Active Directory에 BitLocker 복구 키를 안전하게 저장하는 방법
BitLocker는 대부분의 Windows 사용자가 너무 늦을 때까지 간과하는 기능 중 하나입니다.실제로 드라이브를 암호화하고 데이터를 안전하게 보호하는 강력한 기능이지만, 특히 기업 환경에서는 복구 키를 관리하는 것이 다소 번거로울 수 있습니다.핵심은 복구 키를 Active Directory에 저장하는 것입니다.이렇게 하면 암호를 잊어버리거나 시스템에 접근할 수 없는 경우에도 인쇄된 키나 분실한 USB 드라이브를 찾아 헤맬 필요 없이 Active Directory에서 복구 키를 검색할 수 있습니다.모든 데이터가 중앙 집중화되어 안전하게 관리된다는 사실은 안심이 되지만, 그룹 정책이나 명령줄에 익숙하지 않은 경우 설정 과정이 다소 복잡하게 느껴질 수 있습니다.
이 작업을 제대로 수행하면 누군가 시스템에 접근하지 못하거나 드라이브에 문제가 발생했을 때 발생하는 다급한 문의 전화를 줄일 수 있습니다.또한, 다소 이상하게 들릴 수도 있지만, 여러 장치를 관리하는 경우 복구 키 저장을 자동화하면 상당한 수고를 덜 수 있습니다.복구 키는 관리 도구를 통해 접근할 수 있는 Active Directory에 깔끔하게 저장되어 손쉽게 복구하거나 감사할 수 있습니다.기본적으로 이러한 키를 자동으로 백업하는 그룹 정책을 구성하고 기존 키는 수동으로 전송해야 합니다. Windows는 이전 암호화에 대한 백업을 자동으로 수행하지 않기 때문입니다.자, 그럼 자세한 내용을 살펴보겠습니다.
Active Directory에서 BitLocker 복구 키를 저장하고 검색하는 방법
자동 키 백업을 위한 그룹 정책을 구성합니다.
대부분의 설정 과정에서 이 단계에서 문제가 발생합니다. Windows에서 복구 정보를 Active Directory(AD)에 자동으로 저장하도록 그룹 정책을 설정해야 합니다.이 설정이 없으면 복구 키가 로컬에 저장되어 원격으로 접근할 수 없기 때문입니다.올바르게 설정하면 BitLocker로 드라이브를 암호화할 때마다 복구 키가 자동으로 AD에 업로드됩니다. AD에서 각 컴퓨터 개체의 “BitLocker 복구” 탭에 복구 키가 표시되는 것을 확인할 수 있습니다.
여기서부터는 좀 전문적인 내용이지만, 제시된 경로를 따라가면 어렵지 않습니다.
- 그룹 정책 관리 콘솔(GPMC)을 엽니다.
- 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> Windows 구성 요소 -> BitLocker 드라이브 암호화 로 이동합니다.
- “Active Directory 도메인 서비스에 BitLocker 복구 정보 저장” 이라는 정책을 활성화하십시오.
- OS 드라이브의 경우 “BitLocker로 보호된 운영 체제 드라이브를 복구하는 방법 확인” 도 활성화 하고 두 옵션을 모두 선택하십시오.
- AD DS에 운영 체제 드라이브용 BitLocker 복구 정보를 저장합니다.
- AD DS에 OS 드라이브 복구 정보가 저장된 후에만 BitLocker를 활성화하십시오.
일부 시스템에서는 재부팅이나 gpupdate /forcePowerShell을 사용한 정책 새로 고침이 필요할 수 있습니다.정책이 올바른 조직 단위(OU)에 적용되었는지 확인하거나, 최악의 경우 그룹 정책 관리 콘솔을 사용하여 정책을 올바른 OU 또는 도메인에 연결하십시오.제가 진행했던 한 설정에서는 첫 번째 새로 고침 후 정상적으로 작동했지만, 다른 경우에는 재부팅을 해야 문제가 해결되는 경우가 있었습니다.
기존 BitLocker 복구 키를 Active Directory에 저장하세요.
이미 암호화된 드라이브가 있는 경우에도 걱정하지 마세요.위의 정책은 기존 키를 자동으로 백업하지 않습니다. PowerShell 또는 CMD를 사용하여 수동으로 키를 가져와야 합니다.간단한 방법이지만 안정적으로 작동합니다.아래 명령어를 사용하면 됩니다.
