Dell Encryption Enterprise BitLocker Manager에 대한 Dell 권장 정책
Summary: Dell Encryption Enterprise BitLocker Manager(이전 Dell Data Protection | BitLocker Manager)는 일반적으로 BitLocker라고 하는 Microsoft의 통합 전체 볼륨 암호화 프로토콜을 활용하여 보호 및 보안을 제공합니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
영향을 받는 제품:
- Dell Encryption Enterprise BitLocker Manager
- Dell Data Protection | BitLocker Manager
이러한 제품은 전체 볼륨 암호화 메커니즘과 함께 운영 체제를 보호하기 위한 여러 시나리오를 제공하며, 공격으로부터 부팅 주기를 보호해줍니다.
Dell은 BitLocker로 보호되는 디바이스를 관리할 수 있는 단일 인터페이스와 함께, 이러한 디바이스의 보호에 대해 보고할 수 있는 광범위한 기능을 제공합니다.
참고: 환경의 현재 보호 상태를 보려면 Dell Encryption(이전 Dell Data Protection | Encryption) 콘솔에서 사용할 수 있습니다.
BitLocker 암호화 정책을 Dell 권장으로 설정하는 방법:
- Enterprise로 이동합니다.
- BitLocker Encryption을 클릭합니다.
- 모든 설정을 보려면 Show advanced settings를 클릭합니다.
권장 설정은 다음과 같습니다.
참고: 이 문서는 2019년 11월에 마지막으로 업데이트되었습니다. 정책은 Dell Security Management Server v10.2.9용입니다.
| 정책 | Dell 권장 설정 | 정책 설명 |
|---|---|---|
| BitLocker Encryption | 켜짐 | BitLocker Manager 플러그인을 활성화 및 비활성화합니다(이 플러그인은 모든 Dell BitLocker Manager 정책이 올바르게 적용되는 데 필요함). |
| TPM Manager Enabled | 켜짐 | TPM 관리 플러그인을 활성화 및 비활성화합니다(이 플러그인은 TPM이 "On" 상태지만 올바르게 활성화되지 않은 경우 TPM을 활성화함) |
| Disable Sleep Mode | 꺼짐 | 활성화하면 암호화 중에 디바이스가 절전 상태로 전환되지 않습니다. |
| Encrypt System Drive | Turn On Encryption | Do Not Manage로 설정하면 디바이스의 로컬 관리자가 BitLocker를 수정할 수 있습니다. 이를 Turn On Encryption 으로 설정하면 볼륨이 강제 암호화되어 로컬 관리자가 수정할 수 없습니다. 이를 Turn Off Encryption 으로 설정하면 볼륨의 암호 해독이 강제 실행되며 로컬 관리자는 이를 수정할 수 없습니다. |
| Encrypt Fixed Drives | Do Not Manage | Do Not Manage로 설정하면 디바이스의 로컬 관리자가 BitLocker를 수정할 수 있습니다. 이를 Turn On Encryption 으로 설정하면 볼륨이 강제 암호화되어 로컬 관리자가 수정할 수 없습니다. 이를 Turn Off Encryption 으로 설정하면 볼륨의 암호 해독이 강제 실행되며 로컬 관리자는 이를 수정할 수 없습니다. |
| Encrypt Removable Drives | Do Not Manage | Do Not Manage로 설정하면 디바이스의 로컬 관리자가 BitLocker를 수정할 수 있습니다. 이를 Turn On Encryption 으로 설정하면 볼륨이 강제 암호화되어 로컬 관리자가 수정할 수 없습니다. 이를 Turn Off Encryption 으로 설정하면 볼륨의 암호 해독이 강제 실행되며 로컬 관리자는 이를 수정할 수 없습니다. |
| Require other Authentication at System Startup | Enabled | 이 속성으로 다음 5개 정책이 활성화되며 관리 엔드포인트에서 정의된 보호기를 활성화할 수 있게 됩니다. |
| Allow BitLocker Encryption Without a Compatible TPM | Enabled | 활성화하면 이전 TPM 모델이 지원되며 TPM이 없는 디바이스에서 USB에 BitLocker 키를 에스크로할 수 있게 됩니다. |
| Configure TPM Startup | 필수 | Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Do Not Allow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없는 옵션이 됩니다. |
| Configure TPM Startup PIN | Do Not Allow | Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Do Not Allow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없는 옵션이 됩니다. |
| Configure TPM Startup Key | Do Not Allow | Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Do Not Allow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없는 옵션이 됩니다. |
| Configure TPM Startup Key and PIN | Do Not Allow | Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Do Not Allow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없는 옵션이 됩니다. |
| Disable BitLocker on Self-Encrypting Drives | Disabled | Enable로 설정한 경우 SED(Self-Encrypting Drive)가 감지되면 BitLocker가 엔드포인트를 보호하지 않습니다. 이 정책을 Disabled로 설정하면 디스크 기능에 관계없이 BitLocker가 엔드포인트를 보호할 수 있습니다. |
| 정책 | Dell 권장 설정 | 정책 설명 |
|---|---|---|
| 고정 데이터 볼륨 설정 | ||
| Configure the Use of Smart Cards on Fixed Data Drives | Disallow | 이 정책은 "Encrypt Fixed Disks"가 "Turn On Encryption"으로 설정된 경우 고정(운영 체제 이외 볼륨) 디스크를 보호하기 위한 옵션을 표시합니다. Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Disallow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없는 옵션이 됩니다. |
