MBAM 2.5 SP1 정보
Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 SP1은 BitLocker 드라이브 암호화를 위한 간소화된 관리 인터페이스를 제공합니다. BitLocker는 분실하거나 도난당한 컴퓨터에 대한 데이터 도난 또는 데이터 노출에 대한 향상된 보호를 제공합니다. BitLocker는 Windows 운영 체제 및 드라이브 및 구성된 데이터 드라이브에 저장된 모든 데이터를 암호화합니다.
MBAM 개요
MBAM 2.5 SP1에는 다음과 같은 기능이 있습니다.
관리자는 엔터프라이즈 전체의 클라이언트 컴퓨터에서 볼륨을 암호화하는 프로세스를 자동화할 수 있습니다.
보안 담당자가 개별 컴퓨터 또는 기업 자체의 규정 준수 상태를 신속하게 확인할 수 있습니다.
Microsoft System Center Configuration Manager를 사용하여 중앙 집중식 보고 및 하드웨어 관리를 제공합니다.
BitLocker PIN 및 복구 키 요청을 사용하여 최종 사용자를 지원하기 위해 지원 센터에서 워크로드를 줄입니다.
최종 사용자가 Self-Service 포털을 사용하여 암호화된 디바이스를 독립적으로 복구할 수 있습니다.
보안 담당자가 액세스 권한을 쉽게 감사하여 주요 정보를 복구할 수 있습니다.
Windows Enterprise 사용자는 회사 데이터가 보호된다는 확신을 가지고 어디서나 계속 작업할 수 있습니다.
MBAM은 엔터프라이즈에 대해 설정한 BitLocker 암호화 정책 옵션을 적용하고, 해당 정책을 사용하여 클라이언트 컴퓨터의 규정 준수를 모니터링하며, 엔터프라이즈 및 개인 컴퓨터의 암호화 상태에 대해 보고합니다. 또한 MBAM을 사용하면 사용자가 PIN 또는 암호를 잊어버리거나 BIOS 또는 부팅 레코드가 변경되는 경우 복구 키 정보에 액세스할 수 있습니다.
다음 그룹은 MBAM을 사용하여 BitLocker를 관리하는 데 관심이 있을 수 있습니다.
권한 부여 없이 기밀 데이터가 공개되지 않도록 보장할 책임이 있는 관리자, IT 보안 전문가 및 규정 준수 책임자
원격 또는 지점의 컴퓨터 보안을 담당하는 관리자
Windows를 실행하는 클라이언트 컴퓨터를 담당하는 관리자
참고
BitLocker는 이 MBAM 설명서에 자세히 설명되어 있지 않습니다. 자세한 내용은 BitLocker 드라이브 암호화 개요를 참조하세요.
MBAM 2.5 SP1의 새로운 기능
이 섹션에서는 MBAM 2.5 SP1의 새로운 기능에 대해 설명합니다.
MBAM 2.5 SP1 클라이언트에 대해 새로 지원되는 언어
이제 Self-Service 포털을 포함하여 MBAM 클라이언트에 대해서만 MBAM 2.5 SP1에서 다음 언어가 지원됩니다.
체코어(체코) cs-CZ
덴마크어(덴마크) da-DK
네덜란드어(네덜란드) nl-NL
핀란드어(핀란드) fi-FI
그리스어(그리스) el-GR
헝가리어(헝가리) hu-HU
노르웨이어, Bokmål (노르웨이) nb-NO
폴란드어(폴란드) pl-PL
포르투갈어(포르투갈) pt-PT
슬로바키아어(슬로바키아) sk-SK
슬로베니아어(슬로베니아) sl-SI
스웨덴어(스웨덴) sv-SE
터키어(Türkiye) tr-TR
MBAM 2.5 및 MBAM 2.5 SP1의 클라이언트 및 서버에 지원되는 모든 언어 목록은 MBAM 2.5 지원 구성을 참조하세요.
Windows 10 지원
MBAM 2.5 SP1은 이전 버전의 MBAM에서 지원되는 것과 동일한 소프트웨어 외에도 Windows 11, Windows 10 및 Windows Server 2016에 대한 지원을 추가합니다.
Windows 10은 MBAM 2.5 및 MBAM 2.5 SP1 모두에서 지원됩니다.
