관리 메뉴

MY IT Life

BitLocker USB 도메인 환경에서 사용 본문

02. Microsoft/Windows Server

BitLocker USB 도메인 환경에서 사용

검짱돌이 2019. 11. 6. 08:41

BitLocker 를 이용한 USB를 사내 AD Domain환경에서만 사용하도록 구성하는 시나리오 입니다.

 

시나리오

1. 사내 Domain에서 생성된 BitLocker USB만 사용 가능해야함

2. BitLocker되지 않는 USB는 BitLocker 암호화를 하거나 Read Only로 사용함

3. Domain환경이 아닌 외부PC에서 BitLocker된 USB를 사용할 경우 차단

4. BitLocker 복구키는 AD 컴퓨터에 저장됩니다.

 

[ad GPO Bitlocker 정책]

[Suprema Bitlocker USB 설정]

1. Domain가입 PC에서 USB Device를 삽입할 경우 아래와 같은 팝업이 발생합니다.

2. 드라이브 암호화를 하지 않으면 읽기(o)/쓰기(x) 권한을 갖게 됩니다.

3. [BitLocker 드라이브 암호화를 사용하여 드라이브 암호화]를 선택하면 아래와 같이 BitLocker 암호화가 시작됩니다.

4. 진행중 드라이브 잠금 해제 암호를 입력합니다.

5. 복구키는 BitLocker USB를 생성한 관리자만 알 수 있도록 저장합니다.

6. 복구키는 아래와 같이 48자리 숫자로 저장됩니다. 복구키는 USB복구를 위해 저장합니다.

7. 아래 옵션을 선택 후 다음을 클릭합니다.

8. 암호화를 시작합니다.

9. 암호화가 완료되면 아래와 같이 암호화된 ID와 복구키 정보를 확인할 수 있고 AD 컴퓨터 속성에서도 복구키를 확인할 수 있습니다. AD에서 내용을 확인하려면 기능 > 원격 서버 관리 도구 > 기능 관리 도구 > BitLocker 드라이브 암호화 관리 유틸리티를 설치해야 합니다.

10. 추가로 Domain User의 SID를 추가합니다. 이 작업으로 Bitlocker된 USB는 Domain 환경의 Administrator 계정일때만 P/W를 묻지 않습니다.전체 사용자 또는 그룹으로 사용자를 제한하고 싶은 경우 그룹의 SID를 추가함으로 사용자를 제한할 수 있습니다.

Add-BitLcokerProtector -MountPoint f: -ADAccountOrGroup "Domain\administrator" -ADAccountOrGroupProtector

11. 전산실 그룹 S000005_2의 SID를 KeyProtector에 추가합니다.

Add-BitLcokerProtector -MountPoint f: -ADAccountOrGroup "Domain\S000005_2" -ADAccountOrGroupProtector

추가후 F:\에 설정된 계정 SID에 대한 보호키를 확인할 수 있습니다.

12. 아래 옵션을 사용하여 F드라이브의 Bitlocker 암호를 삭제합니다.(9번 암호 참조)

이 작업으로 기존의 사용자 암호는 삭제 되며 복구키와 Domain SID만 남게 됩니다.

Remove-BitLokcerKeyProtector f: "{암호}

 

[작업 결과]

1. USB는 Domain정책을 적용받는 PC에 삽입시 암호화 여부를 확인합니다.

2. 암호화하지 않으면 USB에 대한 쓰기 금지 정책이 실행됩니다.

3. Domain join PC외 다른 PC에서 BitLocker로 암호화된 USB에 대해서도 쓰기 금지 정책이 실행됩니다.

4. BitLocker된 USB는 Domain\administrator, Domain\S000005_2계정 또는 그룹 사용자가 Login한 PC에서만 암호없이 열리게 됩니다.

5. Domain사용자라도 SID가 추가되지 않은 사용자의 PC에서는 복구키를 묻게 됩니다. 

   Domain사용자가 아닌 경우(외부PC) USB 사용시 복구키를 묻게 됩니다.

참고

https://social.technet.microsoft.com/Forums/ko-KR/f95327ba-3e49-4eff-93c4-d647334919b6/birlocker-usb-domain-pc-?forum=isaserverko#83251dd7-26e2-4076-a367-b66fc2fc0e12