Active Directory를 사용하여 클라이언트 컴퓨터에서 BitLocker 복구 키(암호) 백업을 안전하게 저장할 수 있습니다. BitLocker를 사용하여 데이터를 암호화하는 여러 사용자가 있는 경우 매우 편리합니다. BitLocker로 드라이브를 암호화할 때 컴퓨터가 AD의 컴퓨터 개체 계정에 복구 키를 저장하도록 도메인에서 그룹 정책을 구성할 수 있습니다(예:LAPS를 사용하여 생성한 로컬 컴퓨터 관리자 암호 저장).
Active Directory에 BitLocker 키를 저장하도록 구성하려면 인프라가 다음 요구 사항을 충족해야 합니다.
- Pro 및 Enterprise 버전이 포함된 Windows 10 또는 Windows 8.1을 실행하는 클라이언트 컴퓨터
- AD 스키마 버전:Windows Server 2012 이상
- GPO ADMX 파일을 최신 버전으로 업데이트해야 합니다.
내용:
- BitLocker 복구 키를 AD에 저장하도록 그룹 정책을 구성하는 방법
- Active Directory에서 BitLocker 복구 키를 보고 관리하는 방법
BitLocker 복구 키를 AD에 저장하도록 그룹 정책을 구성하는 방법
BitLocker 복구 키를 Active Directory 도메인에 자동으로 저장(백업)하려면 특수 GPO를 구성해야 합니다.
- 도메인 그룹 정책 관리 콘솔(
gpmc.msc), 새 GPO를 만들고 AD에서 자동 BitLocker 키 저장을 활성화하려는 컴퓨터의 OU에 연결합니다. - 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> BitLocker 드라이브 암호화로 이동합니다.;
- Active Directory 도메인 서비스에 BitLocker 복구 정보 저장 사용 정책:AD DS에 BitLocker 백업 필요 저장할 BitLocker 복구 정보 선택:복구 암호 및 키 패키지
- 그런 다음 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> Windows 구성 요소 -> BitLocker 드라이브 암호화 -> 운영 체제 드라이브로 이동하여 정책을 활성화합니다. BitLocker로 보호되는 운영 체제 드라이브를 복구할 수 있는 방법 선택 . 운영 체제 드라이브용 AD DS에 복구 정보가 저장될 때까지 BitLocker를 활성화하지 않음을 선택하는 것이 좋습니다. . 이 옵션을 선택하면 컴퓨터가 AD에 새 복구 키를 저장할 때까지 BitLocker가 드라이브 암호화를 시작하지 않습니다(모바일 사용자인 경우 도메인 네트워크에 대한 다음 연결을 기다려야 함).
- 이 경우 운영 체제 드라이브에 대해 BitLocker 키 자동 저장이 활성화됩니다. 외부 미디어 장치 또는 기타 드라이브용 BitLocker 복구 키를 저장하려면 다음 GPO 섹션에서 유사한 정책을 구성하십시오. 고정 데이터 드라이브 및 이동식 데이터 드라이브;
- 클라이언트의 그룹 정책 설정 업데이트:
gpupdate /force - BitLocker를 사용하여 Windows 10 Pro를 실행하는 컴퓨터의 시스템 드라이브 암호화(BitLocker 켜기 );
- Windows 10은 컴퓨터의 BitLocker 복구 키를 Active Directory에 저장하고 드라이브를 암호화합니다. 단일 컴퓨터(예:다른 이동식 장치)에 대해 BitLocker 복구 암호가 여러 개 있을 수 있습니다.
컴퓨터 디스크가 이미 BitLocker를 사용하여 암호화된 경우 AD에서 수동으로 동기화할 수 있습니다. 다음 명령을 실행하십시오.
manage-bde -protectors -get c:
숫자 비밀번호 ID 복사 값(예:22A6A1F0-1234-2D21-AF2B-7123211335047 ).
아래 명령을 실행하여 현재 컴퓨터의 AD 계정에 복구 키를 저장합니다.
manage-bde -protectors -adbackup C: -id {22A6A1F0-1234-2D21-AF2B-7123211335047}
다음 메시지가 표시됩니다.
Recovery information was successfully backed up to Active Directory또는 PowerShell을 사용하여 시스템 드라이브의 BitLocker 복구 키를 Active Directory에 백업할 수 있습니다.
BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId ((Get-BitLockerVolume -MountPoint $env:SystemDrive ).KeyProtector | where {$_.KeyProtectorType -eq "RecoveryPassword" }).KeyProtectorId
Active Directory에서 BitLocker 복구 키를 보고 관리하는 방법
Active Directory 사용자 및 컴퓨터 스냅인(ADUC, dsa.msc)에서 BitLocker 복구 키를 관리하려면 ), 원격 서버 관리 도구(RSAT)를 설치해야 합니다.
Windows Server에서 BitLocker 드라이브 암호화 관리 유틸리티를 설치할 수 있습니다. 서버 관리자를 사용하는 기능(BitLocker 드라이브 암호화 도구 및 BitLocker 복구 암호 뷰어 포함) .
또는 PowerShell을 사용하여 다음 Windows Server 기능을 설치할 수 있습니다.
Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker
이제 ADUC 콘솔에서 컴퓨터의 속성을 열면 새로운 BitLocker Recovery가 표시됩니다. 탭.
여기에서 암호가 생성된 시간을 확인하고 암호 ID와 BitLocker 복구 키를 얻을 수 있습니다.
그런 다음 사용자가 BitLocker 암호를 잊어버린 경우 컴퓨터 화면에 표시된 복구 키의 처음 8개 기호를 관리자에게 알릴 수 있으며 관리자는 Action —> BitLocker 복구 비밀번호 찾기 사용자에게 알려줍니다. 복구 암호(48자리 숫자)는 Bitlocker로 보호된 드라이브의 잠금을 해제하는 데 도움이 됩니다.
기본적으로 도메인 관리자만 BitLocker 복구 키를 볼 수 있습니다. Active Directory에서 특정 OU의 BitLocker 복구 키를 볼 수 있는 권한을 모든 사용자 그룹에 위임할 수 있습니다. 이를 수행하려면 msFVE-RecoveryInformation을 볼 수 있는 권한을 위임하세요. 속성 값.
따라서 이 기사에서는 Active Directory에서 BitLocker 복구 키의 자동 백업을 구성하는 방법을 보여주었습니다. 사용자가 BitLocker 암호를 잊어버린 경우 암호를 가져와 사용자 장치의 데이터에 대한 액세스를 복원할 수 있습니다.
하드 드라이브의 BitLocker 시스템 정보 영역이 손상된 경우 이 문서에 따라 데이터 암호 해독을 시도할 수 있습니다.