Microsoft SQL Server 2014 SP1 지원
MBAM 2.5 SP1은 이전 버전의 MBAM에서 지원되는 것과 동일한 소프트웨어 외에도 Microsoft SQL Server 2014 SP1에 대한 지원을 추가합니다.
MBAM은 더 이상 별도의 MSI와 함께 제공하지 않습니다.
MBAM 2.5 SP1부터는 별도의 MSI가 더 이상 MBAM 제품에 포함되지 않습니다. 그러나 제품에 포함된 실행 파일(.exe)에서 MSI를 추출할 수 있습니다.
MBAM은 TPM을 소유하지 않고도 OwnerAuth 암호를 에스크로할 수 있습니다.
이전에는 MBAM이 TPM을 소유하지 않은 경우 TPM OwnerAuth를 MBAM 데이터베이스에 에스크로할 수 없었습니다. TPM을 소유하고 암호를 저장하도록 MBAM을 구성하려면 TPM 자동 프로비전을 사용하지 않도록 설정하고 클라이언트 컴퓨터에서 TPM을 지워야 했습니다.
Windows 8 이상에서 MBAM 2.5 SP1은 이제 TPM을 소유하지 않고도 OwnerAuth 암호를 에스크로할 수 있습니다. 서비스를 시작하는 동안 MBAM은 TPM이 이미 소유되어 있는지 쿼리하고 있는 경우 운영 체제에서 암호를 요청합니다. 그런 다음 암호는 MBAM 데이터베이스에 에스크로됩니다. 또한 OwnerAuth가 로컬로 삭제되지 않도록 그룹 정책을 설정해야 합니다.
Windows 7에서 MBAM은 TPM을 소유하여 MBAM 데이터베이스에서 TPM OwnerAuth 정보를 자동으로 에스크로해야 합니다. MBAM이 그룹 정책을 통해 TPM 및 AD(Active Directory) 백업을 소유하지 않는 경우 MBAM AD(Active Directory) 데이터 가져오기 cmdlet을 사용하여 AD에서 MBAM 데이터베이스로 TPM OwnerAuth를 복사해야 합니다. 다음은 Active Directory에 저장된 볼륨 복구 및 TPM 소유자 정보를 사용하여 MBAM 데이터베이스를 미리 채워주는 5개의 새로운 PowerShell cmdlet입니다.
자세한 내용은 MBAM 2.5 보안 고려 사항을 참조하세요.
MBAM은 잠금 해제 후 TPM의 잠금을 자동으로 해제할 수 있습니다.
이제 TPM 1.2를 실행하는 컴퓨터에서 잠긴 경우 TPM의 잠금을 자동으로 해제하도록 MBAM을 구성할 수 있습니다. TPM 잠금 자동 재설정 기능을 사용하도록 설정하면 MBAM에서 사용자가 잠겨 있음을 감지한 다음 MBAM 데이터베이스에서 OwnerAuth 암호를 가져와서 사용자의 TPM을 자동으로 잠금 해제할 수 있습니다.
이 기능은 서버 쪽과 클라이언트 쪽의 그룹 정책 모두에서 사용하도록 설정해야 합니다. 자세한 내용은 MBAM 2.5 보안 고려 사항을 참조하세요.
FIPS 규격 BitLocker 숫자 암호 보호기 지원
MBAM 2.5에서는 Windows 8.1 운영 체제를 실행하는 디바이스에서 FIPS(Federal Information Processing Standard) 규격 BitLocker 복구 키에 대한 지원이 추가되었습니다. 그러나 Windows는 Windows 7에서 FIPS 규격 복구 키를 구현하지 않았습니다. 따라서 Windows 7 및 Windows 8 디바이스에는 여전히 복구를 위해 DRA(데이터 복구 에이전트) 보호기가 필요했습니다.
Windows 팀은 핫픽스를 사용하여 FIPS 규격 복구 키를 백포트했으며 MBAM 2.5 SP1도 지원을 추가했습니다.