| Deny Write Access to Fixed Drives Not Protected by BitLocker | Disabled | 이 정책 설정으로 컴퓨터에서 고정 데이터 드라이브에 쓰기를 할 수 있도록 하는 데 BitLocker 보호가 필요한지 여부를 설정할 수 있습니다. Disabled로 설정하면 컴퓨터의 모든 고정 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 마운트됩니다. Enabled로 설정하면 사용자가 암호화되지 않은 고정 데이터 드라이브에 데이터를 저장하려고 할 때 "액세스 거부됨" 오류 메시지가 표시됩니다. Enabled for Organization으로 설정하면 정책 내에서 조직 식별자가 설정된 디바이스를 사용하는 사용자만 암호화되지 않은 고정 데이터 드라이브에 데이터를 저장하려고 할 때 "액세스 거부됨" 오류 메시지가 표시됩니다. 다른 모든 디바이스는 컴퓨터의 모든 고정 데이터 드라이브가 읽기 및 쓰기 액세스 권한으로 마운트됩니다. |
| Allow Access to BitLocker Protected Fixed Data Drives from Earlier Versions of Windows | Enabled | Enabled로 설정하면 Windows Server 2008, Windows Vista, Windows XP SP3 또는 Windows XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템으로 포맷된 데이터 드라이브를 잠금 해제하고 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제에서는 BitLocker 보호 드라이브에 읽기 전용으로 액세스할 수 있습니다. Disabled로 설정하면 이전 버전의 Windows를 실행하는 컴퓨터에서 FAT 파일 시스템으로 포맷된 데이터 드라이브를 잠금 해제할 수 없습니다. |
| Do Not Install BitLocker to Go Reader on FAT formatted Fixed Drives | Disabled | 이를 선택하면 BitLocker To Go 판독기가 설치되지 않으며 이전 버전의 Windows를 실행하는 디바이스를 사용하는 사용자가 BitLocker 보호 드라이브에 액세스하지 못하게 됩니다. |
| Configure Use of Passwords for Fixed Data Drives | Allow | 이 정책은 "Encrypt Fixed Disks"가 "Turn On Encryption"으로 설정된 경우 고정(운영 체제 이외 볼륨) 디스크를 보호하기 위한 옵션을 표시합니다. Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Disallow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없는 옵션이 됩니다. |
| Configure Password Complexity for Fixed Data Drives | Require | Required로 설정하면 BitLocker가 활성화된 경우 비밀번호 복잡성을 확인하기 위해 도메인 컨트롤러에 연결해야 합니다. Allow로 설정하면 복잡성이 정책에서 정한 규칙을 따르는지 확인하기 위해 도메인 컨트롤러 연결을 시도합니다. 하지만 도메인 컨트롤러를 찾을 수 없으면 비밀번호 복잡성에 관계없이 비밀번호가 허용되며 드라이브가 해당 비밀번호를 보호기로 사용하여 암호화됩니다. Do Not Allow로 설정하면 비밀번호 복잡성 유효성 검사가 수행되지 않습니다. |
| Minimum Password Length for Fixed Data Drives | 8 | BitLocker로 보호되는 고정 디스크 볼륨의 최소 암호 길이를 설정합니다(이 설정을 설정하려면 고정 데이터 드라이브에 대한 암호 사용 구성 이 필요 또는 허용으로 설정되어 있어야 함 ). |
| Encryption Type for Fixed Data Drives | Full Encryption | 이 정책은 고정 데이터 드라이브에서 Used Space Only 암호화 또는 Full encryption 중 무엇을 사용할지를 제어합니다. Used Space Only 는 BitLocker가 보호하는 가상 머신에 필요합니다. |
| Choose How BitLocker-protected Fixed Drives Can be Recovered | Disabled | 아래 7개 정책의 상위 정책입니다. Enabled인 경우 추가 복구 옵션을 구성할 수 있습니다. Disabled인 경우 Dell Security Management Server 또는 Dell Security Management Server Virtual을 통해서만 복구 옵션이 제공됩니다. |
| Allow Data Recovery Agent for Protected Fixed Data Drives | Disabled | 정책 Choose How BitLocker-protected Fixed Drives Can be Recovered의 하위 정책입니다. Allow data recovery agent 확인란을 사용하여 BitLocker 보호 드라이브에서 데이터 복구 에이전트를 사용할 것인지 지정합니다. 데이터 복구 에이전트를 사용하려면 공개 키 정책에서 추가해야 합니다. 이는 GPMC(Group Policy Management Console) 또는 로컬 그룹 정책 편집기에 있습니다. 데이터 복구 에이전트를 사용하여 BitLocker 보호 디바이스를 복구하는 방법에 대한 자세한 내용은 https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/를 참조하십시오.  |
| Configure User Storage of BitLocker 48-digit Recovery Password | Allow | 정책 Choose How BitLocker-protected Fixed Drives Can be Recovered의 하위 정책입니다. Required로 설정하면 BitLocker 복구 정보가 강제 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Allow로 설정하면 BitLocker 복구 정보가 자동 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Do Not Allow로 설정하면 BitLocker 복구 정보가 생성되지 않습니다.
참고: Do Not Allow로 설정하면 BitLocker 보호 컴퓨터의 복구를 수행하지 못할 수 있습니다.
|
| Configure User Storage of BitLocker 256-bit Recovery Key | Allow | 정책 Choose How BitLocker-protected Fixed Drives Can be Recovered의 하위 정책입니다. Required로 설정하면 BitLocker 복구 정보가 강제 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Allow로 설정하면 BitLocker 복구 정보가 자동 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Do Not Allow로 설정하면 BitLocker 복구 정보가 생성되지 않습니다.
