일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- Domain BitLocker
- outlook ost
- Log 수집 서버
- Radius서버
- ost경로이동
- windows nps
- OST파일경로변경
- 로그 구독
- 비트라커 USB
- outlook pst
- 지정한 장치
- BitLocker 도메인환경
- UPN
- BitLocker USB
- 경로 또는 파일에 액세스할 수 없습니다
- ost경로
- ost위치
- 라디우스
- pst경로이동
- 클라이언트 로그 구독
- Log수집
- Log collect
- DMARC설정
- PST파일경로변경
- Domain name service
- office365 Dmarc
- 이벤트 로그 수집
- DMARC란
- 라디우스서버
- Event log collect
- Today
- Total
MY IT Life
BitLocker USB 도메인 환경에서 사용 본문
BitLocker 를 이용한 USB를 사내 AD Domain환경에서만 사용하도록 구성하는 시나리오 입니다.
시나리오
1. 사내 Domain에서 생성된 BitLocker USB만 사용 가능해야함
2. BitLocker되지 않는 USB는 BitLocker 암호화를 하거나 Read Only로 사용함
3. Domain환경이 아닌 외부PC에서 BitLocker된 USB를 사용할 경우 차단
4. BitLocker 복구키는 AD 컴퓨터에 저장됩니다.
[ad GPO Bitlocker 정책]
[Suprema Bitlocker USB 설정]
1. Domain가입 PC에서 USB Device를 삽입할 경우 아래와 같은 팝업이 발생합니다.
2. 드라이브 암호화를 하지 않으면 읽기(o)/쓰기(x) 권한을 갖게 됩니다.
3. [BitLocker 드라이브 암호화를 사용하여 드라이브 암호화]를 선택하면 아래와 같이 BitLocker 암호화가 시작됩니다.
4. 진행중 드라이브 잠금 해제 암호를 입력합니다.
5. 복구키는 BitLocker USB를 생성한 관리자만 알 수 있도록 저장합니다.
6. 복구키는 아래와 같이 48자리 숫자로 저장됩니다. 복구키는 USB복구를 위해 저장합니다.
7. 아래 옵션을 선택 후 다음을 클릭합니다.
8. 암호화를 시작합니다.
9. 암호화가 완료되면 아래와 같이 암호화된 ID와 복구키 정보를 확인할 수 있고 AD 컴퓨터 속성에서도 복구키를 확인할 수 있습니다. AD에서 내용을 확인하려면 기능 > 원격 서버 관리 도구 > 기능 관리 도구 > BitLocker 드라이브 암호화 관리 유틸리티를 설치해야 합니다.
10. 추가로 Domain User의 SID를 추가합니다. 이 작업으로 Bitlocker된 USB는 Domain 환경의 Administrator 계정일때만 P/W를 묻지 않습니다.전체 사용자 또는 그룹으로 사용자를 제한하고 싶은 경우 그룹의 SID를 추가함으로 사용자를 제한할 수 있습니다.
Add-BitLcokerProtector -MountPoint f: -ADAccountOrGroup "Domain\administrator" -ADAccountOrGroupProtector
11. 전산실 그룹 S000005_2의 SID를 KeyProtector에 추가합니다.
Add-BitLcokerProtector -MountPoint f: -ADAccountOrGroup "Domain\S000005_2" -ADAccountOrGroupProtector
추가후 F:\에 설정된 계정 SID에 대한 보호키를 확인할 수 있습니다.
12. 아래 옵션을 사용하여 F드라이브의 Bitlocker 암호를 삭제합니다.(9번 암호 참조)
이 작업으로 기존의 사용자 암호는 삭제 되며 복구키와 Domain SID만 남게 됩니다.
Remove-BitLokcerKeyProtector f: "{암호}
[작업 결과]
1. USB는 Domain정책을 적용받는 PC에 삽입시 암호화 여부를 확인합니다.
2. 암호화하지 않으면 USB에 대한 쓰기 금지 정책이 실행됩니다.
3. Domain join PC외 다른 PC에서 BitLocker로 암호화된 USB에 대해서도 쓰기 금지 정책이 실행됩니다.
4. BitLocker된 USB는 Domain\administrator, Domain\S000005_2계정 또는 그룹 사용자가 Login한 PC에서만 암호없이 열리게 됩니다.
5. Domain사용자라도 SID가 추가되지 않은 사용자의 PC에서는 복구키를 묻게 됩니다.
Domain사용자가 아닌 경우(외부PC) USB 사용시 복구키를 묻게 됩니다.
참고
'02. Microsoft > Windows Server' 카테고리의 다른 글
Window Server Domain Administrator no permission (3) | 2019.10.23 |
---|---|
SPF 레코드 확인 방법 (0) | 2017.12.28 |
자식 도메인 추가 (0) | 2016.06.09 |
부모, 자식 도메인 DNS 복제 (0) | 2016.06.09 |
Ransomware Detect Guide for Windows Server 2012 R2 (0) | 2016.06.09 |