관리자 권한으로 PowerShell 창을 엽니다.드라이브의 복구 ID를 확인하려면 다음 명령을 실행합니다.
manage-bde -protectors -get c:
이 명령은 여러 정보를 출력하지만, 필요한 정보는 “숫자 암호의 ID”입니다.이 ID는 UUID 형식이며, 예를 들어 {05296A47-B528-43C9-9E1C-FE6ACBFE2538} 과 같습니다.해당 ID를 얻었으면 다음 명령으로 백업하세요.
manage-bde -protectors -adbackup c: -id "{Your-UUID-Here}"
이 명령은 복구 키를 Active Directory에 저장합니다.성공하면 “복구 정보가 Active Directory에 저장되었습니다.”라는 성공 메시지가 표시됩니다.일부 시스템에서는 설정에 따라 각 드라이브 또는 각 장치에 대해 이 명령을 실행해야 할 수 있습니다.항상 첫 시도에 성공하는 것은 아니지만, 일반적으로 다시 실행하거나 컴퓨터를 재부팅하면 해결됩니다.
Active Directory에서 저장된 복구 키를 검색하는 방법
일단 키가 Active Directory에 저장되면 액세스는 매우 간편해지지만, 올바른 도구가 필요합니다.일반적으로 도메인 환경에서는 Active Directory 사용자 및 컴퓨터 스냅인을 열거나, 더 나은 방법으로는 BitLocker 복구 암호 뷰어를 설치하는 것이 좋습니다.이러한 도구는 RSAT(원격 서버 관리 도구)에서 추가할 수 있습니다.
설치 후 도메인 내 각 컴퓨터 개체에서 BitLocker 복구 탭을 찾으세요.이 탭에는 복구 암호와 ID가 표시됩니다.복구 정보를 일괄적으로 확인하거나 스크립트를 통해 확인해야 하는 경우 PowerShell을 사용하여 Active Directory를 쿼리할 수도 있지만, 이는 고급 설정에 해당합니다.
참고로, 이 기능을 사용하려면 Active Directory에서 적절한 권한(일반적으로 도메인 관리자 또는 위임된 권한)이 필요합니다.그렇지 않으면 복구 정보가 숨겨지게 되는데, 필요할 때 접근할 수 있도록 만들어진 정보임에도 불구하고 숨겨진다는 점이 아이러니합니다.
전반적으로, 이 설정을 하려면 초기에 약간의 구성 작업이 필요하지만 나중에 훨씬 수월해집니다.기존에 암호화된 드라이브의 경우 수동 백업이 다소 번거롭긴 하지만, 백업 파일이 많을 경우 지루해질 수 있다는 점을 제외하면 그리 어렵지 않습니다.새로운 암호화에 대한 자동 백업 방식은 정책이 설정되면 매우 간단합니다.
이렇게 하면 누군가 문이 잠겨서 들어가지 못할 때 문제 해결에 걸리는 시간을 몇 시간이라도 줄일 수 있을 겁니다.마음의 평화를 위해서라도 그만한 가치가 있죠.
요약
- gpedit.msc 또는 GPMC를 통해 그룹 정책을 구성하여 복구 키를 자동으로 업로드하십시오.
manage-bde명령어를 사용하여 이전 복구 키를 수동으로 백업하세요.- AD 도구 또는 셸 스크립트를 사용하여 나중에 키를 검색하세요.
- 정책을 올바른 조직 단위에 적용하십시오.
마무리
BitLocker 복구 키를 Active Directory에 저장하는 작업은 처음에는 그리 간단하지 않지만, 그만한 가치가 충분히 있습니다.드라이브 고장이나 직원 암호 분실과 같은 재해 복구를 한 곳에서 안전하게 수행할 수 있기 때문입니다.몇 가지 명령어와 정책 설정이 필요하지만, 일단 설정이 완료되면 관리 부담이 크게 줄어듭니다.게다가 Windows는 이러한 설정이 항상 직관적인 것은 아니므로, 이미 암호화된 드라이브가 많은 경우에는 수동 백업도 여전히 유용합니다.저는 이 방법으로 성공했는데, 여러분에게도 도움이 되기를 바랍니다.
이 글이 도움이 되었나요?