참고: Do Not Allow로 설정하면 BitLocker 보호 컴퓨터의 복구를 수행하지 못할 수 있습니다.
|
| Omit Recovery Options from the BitLocker Setup Wizard | Disabled | 정책 Choose How BitLocker-protected Fixed Drives Can be Recovered의 하위 정책입니다. 드라이브에서 BitLocker를 활성화한 사용자가 복구 옵션을 지정하지 못하도록 하려면 Omit recovery options from the BitLocker setup wizard를 선택합니다. Enabled인 경우 정책 설정에 따라 BitLocker 복구 옵션이 결정됩니다. |
| Save BitLocker Recovery Information to AD DS for Fixed Data Drives | Enabled | 정책 Choose How BitLocker-protected Fixed Drives Can be Recovered의 하위 정책입니다. 아래 두 정책의 상위 정책이기도 합니다. Save BitLocker recovery information to Active Directory Domain Services로 설정하면 AD DS(Active Directory Domain Services)에 어떤 BitLocker 복구 정보를 저장할지 선택하게 됩니다. |
| BitLocker Recovery Information to Store in AD DS | Recovery Passwords and Key Packages | 정책 Choose How BitLocker-protected Fixed Drives Can be Recovered 및 Save BitLocker Recovery Information to AD DS for Fixed Data Drives의 하위 정책입니다. Recovery password and key packages를 선택하면 BitLocker 복구 비밀번호 및 키 패키지가 AD DS에 저장됩니다. 키 패키지를 저장하는 경우 물리적으로 손상된 드라이브에서 데이터를 복구하는 기능이 지원됩니다. Recovery password only를 선택하면 복구 비밀번호만 AD DS에 저장됩니다. |
| Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Fixed Data Drives | Disabled | 정책 Choose How BitLocker-protected Fixed Drives Can be Recovered 및 Save BitLocker Recovery Information to AD DS for Fixed Data Drives의 하위 정책입니다. 컴퓨터가 도메인에 연결되어 있지 않고 BitLocker 복구 정보를 AD DS에 백업하지 못한 경우에 사용자가 BitLocker를 활성화하지 못하도록 하려면 Do not enable BitLocker until recovery information is stored in AD DS for fixed drives 확인란을 선택합니다. |
| Configure Use of Hardware-Based Encryption for Fixed Data Drives | Enabled | 아래 4개 정책의 상위 정책입니다. 이 정책은 고정 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/
|
| Use Hardware-Based Encryption for Fixed Data Drives | Enabled | 정책 Configure Use of Hardware-Based Encryption for Fixed Data Drives의 하위 정책입니다. 이 정책은 고정 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/
|
| 하드웨어 암호화를 사용할 수 없는 경우 고정 데이터 드라이브에서 BitLocker 소프트웨어 기반 암호화를 사용합니다. | Enabled | 정책 Configure Use of Hardware-Based Encryption for Fixed Data Drives의 하위 정책입니다. 이 정책은 고정 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/
|
| Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Fixed Data Drives | Disabled | 정책 Configure Use of Hardware-Based Encryption for Fixed Data Drives의 하위 정책입니다. Restrict encryption algorithms and cipher suites allowed for hardware-based encryption 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리듬을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리듬을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 비활성화합니다. |
| Configure Specific Crypto Algorithms and Cipher Suites Settings on Fixed Data Drives | 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 | 정책 Configure Use of Hardware-Based Encryption for Fixed Data Drives의 하위 정책입니다. 암호화 알고리듬은 OID(Object Identifier)로 지정되어 있으며 쉼표로 구분됩니다. 암호화 암호의 예시 OID는 다음과 같습니다.
|
| 전역 설정 | ||
| Default Folder Location to Save Recovery Password | (공백) | 설정하면 사용자가 복구 비밀번호를 폴더에 저장하는 옵션을 선택한 경우 기본 폴더 위치로 사용되는 경로를 지정하게 됩니다. 정규화된 경로 또는 경로에 타겟 컴퓨터의 환경 변수를 포함하는 옵션을 활용할 수 있습니다. 경로가 유효하지 않으면 BitLocker 설치 마법사가 컴퓨터의 최상위 폴더 보기를 표시합니다. |
| Encryption Method and Cipher Strength | AES256 with Diffuser |
참고: 이 정책은 암호화된 드라이브에 적용되지 않습니다. 암호화된 드라이브는 자체 알고리듬을 사용하며, 이는 해당 드라이브가 파티셔닝 중에 설정합니다.
|
| Enable Organizational Unique Identifiers | Disabled | 아래 2개 정책의 상위 정책입니다. Enabled인 경우 BitLocker 보호 드라이브의 식별 필드 및 조직에서 사용하는 허용된 식별 필드를 모두 구성할 수 있습니다. 이러한 식별자는 식별 필드 및 허용된 식별 필드로 저장됩니다. 식별 필드를 사용하면 고유한 조직 식별자를 BitLocker 보호 드라이브에 연결할 수 있습니다. 이 식별자는 새로운 BitLocker 보호 드라이브에 자동으로 추가되며 기존 BitLocker 보호 드라이브에서는 manage-bde 명령줄 툴을 사용하여 업데이트할 수 있습니다. 식별 필드는 BitLocker 보호 드라이브에서 인증서 기반 데이터 복구 에이전트를 관리하고 BitLocker to Go 판독기의 향후 업데이트를 수행하는 데 필요합니다. BitLocker는 드라이브의 식별 필드가 해당 식별 필드에 구성된 값과 일치하는 경우에만 데이터 복구 에이전트를 관리하고 업데이트합니다. 마찬가지로 BitLocker는 드라이브의 식별 필드가 해당 식별 필드에 구성된 값과 일치하는 경우에만 BitLocker To Go 판독기를 관리하고 업데이트합니다.
참고: Enable Organizational Unique Identifiers를 Deny write access to removable drives not protected by BitLocker 정책 설정과 함께 사용하면 조직에서 이동식 드라이브 사용을 제어할 수 있습니다.
|
| Set Organizational Unique Identifiers | (공백) | 정책 Enable Organizational Unique Identifiers의 하위 정책입니다. 디바이스에 고유 식별자를 설정하기 위한 영숫자 값으로 이를 통해 회사에서 디바이스를 관리할 수 있습니다. 이 식별자는 새로운 BitLocker 보호 드라이브에 자동으로 추가되며 기존 BitLocker 보호 드라이브에서는 manage-bde 명령줄 툴을 사용하여 업데이트할 수 있습니다. |
| Set Allowed Organizational Unique Identifiers | (공백) | 정책 Enable Organizational Unique Identifiers의 하위 정책입니다. 디바이스에 고유 식별자를 설정하기 위한 영숫자 값으로 이를 통해 회사에서 디바이스를 관리할 수 있습니다. 이 식별자는 새로운 BitLocker 보호 드라이브에 자동으로 추가되며 기존 BitLocker 보호 드라이브에서는 manage-bde 명령줄 툴을 사용하여 업데이트할 수 있습니다.
