BitLocker로 보호되는 드라이브의 복구는 올바른 인증서로 구성된 데이터 복구 에이전트에서 수행할 수 있습니다. 드라이브에 데이터 복구 에이전트를 구성하려면 먼저 GPMC(그룹 정책 관리 콘솔)나 로컬 그룹 정책 편집기의 공개 키 정책에서 데이터 복구 에이전트를 추가해야 합니다. 또한 해당 조직에 고유 식별자 제공 정책 설정을 사용하도록 설정하고 구성하여 BitLocker가 사용되는 새 드라이브에 고유 식별자를 연결해야 합니다. ID 필드는 BitLocker로 보호되는 드라이브에서 데이터 복구 에이전트를 관리하는 데 필요합니다. BitLocker는 드라이브에 ID 필드가 제공되어 있고 이 값이 컴퓨터에 구성된 값과 동일할 때만 데이터 복구 에이전트를 관리하고 업데이트합니다.

인증서 요구 사항

BitLocker로 드라이브를 암호화하는 데 인증서를 사용하려면 인증서가 다음과 같은 키 사용 및 확장된 키 사용 요구 사항을 충족해야 합니다.

  • 키 사용 특성은 없음, 키 암호화 또는 다음 키 사용 값 중 하나여야 합니다.

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • 확장된 키 사용 특성은 없음 또는 다음 중 하나여야 합니다.

    1.3.6.1.4.1.311.67.1.1

    사용 중인 인증 기관에서 지원하는 확장된 키 사용 개체 식별자

BitLocker 개체 식별자는 기본적으로 1.3.6.1.4.1.311.67.1.1로 설정됩니다. 기존 인증서를 BitLocker와 공유하려는 경우 등에는 그룹 정책을 사용하여 이 값을 변경할 수 있습니다. 인증서가 데이터 복구 에이전트에 속해 있고 BitLocker로 보호되는 데이터를 복구하는 데만 사용되는 경우에는 인증서에 이러한 특성 중 하나가 있는 것이 좋지만 필수는 아닙니다. 드라이브에 데이터 복구 에이전트를 추가할 때는 인증서 유효성 검사가 수행되지 않습니다.

데이터 복구 에이전트 및 BitLocker의 ID 필드 구성

다음 절차에서는 데이터 복구 에이전트와 BitLocker의 ID 필드를 구성하는 방법에 대해 설명합니다.

이 절차를 완료하려면 최소한 로컬 Administrators 그룹의 구성원 자격이 있어야 합니다.

데이터 복구 에이전트를 구성하려면

  1. GPMC나 로컬 그룹 정책 편집기를 엽니다.

  2. 콘솔 트리의 컴퓨터 구성\Windows 설정\보안 설정\공개 키 정책 아래에서 BitLocker 드라이브 암호화를 마우스 오른쪽 단추로 클릭합니다.

  3. 데이터 복구 에이전트 추가를 클릭하여 복구 에이전트 추가 마법사를 시작합니다. 다음을 클릭합니다.

  4. 복구 에이전트를 선택합니다. 페이지에서 폴더 찾아보기를 클릭하고 데이터 복구 에이전트로 사용할 .cer 파일을 선택합니다. 파일을 선택하여 해당 파일에 대한 가져오기가 수행되어 마법사의 복구 에이전트 목록에 이 파일이 표시됩니다. 데이터 복구 에이전트를 여러 개 지정할 수 있습니다. 사용하려는 데이터 복구 에이전트를 모두 지정한 후 다음을 클릭합니다.

  5. 마법사의 복구 에이전트 추가 마법사 완료 페이지에 그룹 정책에 추가될 데이터 복구 에이전트의 목록이 표시됩니다. 마침을 클릭하여 데이터 복구 에이전트를 확정하고 마법사를 닫습니다.

마법사가 닫힌 후 세부 정보 창에 해당 데이터 복구 에이전트가 표시됩니다.
ID 필드를 구성하려면

  1. GPMC나 로컬 그룹 정책 편집기의 콘솔 트리에서 컴퓨터 구성\관리 템플릿\Windows 구성 요소\BitLocker 드라이브 암호화를 확장하고 BitLocker 드라이브 암호화를 클릭하여 정책 설정을 표시합니다.

  2. 세부 정보 창에서 해당 조직에 고유 식별자 제공 정책 설정을 두 번 클릭합니다.

  3. 사용을 클릭합니다. BitLocker ID 필드에서 조직의 ID 필드를 입력합니다.

  4. 확인을 클릭하여 정책 설정을 적용하고 닫습니다.
참고

ID 필드가 구성되기 전에 BitLocker로 암호화된 드라이브에는 ID 필드가 없기 때문에 데이터 복구 에이전트가 할당되어 있지 않습니다. WMI(Windows Management Instrumentation)나 Manage-bde 명령줄 도구를 사용하면 이미 암호화된 드라이브에 ID 필드를 설정할 수 있습니다. Manage-bde를 사용할 경우 ID 필드는 조직에 고유 식별자 제공 정책 설정에 지정된 값으로 설정됩니다. WMI 또는 Manage-bde를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=143347(페이지는 영문일 수 있음)을 참조하십시오.

목차