none
BirLocker USB 암호정책을 Domain PC에서만 사용할 수 있도록 할 수 있을까요? RRS feed

  • 질문

  • 안녕하세요

    사내에서 USB보안에 대한 이슈가 있어 BitLocker GPO를 구성 TEST하고 있습니다.

    이슈가 암호화된 Bitlocker USB를 사외에서 가져가도 사용할 수 없도록 하는 방법이 제가 생각하는 구성은 Domain이 아닌 환경에서의 USB사용을 막고 싶습니다.

    정책적으로 가능한 부분인지 확인 부탁 드립니다.

    감사합니다
    2019년 10월 30일 수요일 오전 4:02

모든 응답

  • 안녕하세요,

    문의하신 내용이 'BitLocker로 보호되는 USB를 사내 Domain 환경에서만 사용 가능하도록 하고, Domain 아닌 환경에서는 사용할 수 없도록 하고 싶다'는 것이 맞나요? 제가 이해한 바가 맞다면, 해당 내용은 그룹 정책(GPO)로는 어렵지만 도메인 인증을 BitLocker의 KeyProtector로 추가함으로써 가능할 수 있을 것 같습니다. 자세한 사항은 다음 링크의 내용을 참고하시기 바랍니다.

    Encrypting volumes using the BitLocker Windows PowerShell cmdlets
    Add-BitLockerKeyProtector

    감사합니다.

    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.

    2019년 10월 30일 수요일 오전 9:01
    중재자
  • 답변 감사합니다.

    죄송하지만 -ADAccountorGroupProtector -ADAccountorGroup 옵션은 사용자 또는 그룹의 SID를 암호화에 추가하는 내용으로 보입니다.

    이것이 확실하게 Non Domain환경에서 동작하지 않는 부분인지 다시한번 확인 부탁 드리겠습니다.


    2019년 11월 1일 금요일 오전 4:09
  • 안녕하세요,

    Add-BitLockerKeyProtector의 ADAccountOrGroup 및 ADAccountOrGroupProtector 파라미터는 도메인 계정 또는 그룹을 BitLocker의 Key Protector(보호키)로 추가할 경우 사용됩니다. 다만 PIN이나 Recovery Key(복구키) 등 부가적인 보호키와 함께 사용될 수 있으며 단독으로 사용되지는 못합니다. 

    Using an AD Account or Group protector in Windows PowerShell

    BitLocker가 적용된 USB가 E 드라이브라고 가정했을 때, 다음과 같은 파워쉘 명령어로 현재 적용된 모든 보호키를 확인할 수 있습니다.

    manage-bde -protectors -get e:

    보호키 중 암호(암호는 BitLocker 적용시 입력한 암호를 의미함) 보호키의 ID가 {071C7CBD-3C1A-4050-8CD7-90DB4D8906A6}와 같이 표기될 때, 다음과 같은 명령어로 해당 보호키를 삭제할 수 있습니다.

    remove-bitlockerkeyprotector e: "{071C7CBD-3C1A-4050-8CD7-90DB4D8906A6}"

    다른 보호키가 있다면 전부 삭제하고, 결국 숫자 암호(복구키를 의미함)와 ID(특정 도메인 계정 또는 그룹의 인증정보) 보호키만 남게 되면, 해당 도메인 계정 또는 그룹 환경의 PC에서는 인증 정보를 통해 자동으로 BitLocker가 언락되지만, 다른 도메인 또는 로컬 환경에서는 인증 정보가 없기 때문에 나머지 보호키인 복구키를 요구하게 됩니다. 결과적으로 USB에 BitLocker 보호를 적용할 때 생성되는 복구키를 관리자 등 특정인만이 열람할 수 있도록 한다면, 문의하신 내용이 가능할 수 있습니다.

    물론 위와 같은 과정을 거치기 위해서는 사내 도메인 환경에서 사용할 USB에 대하여 BitLocker 적용 및 복구 키 관리를 특정 관리자 등이 직접 해야하는 어려움이 있을 수 있고(스크립트를 이용하더라도 각 PC 환경마다 USB 드라이버 경로 문자가 다를 수 있는 등 어려움이 있음), USB를 사용하려는 계정 또는 그룹을 모두 보호키로 추가하여야 하는 어려움도 있습니다. 이처럼 제한적이고 어려운 조건을 따르기 힘들 경우에는 USB 보안과 관련된 서드파티 프로그램을 활용하시는 방법 또한 고려해보시기 바라며, 추가적인 내용이 있다면 피드백 바랍니다.

    감사합니다.

    ※ 응답이 문제 해결에 도움이 되었다면 [답변으로 표시] 버튼을 눌러 주시기 바랍니다. 이는 유사한 증상을 겪는 다른 사용자들에게 도움이 될 수 있습니다. 만약 TechNet 구독자 지원에 대한 의견이 있다면, tnsf@microsoft.com 으로 문의할 수 있습니다.


    2019년 11월 1일 금요일 오전 7:44
    중재자