참고: 복구 중에 문제가 발생하지 않도록 정책 Set Allowed Organizational Unique Identifiers와 Set Organizational Unique Identifiers가 일치하는 것이 좋습니다.
|
| Prevent Memory Overwrite on Restart | Disabled | Disabled인 경우 BitLocker 비밀이 메모리에서 지워집니다. Enabled인 경우 BitLocker 비밀이 메모리에 남아 있어 성능이 향상될 수 있지만, BitLocker 비밀이 추가적인 위험에 노출됩니다. |
| Enable Smart Card Certificate Identifier | Disabled | Enabled인 경우 인증서의 Object identifier 설정에 지정된 개체 식별자가 정책 Smart Card Certificate Identifier의 개체 식별자와 일치해야 합니다. |
| Smart Card Certificate Identifier | 1.3.6.1.4.1.311.67.1.1 | 개체 식별자는 인증서의 EKU(Enhanced Key Usage)에 지정되어 있습니다. BitLocker는 인증서의 개체 식별자를 이 정책 설정의 개체 식별자와 일치시켜 BitLocker 보호 드라이브에 대한 사용자 인증서를 인증하는 데 사용할 인증서를 식별할 수 있습니다. 기본 개체 식별자는 1.3.6.1.4.1.311.67.1.1입니다. |
| 운영 체제 볼륨 설정 | ||
| Allow Enhanced PINs for Startup. | Disabled | 향상된 시작 PIN을 허용하면 대소문자, 기호, 숫자 및 공백을 포함한 문자를 사용할 수 있습니다.
참고: 일부 컴퓨터는 부팅 전 환경에서 향상된 PIN 문자를 지원하지 않습니다.
|
| Number of Characters Required in PIN | 6 | 부팅 전 환경에서 요구하는 최소 문자 수를 정의합니다.
참고: Windows 10 버전 1703부터 BitLocker PIN 최소 길이가 6자로 늘어났습니다.
|
| Allow Network Unlock at Startup on Operating System Drives | Disabled | 이 정책은 BitLocker의 네트워크 잠금 해제 기능의 일부 동작을 제어합니다. 이 정책은 BitLocker를 실행하는 클라이언트가 암호화 중에 필요한 네트워크 키 보호기를 만들 수 있게 해주므로, 네트워크에서 BitLocker 네트워크 잠금 해제를 활성화하는 데 필요합니다. 네트워크 잠금 해제 활성화에 대한 자세한 내용은 https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock 을 참조하십시오. |
| Allow SecureBoot on Operating System Drives | Enabled | 보안 부팅 기능에서 BitLocker 활성화 컴퓨터 볼륨을 처리하는 방법을 제어합니다. 이 기능을 활성화하면 부팅 프로세스 중에 보안 부팅 유효성 검사가 강제 실행되고 보안 부팅 정책에 따라 BCD(Boot Configuration Data) 설정을 확인합니다. |
| Disallow Standard Users from Changing the PIN on Operating System Drives | Disabled | 이 정책 설정을 사용하면 표준 사용자가 운영 체제 드라이브를 보호하는 데 사용되는 PIN 또는 비밀번호를 변경할 수 있도록 허용할지를 구성할 수 있습니다. Enabled인 경우 로컬 관리자 권한이 없는 사용자가 엔드포인트에서 PIN을 수정할 수 없습니다. Disabled인 경우 엔드포인트의 모든 사용자가 부팅 전 PIN을 수정할 수 있습니다. |
| Enable Use of Preboot Keyboard Input on Slates | Enabled | Enabled인 경우 플랫폼에 부팅 전 입력 기능이 없어도 부팅 전 환경에서 사용자 입력을 요구하는 인증 옵션을 사용자가 활성화할 수 있습니다. |
| Reset Platform Validation Data After Recovery | Enabled | Enabled인 경우 BitLocker 복구 후 Windows가 시작될 때 플랫폼 유효성 검사 데이터가 새로 고쳐집니다. Disabled인 경우 BitLocker 복구 후 플랫폼 유효성 검사 데이터가 새로 고쳐지지 않습니다. 이렇게 설정하면 플랫폼의 기본 구성이 변경된 경우 부팅할 때마다 복구가 발생할 수 있습니다. |
| Choose How BitLocker-protected Operating System Drives Can be Recovered | Disabled | 아래 7개 정책의 상위 정책입니다. Enabled인 경우 추가 복구 옵션을 구성할 수 있습니다. Disabled인 경우 Dell Security Management Server 또는 Dell Security Management Server Virtual을 통해서만 복구 옵션이 제공됩니다. |
| Allow Data Recovery Agent for Protected Operating System Drives | Enabled | 정책 Choose How BitLocker-protected Operating System Drives Can be Recovered의 하위 정책입니다. Allow data recovery agent 확인란을 사용하여 BitLocker 보호 운영 체제 드라이브에서 데이터 복구 에이전트를 사용할 것인지 지정합니다. 데이터 복구 에이전트를 사용하려면 공개 키 정책에서 추가해야 합니다. 이는 GPMC(Group Policy Management Console) 또는 로컬 그룹 정책 편집기에 있습니다. 데이터 복구 에이전트를 사용하여 BitLocker로 보호되는 디바이스를 복구하는 방법에 대한 자세한 내용은 다음을 참조하십시오. https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ |
| Configure User Storage of BitLocker 48-digit Recovery Password | Allow | 정책 Choose How BitLocker-protected Operating System Drives Can be Recovered의 하위 정책입니다. Required로 설정하면 BitLocker 복구 정보가 강제 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Allow로 설정하면 BitLocker 복구 정보가 자동 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Do Not Allow로 설정하면 BitLocker 복구 정보가 생성되지 않습니다.
