암호화 기술을 선택할 수 있습니다: Kaspersky 디스크 암호화 또는 BitLocker 드라이브 암호화(이후 간단히 "BitLocker"로도 호칭).
Kaspersky 디스크 암호화
시스템 하드 드라이브가 암호화된 이후에 컴퓨터를 시작할 때 사용자는 인증 에이전트의 인증을 거쳐야 하드 드라이브 접근 권한이 부여되어 운영 체제가 로드됩니다. 이때 컴퓨터에 연결된 토큰 또는 스마트카드의 암호, 아니면 LAN 관리자가 인증 에이전트 계정 관리 작업을 사용해 만든 인증 에이전트 계정의 사용자 이름 및 암호를 입력해야 합니다. 이러한 계정은 운영 체제에 로그인하는 사용자의 Microsoft Windows 계정에 기반합니다. Single Sign-On(SSO) 기술을 사용하면 인증 에이전트 계정의 사용자 이름과 암호를 사용하여 운영 체제에 자동으로 로그인할 수 있습니다.
인증 에이전트 내의 사용자 인증은 다음 두 가지 방법으로 실행할 수 있습니다:
컴퓨터 하드 드라이브가 AES256 암호화 알고리즘을 사용해 암호화된 경우에 토큰 또는 스마트 카드만 사용할 수 있습니다. 컴퓨터 하드 드라이브가 AES56 암호화 알고리즘을 사용해 암호화된 경우에는 해당 명령에 전자 인증서 파일 추가가 거부됩니다.
BitLocker 드라이브 암호화
BitLocker는 Windows 운영 체제에 내장된 암호화 기술입니다. Kaspersky Endpoint Security를 사용하면 Kaspersky Security Center를 통해 Bitlocker를 제어하고 관리할 수 있습니다. BitLocker는 논리 볼륨을 암호화합니다. BitLocker는 이동식 드라이브 암호화에 사용할 수 없습니다. BitLocker에 대한 자세한 내용은 Microsoft 설명서를 참조하십시오.
BitLocker는 신뢰하는 플랫폼 모듈을 사용하여 접근 허용 키를 안전하게 저장합니다. 신뢰하는 플랫폼 모듈(TPM)은 보안 관련 기본 기능을 제공하도록 개발된 마이크로칩(예: 암호화 키 저장)입니다. 신뢰하는 플랫폼 모듈은 보통 컴퓨터 마더보드에 설치하고 하드웨어 버스를 통해 다른 모든 시스템 구성 요소와 상호 작용합니다. TPM은 시작 전 시스템 무결성 확인을 제공하므로 TPM을 사용하는 것이 BitLocker 접근 허용 키를 저장하는 가장 안전한 방법입니다. TPM 없이도 여전히 컴퓨터에서 드라이브를 암호화할 수 있습니다. 이 경우 접근 허용 키는 암호로 암호화됩니다. BitLocker는 다음 인증 방법을 사용합니다:
드라이브를 암호화한 후 BitLocker는 마스터 키를 만듭니다. Kaspersky Endpoint Security 는 마스터 키를 Kaspersky Security Center로 전송하여, 예를 들어 사용자가 암호를 잊어버린 경우 디스크로의 접근을 복원할 수 있습니다.
사용자가 BitLocker로 디스크를 암호화하는 경우 Kaspersky Endpoint Security는 디스크 암호화에 대한 정보를 Kaspersky Security Center로 전송합니다. 그러나 Kaspersky Endpoint Security는 마스터 키를 Kaspersky Security Center로 보내지 않으므로 Kaspersky Security Center를 사용하여 디스크로의 접근을 복원할 수 없습니다. BitLocker가 Kaspersky Security Center와 올바르게 작동하려면 드라이브를 복호화하고 정책을 사용하여 드라이브를 다시 암호화하십시오. 드라이브를 로컬로 복호화하거나 정책을 사용하여 복호화할 수 있습니다.
시스템 하드 드라이브를 암호화한 후, 운영체제를 부팅하려면 BitLocker 인증을 거쳐야 합니다. 인증 절차 후 BitLocker가 사용자의 로그인을 허용합니다. BitLocker는 SSO(single sign-on) 기술을 지원하지 않습니다.
Windows 그룹 정책을 사용하는 경우 정책 설정에서 BitLocker 매니지먼트를 해제합니다. Windows 정책 설정이 Kaspersky Endpoint Security 정책 설정과 충돌할 수 있습니다. 드라이브를 암호화할 때 오류가 발생할 수 있습니다.