참고
핫픽스가 해당 OS로 백포트되지 않았으므로 Windows 8을 실행하는 클라이언트 컴퓨터에는 여전히 DRA 보호기가 필요합니다. Windows 7 및 Windows 8 컴퓨터 용 BitLocker 핫픽스를 다운로드하고 설치하려면 BitLocker 관리 및 모니터링 2.5용 핫픽스 패키지 2 를 참조하세요. DRA에 대한 자세한 내용은 BitLocker에서 데이터 복구 에이전트 사용을 참조하세요.
조직에서 FIPS 규정 준수를 사용하도록 설정하려면 FIPS(Federal Information Processing Standard) 그룹 정책 설정을 구성해야 합니다. 구성 지침은 BitLocker 그룹 정책 설정을 참조하세요.
새 그룹 정책 설정을 사용하여 미리 부팅 복구 메시지 및 URL 사용자 지정
새 그룹 정책 설정 인 사전 부팅 복구 메시지 및 URL 구성을 사용하면 사용자 지정 복구 메시지를 구성하거나 OS 드라이브가 잠겨 있을 때 Preboot BitLocker 복구 화면에 표시되는 URL을 지정할 수 있습니다. 이 설정은 Windows 11 및 Windows 10을 실행하는 클라이언트 컴퓨터에서만 사용할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 preboot 복구 메시지에 대해 다음 옵션 중 하나를 선택할 수 있습니다.
사용자 지정 복구 메시지 사용: Preboot BitLocker 복구 화면에 사용자 지정 메시지를 포함하려면 이 옵션을 선택합니다.
사용자 지정 복구 URL 사용: 이 옵션을 선택하여 Preboot BitLocker 복구 화면에 표시되는 기본 URL을 바꿉니다.
기본 복구 메시지 및 URL 사용: Preboot BitLocker 복구 화면에 기본 BitLocker 복구 메시지 및 URL을 표시하려면 이 옵션을 선택합니다. 이전에 사용자 지정 복구 메시지 또는 URL을 구성하고 기본 메시지로 되돌리려는 경우 이 정책을 사용하도록 설정하고 이 옵션을 선택해야 합니다.
새 그룹 정책 설정은 다음 GPO 노드에 있습니다. 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>MDOP MBAM(BitLocker Management)>운영 체제 드라이브. 자세한 내용은 MBAM 2.5 그룹 정책 요구 사항 계획을 참조하세요.
MBAM이 사용된 공간 암호화에 대한 지원을 추가했습니다.
MBAM 2.5 SP1에서 BitLocker 그룹 정책을 통해 사용된 공간 암호화를 사용하도록 설정하면 MBAM 클라이언트가 이를 적용합니다.
이 그룹 정책 설정을 운영 체제 드라이브에 드라이브 암호화 유형 적용이라고 하며 컴퓨터 구성관리 템플릿>Windows 구성> 요소 >BitLocker 드라이브 암호화>운영 체제 드라이브 GPO 노드에 있습니다. 이 정책을 사용하도록 설정하고 암호화 유형을 사용된 공간 전용 암호화로 선택하는 경우 MBAM은 정책을 적용하고 BitLocker는 볼륨에 사용되는 디스크 공간만 암호화합니다.
자세한 내용은 MBAM 2.5 그룹 정책 요구 사항 계획을 참조하세요.
암호화된 하드 드라이브에 대한 MBAM 클라이언트 지원
MBAM은 Opal 및 IEEE 1667 표준에 대한 TCG 사양 요구 사항을 충족하는 암호화된 하드 드라이브의 BitLocker를 지원합니다. 이러한 디바이스에서 BitLocker를 사용하도록 설정하면 키를 생성하고 암호화된 드라이브에서 관리 기능을 수행합니다. 자세한 내용은 암호화된 하드 드라이브를 참조하세요.
SPN을 등록할 때 위임 구성이 더 이상 필요하지 않음
애플리케이션 풀 계정에 등록하는 SPN에 대해 제한된 위임을 구성하는 요구 사항은 더 이상 MBAM 2.5 SP1에서 필요하지 않습니다. 그러나 여전히 MBAM 2.5에 대한 요구 사항입니다.
Windows 배포의 일부로 MBAM을 사용하여 BitLocker 사용
MBAM 2.5 SP1에서 PowerShell 스크립트를 사용하여 BitLocker 드라이브 암호화 및 MBAM 서버에 대한 에스크로 복구 키를 구성할 수 있습니다.