참고: Do Not Allow로 설정하면 BitLocker 보호 컴퓨터의 복구를 수행하지 못할 수 있습니다.
|
| Configure User Storage of BitLocker 256-bit Recovery Key | Allow | 정책 Choose How BitLocker-protected Operating System Drives Can be Recovered의 하위 정책입니다. Required로 설정하면 BitLocker 복구 정보가 강제 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Allow로 설정하면 BitLocker 복구 정보가 자동 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Do Not Allow로 설정하면 BitLocker 복구 정보가 생성되지 않습니다.
참고: Do Not Allow로 설정하면 BitLocker 보호 컴퓨터의 복구를 수행하지 못할 수 있습니다.
|
| Omit Recovery Options from the BitLocker Setup Wizard | Disabled | 정책 Choose How BitLocker-protected Operating System Drives Can be Recovered의 하위 정책입니다. 드라이브에서 BitLocker를 활성화한 사용자가 복구 옵션을 지정하지 못하도록 하려면 Omit recovery options from the BitLocker setup wizard를 선택합니다. Enabled인 경우 정책 설정에 따라 드라이브에 대한 BitLocker 복구 옵션이 결정됩니다. |
| Save BitLocker Recovery Information to AD DS for Operating System Drives | Enabled | 정책 Choose How BitLocker-protected Operating System Drives Can be Recovered의 하위 정책입니다. 아래 두 정책의 상위 정책이기도 합니다. Save BitLocker recovery information to Active Directory Domain Services로 설정하면 AD DS(Active Directory Domain Services)에 어떤 BitLocker 복구 정보를 저장할지 선택하게 됩니다. |
| BitLocker Recovery Information to Store in AD DS(Windows Server 2008 Only) | Recovery Password and Key Packages | 정책 Choose How BitLocker-protected Operating System Drives Can be Recovered 및 Save BitLocker Recovery Information to AD DS for Operating System Data Drives의 하위 정책입니다. Recovery password and key packages를 선택하면 BitLocker 복구 비밀번호 및 키 패키지가 AD DS에 저장됩니다. 키 패키지를 저장하는 경우 물리적으로 손상된 드라이브에서 데이터를 복구하는 기능이 지원됩니다. Recovery password only를 선택하면 복구 비밀번호만 AD DS에 저장됩니다. |
| Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Operating System Drives | Disabled | 정책 Choose How BitLocker-protected Operating System Drives Can be Recovered 및 Save BitLocker Recovery Information to AD DS for Operating System Data Drives의 하위 정책입니다. 컴퓨터가 도메인에 연결되어 있지 않고 BitLocker 복구 정보를 AD DS에 백업하지 못한 경우에 사용자가 BitLocker를 활성화하지 못하도록 하려면 Do not enable BitLocker until recovery information is stored in AD DS for operating system drives 확인란을 선택합니다. |
| Configure Use of Hardware-Based Encryption for Operating System Drives | Enabled | 아래 4개 정책의 상위 정책입니다. 이 정책은 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.
이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/ |
| Use Hardware-Based Encryption for Operating System Drives | Enabled | 정책 Configure Use of Hardware-Based Encryption for Operating System Data Drives의 하위 정책입니다. 이 정책은 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.
이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/ |
| 하드웨어 암호화를 사용할 수 없는 경우 운영 체제 드라이브에서 BitLocker 소프트웨어 기반 암호화를 사용합니다. | Enabled | 정책 Configure Use of Hardware-Based Encryption for Operating System Data Drives의 하위 정책입니다. 이 정책은 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다.
이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/ |
| Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Operating System Drives | Disabled | 정책 Configure Use of Hardware-Based Encryption for Operating System Data Drives의 하위 정책입니다. Restrict encryption algorithms and cipher suites allowed for hardware-based encryption 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리듬을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리듬을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 비활성화합니다. |
| Configure Specific Crypto Algorithms and Cipher Suites Settings on Operating System Drives | 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 | 정책 Configure Use of Hardware-Based Encryption for Operating System Data Drives의 하위 정책입니다. 암호화 알고리듬은 OID(Object Identifier)로 지정되고 쉼표 로 구분됩니다. 암호화 암호의 OID 예:
|
| Encryption Type for Operating System Drives | Full Encryption | 이 정책은 데이터 드라이브에서 Used Space Only 암호화 또는 Full encryption 중 무엇을 사용할지를 제어합니다. BitLocker가 보호하는 가상 시스템에는 Used Space Only가 요구됩니다. |
| Configure Use of Passwords for Operating System Drives | Not Configured | 이 정책은 TPM이 없는 컴퓨터에서 비밀번호 보호기를 사용하는 방법을 제어합니다. 이 정책은 Configure Password Complexity for Operating System Drives 정책과 함께 관리자가 비밀번호 보호기 사용을 위한 비밀번호 길이와 복잡성을 요구할 수 있게 해줍니다. 기본적으로 비밀번호는 8자여야 합니다. Enabled인 경우 사용자가 정의한 요구 사항을 충족하는 비밀번호를 구성할 수 있습니다. Not Configured 또는 Disabled인 경우 운영 체제 드라이브 암호에 기본 길이 제한 8자가 적용되며 복잡성 검사가 수행되지 않습니다.
