화

2.1) 암호 설정

- 재부팅 후, 제어판으로 이동하면 다음과 같이 [BitLocker 드라이브 암호화] 라는 항목이 추가되었다. 더블 클릭으로 진입한다.

 

 

- 그러면 하단에 운영 체제 드라이브와 윗 단계에서 추가한 HDD가 보인다. 추가한 HDD를 선택하고 암호를 입력한다. 

 

 

 

 

- 복구를 위한 키를 파일로 저장해둔다. 이 키가 없으면, HDD를 열 수 없다. 

 

- 암호화 설정이 최종 완료되었다.

 

- 키 파일을 열어보면 다음과 같은 복구 키가 보인다. 이 파일은 따로 저장을 해둔다.

 

2.2) BitLocker 기능 확인

- 재부팅하고 BitLocker가 적용된 HDD로 접속하면, 암호를 입력하라는 안내창이 출력된다. 위에서 설정한 암호를 입력하면, 자물쇠 모양의 아이콘이 열리면서 접속이 가능하다.

 

 

 

 

3. BitLocker 드라이브 복원

3.1) 도난 사태

- 위의 HDD를 도난당했다는 가정이다. 도둑은 자신이 훔쳐온 HDD가 BitLocker가 적용된 것인지는 꿈에도 모를 것이다. HDD를 장착한 뒤, [컴퓨터 관리]에서 설정하면 [BitLocker로 암호화됨] 이라는 문구와 함께 아무리 더블 클릭을 해도 아무런 변화가 없다. 재부팅 한 뒤에 잠금을 해제하려면 암호를 입력하라고 하며, 복구 키를 입력할 수 있도록 옵션도 제공한다. 위에서 저장한 복구 키 파일이 필요한 시점이다.

---