네트워크를 통해 복구 데이터 암호화
적용 대상: Configuration Manager(현재 분기)
BitLocker 관리 정책을 만들 때 Configuration Manager 관리 지점에 복구 서비스를 배포합니다. BitLocker 관리 정책의 클라이언트 관리 페이지에서 BitLocker Management Services를 구성할 때 클라이언트는 사이트 데이터베이스에 키 복구 정보를 백업합니다. 이 정보에는 BitLocker 복구 키, 복구 패키지 및 TPM 암호 해시가 포함됩니다. 사용자가 보호된 디바이스에서 잠긴 경우 이 정보를 사용하여 디바이스에 대한 액세스를 복구할 수 있습니다.
이 정보의 중요한 특성을 감안할 때, 당신은 그것을 보호해야합니다.
중요
버전 2103부터 복구 서비스의 구현이 변경되었습니다. 더 이상 레거시 MBAM 구성 요소를 사용하지 않지만 여전히 개념적으로 복구 서비스라고 합니다. 모든 버전 2103 클라이언트는 관리 지점의 메시지 처리 엔진 구성 요소를 복구 서비스로 사용합니다. 보안 클라이언트 알림 채널을 통해 복구 키를 에스크로합니다. 이 변경으로 향상된 HTTP에 Configuration Manager 사이트를 사용하도록 설정할 수 있습니다. 이 구성은 Configuration Manager BitLocker 관리 기능에 영향을 주지 않습니다.
사이트와 클라이언트가 모두 Configuration Manager 버전 2103 이상을 실행하는 경우 클라이언트는 보안 클라이언트 알림 채널을 통해 관리 지점에 복구 키를 보냅니다. 클라이언트가 버전 2010 이하인 경우 키를 에스크로하려면 관리 지점에서 HTTPS 지원 복구 서비스가 필요합니다.
HTTPS 인증서 요구 사항
참고
이러한 요구 사항은 사이트가 버전 2010 이하이거나 Configuration Manager 클라이언트 버전 2010 이하의 디바이스에 BitLocker 관리 정책을 배포하는 경우에만 적용됩니다.
Configuration Manager 네트워크를 통해 전송 중인 데이터를 암호화하려면 클라이언트와 복구 서비스 간의 보안 연결이 필요합니다. 다음 옵션 중 하나를 사용합니다.
HTTPS는 전체 관리 지점 역할이 아닌 복구 서비스를 호스트하는 관리 지점에서 IIS 웹 사이트를 사용하도록 설정합니다.
HTTPS에 대한 관리 지점을 구성합니다. 관리 지점의 속성에서 클라이언트 연결 설정은HTTPS여야 합니다.
참고
사이트에 둘 이상의 관리 지점이 있는 경우 BitLocker 관리 클라이언트가 잠재적으로 통신할 수 있는 사이트의 모든 관리 지점에서 HTTPS를 사용하도록 설정합니다. HTTPS 관리 지점을 사용할 수 없는 경우 클라이언트는 HTTP 관리 지점으로 장애 조치한 다음 복구 키를 에스크로하지 못할 수 있습니다.
이 권장 사항은 HTTPS에 대한 관리 지점을 사용하도록 설정하거나 관리 지점에서 복구 서비스를 호스트하는 IIS 웹 사이트를 사용하도록 설정하는 두 옵션 모두에 적용됩니다.
HTTPS에 대한 관리 지점 구성
이전 버전의 Configuration Manager 현재 분기에서 BitLocker 복구 서비스를 통합하려면 관리 지점을 HTTPS로 사용하도록 설정해야 했습니다. HTTPS 연결은 Configuration Manager 클라이언트에서 관리 지점으로 네트워크를 통해 복구 키를 암호화하는 데 필요합니다. HTTPS에 대한 관리 지점 및 모든 클라이언트를 구성하는 것은 많은 고객에게 어려울 수 있습니다.
IIS 웹 사이트 HTTPS 사용
이제 HTTPS 요구 사항은 전체 관리 지점 역할이 아닌 복구 서비스를 호스트하는 IIS 웹 사이트에 대한 것입니다. 이 구성은 인증서 요구 사항을 완화하고 전송 중인 복구 키를 여전히 암호화합니다.
관리 지점의 클라이언트 연결 속성은 HTTP 또는 HTTPS일 수 있습니다. 관리 지점이 HTTP에 대해 구성된 경우 BitLocker 복구 서비스를 지원합니다.
서버 인증 인증서를 획득합니다. BitLocker 복구 서비스를 호스트하는 관리 지점의 IIS 웹 사이트에 인증서를 바인딩합니다.
서버 인증 인증서를 신뢰하도록 클라이언트를 구성합니다. 이 트러스트를 수행하는 방법에는 두 가지가 있습니다.
퍼블릭 및 전역적으로 신뢰할 수 있는 인증서 공급자의 인증서를 사용합니다. Windows 클라이언트에는 이러한 공급자의 신뢰할 수 있는 루트 CA(인증 기관)가 포함됩니다. 이러한 공급자 중 하나에서 발급한 서버 인증 인증서를 사용하면 클라이언트에서 자동으로 신뢰해야 합니다.
조직의 PKI(공개 키 인프라)에서 CA에서 발급한 인증서를 사용합니다. 대부분의 PKI 구현은 신뢰할 수 있는 루트 CA를 Windows 클라이언트에 추가합니다. 예를 들어 그룹 정책과 함께 Active Directory 인증서 서비스를 사용합니다. 클라이언트가 자동으로 신뢰하지 않는 CA에서 서버 인증 인증서를 발급하는 경우 CA 신뢰할 수 있는 루트 인증서를 클라이언트에 추가합니다.
팁
복구 서비스와 통신해야 하는 클라이언트는 BitLocker 관리 정책을 사용하여 대상으로 지정할 클라이언트뿐이며 클라이언트 관리 규칙을 포함합니다.
연결 문제 해결
클라이언트에서 BitLockerManagementHandler.log 를 사용하여 이 연결 문제를 해결합니다. 복구 서비스에 연결하려면 로그에 클라이언트가 사용 중인 URL이 표시됩니다. Configuration Manager 버전에 따라 로그에서 항목을 찾습니다.
- 버전 2103 이상에서는 항목이 로 시작됩니다.
Recovery keys escrowed to MP
- 버전 2010 이하에서는 항목이 로 시작됩니다.
Checking for Recovery Service at
다음 단계
데이터베이스의 복구 데이터 암호화 는 정책을 처음으로 배포하기 전에 선택적 필수 구성 요소입니다.