참고: FIPS 규정 준수가 활성화된 경우 비밀번호를 사용할 수 없습니다.
|
| Configure Password Complexity for Operating System Drives | Require | Required로 설정하면 BitLocker가 활성화된 경우 비밀번호 복잡성을 확인하기 위해 도메인 컨트롤러에 연결해야 합니다. Allow로 설정하면 복잡성이 정책에서 정한 규칙을 따르는지 확인하기 위해 도메인 컨트롤러 연결을 시도합니다. 하지만 도메인 컨트롤러를 찾을 수 없으면 비밀번호 복잡성에 관계없이 비밀번호가 허용되며 드라이브가 해당 비밀번호를 보호기로 사용하여 암호화됩니다. Do Not Allow로 설정하면 비밀번호 복잡성 유효성 검사가 수행되지 않습니다. |
| Minimum Password Length for Operating System Drives | 8 | BitLocker 보호 드라이브의 최소 비밀번호 길이를 설정합니다.
참고: 이 설정은 드라이브를 잠금 해제할 때가 아니라 BitLocker를 켤 때 적용됩니다. BitLocker를 사용하면 드라이브에서 사용 가능한 보호기로 드라이브를 잠금 해제할 수 있습니다.
|
| Require ASCII-Only Passwords for Operating System Drives | Disabled | Enabled인 경우 운영 체제 드라이브의 비밀번호 프롬프트에서 유니코드 문자가 허용되지 않습니다. Disabled인 경우 모든 문자가 허용됩니다. |
| Use Enhanced Boot Configuration Data Profile | 구성되지 않음(이 정책을 '구성되지 않음' 이외의 값으로 변경하면 Windows 10에서 Hyper-V 기능이 활성화된 경우 복구 프롬프트가 표시될 수 있음). | 아래 2개 정책의 상위 정책입니다. 이 정책 설정은 플랫폼 유효성 검사 중에 확인할 특정 BCD(Boot Configuration Data) 설정을 결정합니다. 플랫폼 유효성 검사 시 플랫폼 유효성 검사 프로파일의 데이터를 사용하는데, 이는 0에서 23 사이의 PCR(Platform Configuration Register) 인덱스로 구성되어 있습니다.
참고: BitLocker가 플랫폼 및 부팅 구성 데이터 무결성 유효성 검사에 보안 부팅을 사용하는 경우 Use enhanced Boot Configuration Data Profile 그룹 정책 설정은 무시됩니다.
|
| 다른 BCD 설정 확인 | (공백) | Use Enhanced Boot Configuration Data Profile의 하위 정책입니다. BCD 설정 맞춤 구성에 대한 자세한 내용은 https://docs.microsoft.com/ko-kr/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker를 참조하십시오.
참고: 부팅 디버깅(0x16000010)을 제어하는 설정은 항상 확인하며, 설정이 포함 또는 제외 목록에 있으면 아무런 영향을 주지 않습니다.
|
| 다른 BCD 설정 제외 | (공백) | Use Enhanced Boot Configuration Data Profile의 하위 정책입니다. BCD 설정 맞춤 구성에 대한 자세한 내용은 https://docs.microsoft.com/ko-kr/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker를 참조하십시오.
참고: 부팅 디버깅(0x16000010)을 제어하는 설정은 항상 확인하며, 설정이 포함 또는 제외 목록에 있으면 아무런 영향을 주지 않습니다.
|
| Configure TPM Platform Validation Profile | Disabled | Configure Specific TPM Platform Settings의 상위 정책입니다. Enabled인 경우 이 정책 설정은 Windows Vista, Windows Server 2008 또는 Windows 7을 실행하는 컴퓨터에서 드라이브를 잠금 해제하기 전에 초기 부팅 구성 요소를 확인할 때 TPM에서 측정할 값을 결정합니다. |
| Configure Specific TPM Platform Settings | 다르게 요구되지 않는 한 Dell Technologies에서는 Microsoft의 현재 기본 PCR을 사용할 것을 권장합니다. | Configure TPM Platform Validation Profile의 하위 정책입니다. 플랫폼 유효성 검사 프로파일은 0에서 23 범위의 PCR 인덱스로 구성되어 있습니다. 기본 플랫폼 유효성 검사 프로파일은 다음이 변경되는 경우에 대비해 암호화 키를 보호합니다.
|
| Configure BIOS TPM Platform Validation Profile | Disabled | Configure Specific BIOS TPM Platform Settings의 상위 정책입니다. Enabled로 설정하면 이 정책 설정은 BIOS 구성 또는 CSM(Compatibility Support Module)이 활성화된 UEFI 펌웨어가 설치된 컴퓨터에서 운영 체제 드라이브를 잠금 해제하기 전에 초기 부팅 구성 요소를 확인할 때 TPM에서 측정할 값을 결정합니다. |
| Configure Specific BIOS TPM Platform Settings | 다르게 요구되지 않는 한 Dell Technologies에서는 Microsoft의 현재 기본 PCR을 사용할 것을 권장합니다. | Configure TPM Platform Validation Profile의 하위 정책입니다. 플랫폼 유효성 검사 프로파일은 0에서 23 범위의 PCR 인덱스로 구성되어 있습니다. 기본 플랫폼 유효성 검사 프로파일은 다음이 변경되는 경우에 대비해 암호화 키를 보호합니다.
|
| Configure UEFI TPM Platform Validation Profile | Disabled | Configure Specific UEFI TPM Platform Settings의 상위 정책입니다. Enabled로 설정하면 이 정책 설정은 기본 UEFI 펌웨어 구성이 설치된 컴퓨터에서 운영 체제 드라이브를 잠금 해제하기 전에 초기 부팅 구성 요소를 확인할 때 TPM에서 측정할 값을 결정합니다. |
| Configure Specific UEFI TPM Platform Settings | 다르게 요구되지 않는 한 Dell Technologies에서는 Microsoft의 현재 기본 PCR을 사용할 것을 권장합니다. | Configure TPM Platform Validation Profile의 하위 정책입니다. 플랫폼 유효성 검사 프로파일은 0에서 23 범위의 PCR 인덱스로 구성되어 있습니다. 기본 플랫폼 유효성 검사 프로파일은 다음이 변경되는 경우에 대비해 암호화 키를 보호합니다.
