Welcome to TechNet Blogs Sign in | Join | Help

Escape From The Troubles

한국 마이크로소프트 플랫폼팀 블로그
BitLocker와 Active Directory

원문주소 : BitLocker and Active Directory

http://blogs.technet.com/askds/archive/2009/08/18/bitlocker-and-active-directory.aspx

 

 

안녕하세요? 디지털 세상의 폴(Paul Fragale)입니다. 오늘은, BitLocker에 대한 정보와 Active Directory (AD)에 키를 저장하고 복구하는 방법을 공유하겠습니다. 실제로 AD에는 무엇이 만들어질까요? 드라이브를 암호화하고 복호화할 때 어떤 일이 발생할까요? 추가 드라이브는 무엇일까요? AD에 복구 정보를 복사하려고 그룹정책을 적용하기 전에 드라이브가 암호화되면 어떻게 할까요?

 

시작해보죠. 이 글에서는 Windows Vista 2008에 초점을 맞추겠습니다. 그룹 정책은 클라이언트가 BitLocker 복구 정보를 Active Directory에 보내는 데 필요합니다. 이것을 설정하려면 Active DirectoryWindows BitLocker 드라이브 암호화에 백업하도록 구성하기와 TPM(Trusted Platform Module) 복구 정보를 살펴보세요. 기억할 점은, 드라이브가 암호화되기 전에 필요하다는 것입니다. 정책이 컴퓨터에 적용되기 전에 드라이브가 암호화되면, BitLocker 복구 정보가 AD에 업로드되지 않습니다. 유일한 해결방법은 복호화하고 정책이 적용된 이후 다시 암호화하는 것입니다.

 

그룹 정책이 한번 구성되면, 컴퓨터에서 암호화 프로세스를 수행할 수 있습니다. 복구 정보가 Active Directory에 저장되는 것을 보증하기를 원한다면, 수동으로 확인할 필요가 있습니다. Active Directory의 컴퓨터 객체 아래에서 자식 객체로 드라이브 암호화가 만들어집니다. BitLocker 복구 객체의 이름은 고정된 63글자로 GUID(globally unique identifier)와 날짜/시간 정보를 가지고 있습니다. BitLocker 복구 객체의 클래스는 ms-FVE-RecoveryInformation 입니다. 이 객체 내부에는 bitlocker 복구에 필요한 속성이 있습니다. 다음은 드라이브를 암호화하면 컴퓨터 객체 아래에서 볼 수 있는 내용입니다.

 

 

 

LDP를 사용하여 무엇이 포함되어 있는지 다음과 같이 볼 수 있습니다.

 

 

이 속성의 설명은 Active Directory에서 Windows BitLocker 드라이브 암호화에 백업하는 것을 구성하기와 TPM(Trusted Platform Module) 복구 정보에서 찾을 수 있습니다.

 

 

자 그럼, BitLocker를 구현한 후에 Active Directory에서 무엇을 봐야하는지 알 것입니다. 관리자 관점에서 논의를 해보죠. 드라이브를 암호화하면 어떻게 될까요? 무엇보다도, AD는 저장 컨테이너입니다. 이 정보를 업데이트하고, 검증하고, 관리하는 것을 수행할 기능은 하나도 없습니다. 이것은 완전히 BitLocker에 의해 다뤄집니다. BitLockeAD에 드라이브 암호화를 알려주지 않고 ms-FVE-RecoveryInformation 객체는 지워지지 않습니다. 사용자가 다시 드라이브를 암호화하면, Bitlocker AD에 새로운 정보를 동기화시킵니다. 따라서 같은 드라이브에 대한 두 개의 엔터티를 볼 수 있습니다. 더 나아가 시스템에 암호화된 각 드라이브의 새로운 엔트리를 볼 수 있습니다.

 

기억할 점은 다음과 같습니다.

 

1. 모든 암호화된 드라이브는 새로운 자식 객체를 만듭니다. 이것은 추가 드라이브를 포함합니다.

 

2. Active Directory에 복구 정보를 저장하는 그룹정책은 첫번째 드라이브가 암호화되기 전에 컴퓨터에 구성되고 적용되어야 합니다.

 

3. 드라이브를 복호화하면 Active Directory Bitlocker 복구 정보는 그대로 남게 됩니다. 업데이트되지 않습니다. 드라이브가 나중에 다시 암호화되면, 새로운 자식 객체가 생성됩니다. 현재의 ms-FVE-RecoveryInformation 객체는 삭제되거나 수정되지 않습니다.

 

4. Active Directory는 단지 Bitlocker 복구 정보를 저장하는 장소입니다. 모든 기능은 암호화된 드라이브가 있는 컴퓨터에 Bitlocker 응용 프로그램에 의해서 다뤄집니다.

 

이것이 전부입니다. 이것이 여러분의 Active Directory BitLocker를 구현할 때 필요한 일반적인 질문에 대한 답이 되기를 바랍니다.

 

다음에 뵙겠습니다.

 

Paul ‘Fragale

 

 

Posted: Monday, October 26, 2009 2:52 AM by escapetrouble
Filed under:

Comments

No Comments

Anonymous comments are disabled
Page view tracker