자세한 내용은 Windows 배포의 일부로 MBAM을 사용하여 BitLocker를 사용하도록 설정하는 방법을 참조하세요.
Self-Service 포털은 PowerShell 또는 SSP 사용자 지정 마법사를 사용하여 사용자 지정할 수 있습니다.
MBAM 2.5 SP1을 기준으로 사용자 지정 마법사를 사용하고 PowerShell을 사용하여 Self-Service 포털을 구성할 수 있습니다. MBAM 2.5 웹 애플리케이션을 구성하는 방법을 참조하세요.
웹 브라우저가 더 이상 의도치 않게 관리자 권한으로 실행되지 않음
MBAM 2.5의 문제로 인해 서버 구성 도구의 도움말 링크로 인해 브라우저 창이 관리자 권한으로 열립니다. 이 문제는 MBAM 2.5 SP1에서 해결되었습니다.
CDN에 액세스할 수 없는 경우 더 이상 JavaScript 파일을 다운로드하여 Self-Service Portal을 구성할 필요가 없습니다.
MBAM 2.5 이하에서는 Self-Service Portal에 액세스하는 클라이언트가 인터넷에 액세스할 수 없는 경우 Self-Service Portal 구성에 사용되는 jQuery 파일을 CDN에서 미리 다운로드해야 했습니다. MBAM 2.5 SP1에서는 모든 JavaScript 파일이 제품에 포함되므로 다운로드할 필요가 없습니다.
보고서 작성기 3.0에서 보고서를 열 수 있습니다.
MBAM 2.5 SP1에서 보고서는 최신 보고서 정의 언어 스키마로 업데이트되므로 사용자가 보고서 작성기 3.0에서 보고서를 열고 사용자 지정하고 보고서 파일을 손상시키지 않고 즉시 저장할 수 있습니다.
새 PowerShell cmdlet
MBAM 2.5 SP1용 새로운 PowerShell cmdlet을 사용하면 데이터베이스, 보고서 및 웹 애플리케이션을 비롯한 다양한 MBAM 기능을 구성하고 관리할 수 있습니다. 각 기능에는 기능을 사용하거나 사용하지 않도록 설정하거나 기능에 대한 정보를 가져오는 데 사용할 수 있는 해당 PowerShell cmdlet이 있습니다.
다음 cmdlet은 MBAM 2.5 SP1에 대해 구현됩니다.
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
다음 매개 변수는 MBAM 2.5 SP1에 대한 Enable-MbamWebApplication 및 Test-MbamWebApplication cmdlet에서 구현됩니다.
DataMigrationAccessGroup
TpmAutoUnlock
cmdlet에 대한 자세한 내용은 MBAM 2.5 보안 고려 사항 및 Microsoft BitLocker 관리 및 모니터링 cmdlet 도움말을 참조하세요.
MBAM 에이전트가 프레젠테이션 모드를 검색합니다.
MBAM 에이전트는 컴퓨터가 프레젠테이션 모드에 있는 경우를 감지하고 해당 시간에 MBAM UI를 호출하지 않도록 할 수 있습니다.
이제 지연된 시작을 사용하도록 구성된 MBAM 에이전트 서비스
설치 후 서비스는 이제 지연된 시작을 사용하도록 MBAM 에이전트 서비스를 설정하여 Windows를 시작하는 데 걸리는 시간을 줄입니다.
잠긴 고정 데이터 볼륨이 이제 규격으로 보고됨
"잠긴 고정 데이터" 볼륨에 대한 규정 준수 계산 논리가 볼륨을 "준수"로 보고하도록 변경되었지만 보호기 상태 및 암호화 상태가 "알 수 없음"이고 준수 상태 세부 정보가 "볼륨이 잠김"으로 변경되었습니다. 이전에는 잠긴 볼륨이 "비준수", "암호화됨"의 보호기 상태, "알 수 없음"의 암호화 상태 및 "알 수 없는 오류"의 준수 상태 세부 정보로 보고되었습니다.
MBAM 2.5 SP1 릴리스 정보
이 설명서에 포함되지 않은 자세한 내용 및 최신 속보는 MBAM 2.5 SP1 릴리스 정보를 참조하세요.