|
| 이동식 스토리지 설정 | ||
| Allow User to Apply BitLocker Protection on Removable Drives | Enabled | Enabled인 경우 사용자가 BitLocker를 활성화하여 이동식 드라이브를 보호할 수 있습니다. Disabled인 경우 Encrypt Removable Drives 정책에서 BitLocker가 이동식 드라이브를 보호하는 시기를 제어합니다. |
| Allow User to Suspend and Decrypt BitLocker Protection on Removable Data Drives | Enabled | Enabled인 경우 사용자가 유지 보수를 수행하는 동안 드라이브에서 BitLocker를 제거하거나 암호화를 일시 중단할 수 있습니다. Disabled인 경우 Encrypt Removable Drives 정책에서 BitLocker가 이동식 드라이브를 보호하는 시기를 제어합니다. |
| Configure Use of Smart Cards on Removable Data Drives | Disallow | Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Do Not Allow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없습니다. |
| Deny Write Access to Removable Drives Not Protected by BitLocker | Disabled | 이 정책 설정은 쓰기 액세스 권한을 부여하기 전에 이동식 드라이브를 암호화하도록 요구하고 다른 조직에서 구성된 BitLocker 보호 이동식 드라이브를 쓰기 권한으로 열 수 있는지 여부를 제어하는 데 사용됩니다. Enabled인 경우 BitLocker로 보호되지 않는 디바이스는 데이터를 읽을 수는 있지만 디스크에 데이터를 쓸 수 없습니다. Disabled인 경우 BitLocker로 보호되지 않는 디바이스에서 데이터를 읽고 쓸 수 있습니다. |
| Allow Access to BitLocker Protected Removable Data Drives from Earlier Versions of Windows | Enabled | Enabled로 설정하면 Windows Server 2008, Windows Vista, Windows XP SP3 또는 Windows XP SP2를 실행하는 컴퓨터에서 FAT 파일 시스템으로 포맷된 데이터 드라이브를 잠금 해제하고 해당 콘텐츠를 볼 수 있습니다. 이러한 운영 체제에서는 BitLocker 보호 드라이브에 읽기 전용으로 액세스할 수 있습니다. Disabled로 설정하면 이전 버전의 Windows를 실행하는 컴퓨터에서 FAT 파일 시스템으로 포맷된 데이터 드라이브를 잠금 해제할 수 없습니다. |
| Do Not Install BitLocker to Go Reader on FAT formatted Removable Drives | Disabled | 이를 선택하면 BitLocker To Go 판독기가 설치되지 않으며 이전 버전의 Windows를 실행하는 디바이스를 사용하는 사용자가 BitLocker 보호 드라이브에 액세스하지 못하게 됩니다. |
| Configure Use of Passwords for Removable Data Drives | Allow | Required로 설정하면 최종 사용자에게 이 옵션만 표시되며, 엔드포인트에서 최종 사용자에게 다른 어떤 프롬프트도 표시되지 않습니다. Allow로 설정하면 이 설정이 최종 사용자가 선택할 수 있는 옵션으로 활성화됩니다. 여러 항목을 "허용"으로 설정하면 최종 사용자가 선택할 수 있는 선택 상자가 표시됩니다. Do Not Allow로 설정하면 이 옵션을 사용할 수 없으며 Dell Encryption UI 또는 Windows 설정에서 선택할 수 없는 옵션이 됩니다. |
| Configure Password Complexity for Removable Data Drives | Require | Required로 설정하면 BitLocker가 활성화된 경우 비밀번호 복잡성을 확인하기 위해 도메인 컨트롤러에 연결해야 합니다. Allow로 설정하면 복잡성이 정책에서 정한 규칙을 따르는지 확인하기 위해 도메인 컨트롤러 연결을 시도합니다. 하지만 도메인 컨트롤러를 찾을 수 없으면 비밀번호 복잡성에 관계없이 비밀번호가 허용되며 드라이브가 해당 비밀번호를 보호기로 사용하여 암호화됩니다. Do Not Allow로 설정하면 비밀번호 복잡성 유효성 검사가 수행되지 않습니다. |
| Minimum Password Length for Removable Data Drives | 8 | BitLocker 보호 볼륨의 최소 암호 길이를 설정합니다(이 설정을 사용하려면 이동식 데이터 드라이브에 대한 암호 사용 구성을필요 또는 허용으로 설정해야 함). |
| Encryption Type for Removable Data Drives | Full Encryption | 이 정책은 데이터 드라이브에서 Used Space Only 암호화 또는 Full encryption 중 무엇을 사용할지를 제어합니다. BitLocker가 보호하는 가상 시스템에는 Used Space Only가 요구됩니다. |
| Choose How BitLocker-protected Removable Drives Can be Recovered | Disabled | 아래 7개 정책의 상위 정책입니다. Enabled인 경우 추가 복구 옵션을 구성할 수 있습니다. Disabled인 경우 Dell Security Management Server 또는 Dell Security Management Server Virtual을 통해서만 복구 옵션이 제공됩니다. |
| Allow Data Recovery Agent for Protected Removable Data Drives | Enabled | 정책 Choose How BitLocker-protected Removable Drives Can be Recovered의 하위 정책입니다. Allow data recovery agent 확인란을 사용하여 BitLocker 보호 드라이브에서 데이터 복구 에이전트를 사용할 것인지 지정합니다. 데이터 복구 에이전트를 사용하려면 공개 키 정책에서 추가해야 합니다. 이는 GPMC(Group Policy Management Console) 또는 로컬 그룹 정책 편집기에 있습니다. 데이터 복구 에이전트를 사용하여 BitLocker 보호 디바이스를 복구하는 방법에 대한 자세한 내용은 https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/를 참조하십시오. |
| Configure User Storage of BitLocker 48-digit Recovery Password | Allow | 정책 Choose How BitLocker-protected Removable Drives Can be Recovered의 하위 정책입니다. Required로 설정하면 BitLocker 복구 정보가 강제 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Allow로 설정하면 BitLocker 복구 정보가 자동 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Do Not Allow로 설정하면 BitLocker 복구 정보가 생성되지 않습니다.
참고: Do Not Allow로 설정하면 BitLocker 보호 드라이브 복구를 수행하지 못할 수 있습니다.
|
| Configure User Storage of BitLocker 256-bit Recovery Key | Allow | 정책 Choose How BitLocker-protected Removable Drives Can be Recovered의 하위 정책입니다. Required로 설정하면 BitLocker 복구 정보가 강제 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Allow로 설정하면 BitLocker 복구 정보가 자동 생성되며 디바이스 관리자가 액세스할 수 있게 됩니다. Do Not Allow로 설정하면 BitLocker 복구 정보가 생성되지 않습니다.
참고: Do Not Allow로 설정하면 BitLocker 보호 드라이브 복구를 수행하지 못할 수 있습니다.
|
| Omit Recovery Options from the BitLocker Setup Wizard for Removable Media | Disabled | 정책 Choose How BitLocker-protected Removable Drives Can be Recovered의 하위 정책입니다. 드라이브에서 BitLocker를 활성화한 사용자가 복구 옵션을 지정하지 못하도록 하려면 Omit recovery options from the BitLocker setup wizard를 선택합니다. Enabled인 경우 정책 설정에 따라 드라이브에 대한 BitLocker 복구 옵션이 결정됩니다. |
| Save BitLocker Recovery Information to AD DS for Removable Data Drives | Enabled | 정책 Choose How BitLocker-protected Removable Drives Can be Recovered의 하위 정책입니다. 아래 2개 정책의 상위 정책입니다. Save BitLocker recovery information to Active Directory Domain Services로 설정하면 AD DS(Active Directory Domain Services)에 어떤 BitLocker 복구 정보를 저장할지 선택하게 됩니다. |
| BitLocker Recovery Information to Store in AD DS for Removable Data Drives | Recovery Passwords and Key Packages | 정책 Choose How BitLocker-protected Removable Drives Can be Recovered 및 Save BitLocker Recovery Information to AD DS for Removable Data Drives의 하위 정책입니다. Recovery password and key packages를 선택하면 BitLocker 복구 비밀번호 및 키 패키지가 AD DS에 저장됩니다. 키 패키지를 저장하는 경우 물리적으로 손상된 드라이브에서 데이터를 복구하는 기능이 지원됩니다. Recovery password only를 선택하면 복구 비밀번호만 AD DS에 저장됩니다. |
| Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Removable Data Drives | Disabled | 정책 Choose How BitLocker-protected Removable Drives Can be Recovered 및 Save BitLocker Recovery Information to AD DS for Removable Data Drives의 하위 정책입니다. 컴퓨터가 도메인에 연결되어 있지 않고 BitLocker 복구 정보를 AD DS에 백업하지 못한 경우에 사용자가 BitLocker를 활성화하지 못하도록 하려면 Do not enable BitLocker until recovery information is stored in AD DS for Removable drives 확인란을 선택합니다. |
| Configure Use of Hardware-Based Encryption for Removable Data Drives | Enabled | 아래 4개 정책의 상위 정책입니다. 이 정책은 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/
|
| Use Hardware-Based Encryption for Removable Data Drives | Enabled | 정책 Configure Use of Hardware-Based Encryption for Removable Data Drives의 하위 정책입니다. 이 정책은 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/
|
| Use BitLocker Software-Based Encryption on Removable Data Drives When Hardware Encryption is Not Available | Enabled | 정책 Configure Use of Hardware-Based Encryption for Removable Data Drives의 하위 정책입니다. 이 정책은 데이터 볼륨으로 사용하는 암호화된 드라이브가 장착된 컴퓨터에 BitLocker가 반응하는 방식을 제어합니다. 하드웨어 기반 암호화를 사용하면 드라이브에서 데이터를 자주 읽거나 쓰는 드라이브 작업의 성능을 향상할 수 있습니다.
참고: Choose drive encryption method and cipher strength 정책 설정은 하드웨어 기반 암호화에 적용되지 않습니다. 이전 펌웨어가 설치된 드라이브에서 이 정책을 활성화하면 다음에 설명된 다양한 CVE가 노출될 수도 있습니다 https://www.kb.cert.org/vuls/id/395981/
|
| Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Removable Data | Disabled | 정책 Configure Use of Hardware-Based Encryption for Removable Data Drives의 하위 정책입니다. Restrict encryption algorithms and cipher suites allowed for hardware-based encryption 옵션을 사용하면 BitLocker가 하드웨어 암호화에 사용할 수 있는 암호화 알고리듬을 제한할 수 있습니다. 드라이브에 대해 설정된 알고리듬을 사용할 수 없는 경우 BitLocker는 하드웨어 기반 암호화 사용을 비활성화합니다. |
| Configure Specific Crypto Algorithms and Cipher Suites Settings on Removable Data Drives | 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 | 정책 Configure Use of Hardware-Based Encryption for Removable Data Drives의 하위 정책입니다. 암호화 알고리듬은 OID(Object Identifier)로 지정되며 쉼표로 구분됩니다. 암호화 암호의 예시 OID는 다음과 같습니다.
|
참고: 이러한 정책에 대한 자세한 내용은 Microsoft BitLocker 정책 가이드 KB https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx
를 참조하십시오.
를 참조하십시오.
지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.
Affected Products
Dell EncryptionArticle Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.