Kaspersky 디스크 암호화 구성 요소 설정
파라미터 |
설명 |
|---|---|
암호화 모드 |
모든 하드 드라이브 암호화. 이 항목을 선택하면 정책을 적용할 때 애플리케이션이 모든 하드 드라이브를 암호화합니다. 여러 운영 체제가 설치된 컴퓨터인 경우 암호화 후 애플리케이션이 설치된 운영 체제만 로드할 수 있습니다. 모든 하드 드라이브 복호화. 이 항목을 선택하면 정책을 적용할 때 애플리케이션이 모든 이전에 암호화된 하드 드라이브를 복호화합니다. 있는 그대로 둠. 이 항목을 선택하면 정책을 적용할 때 애플리케이션은 이전 상태로 드라이브를 남겨 둡니다. 드라이브가 암호화되면 암호화된 상태로 남아 있습니다. 드라이브가 복호화되면 복호화된 상태로 남아 있습니다. 이 항목은 기본적으로 선택되어 있습니다. |
암호화 시 자동으로 Windows 사용자에 대한 인증 에이전트 계정 생성 |
이 확인란을 선택하면 애플리케이션이 컴퓨터의 Windows 사용자 계정 목록을 기반으로 인증 에이전트 계정을 만듭니다. 기본적으로 Kaspersky Endpoint Security는 사용자가 지난 30일 동안 운영 체제에 로그인한 모든 로컬 및 도메인 계정을 사용합니다. |
인증 에이전트 계정 생성 설정 |
컴퓨터에 있는 모든 계정. 항상 활성화된 컴퓨터의 모든 계정. 컴퓨터에 있는 모든 도메인. 일부 도메인에 속하고 항상 활성화된 컴퓨터의 모든 계정. 컴퓨터에 있는 모든 로컬 계정. 항상 활성화된 컴퓨터의 모든 로컬 계정. 일회성 암호를 사용하는 서비스 계정. 서비스 계정은 사용자가 암호를 잊어버렸을 때와 같은 상황에서 컴퓨터에 액세스하는 데 필요합니다. 서비스 계정을 예비 계정으로 사용할 수도 있습니다. 계정 이름을 입력해야 합니다(기본값은 로컬 관리자. Kaspersky Endpoint Security가 컴퓨터의 로컬 관리자에 대한 인증 에이전트 사용자 계정을 생성합니다. 컴퓨터 관리자. Kaspersky Endpoint Security가 컴퓨터 관리자 계정에 대한 인증 에이전트 사용자 계정을 생성합니다. Active Directory의 컴퓨터 속성에서 컴퓨터 관리자 역할이 있는 계정을 확인할 수 있습니다. 기본적으로 컴퓨터 관리자 역할은 정의되어 있지 않으므로, 어떤 계정에도 해당하지 않습니다. 사용 중인 계정. Kaspersky Endpoint Security는 디스크 암호화 시 활성화된 계정에 대한 인증 에이전트 계정을 자동으로 생성합니다. |
이 컴퓨터의 모든 사용자에 대해 로그인 시 인증 에이전트 계정 자동 생성 |
이 확인란을 선택하면 애플리케이션이 인증 에이전트를 시작하기 전에 컴퓨터의 Windows 사용자 계정에 대한 정보를 확인합니다. Kaspersky Endpoint Security가 인증 에이전트 계정이 없는 Windows 사용자 계정을 감지하면 애플리케이션이 암호화된 드라이브에 접근하기 위한 새 계정을 생성합니다. 새 인증 에이전트 계정에는 다음 기본 설정이 있습니다: 암호를 사용한 로그인만 허용, 첫 인증 후 암호 변경. 따라서 이미 암호화된 드라이브가 있는 컴퓨터에 대해서는 인증 에이전트 계정 관리 작업을 사용하여 인증 에이전트 계정을 직접 추가할 필요가 없습니다. |
인증 에이전트에 입력되는 사용자 이름 저장 |
확인란을 선택하면 애플리케이션이 인증 에이전트 계정의 이름을 저장합니다. 다음 번에 동일한 계정을 사용해 인증 에이전트에서 인증할 때 계정 이름을 입력하라고 요구하지 않게 됩니다. |
사용한 디스크 공간만 암호화(암호화 시간 단축) |
이 확인란은 사용된 하드 드라이브 섹터 영역만 암호화하도록 제한하는 옵션을 작동하거나 중지합니다. 이렇게 제한하면 암호화 시간을 줄일 수 있습니다. 암호화 시작 후 사용한 디스크 공간만 암호화(암호화 시간 단축) 기능을 활성화 또는 비활성화해도 하드 드라이브를 복호화하기 전까지는 이 설정이 수정되지 않습니다. 암호화를 시작하기 전에 확인란을 선택 또는 선택 해제해야 합니다. 이 확인란을 선택하면 하드 드라이브에서 파일이 저장되어 있는 부분만 암호화됩니다. Kaspersky Endpoint Security는 새로 데이터가 추가될 때마다 자동으로 데이터를 암호화합니다. 확인란이 비어 있으면 이전에 삭제 및 수정되고 남은 파일 조각을 포함하여 전체 하드 드라이브가 암호화됩니다. 이 옵션은 데이터를 수정하거나 삭제하지 않은 새 하드 드라이브에 사용하는 것이 좋습니다. 이미 사용 중인 하드 드라이브에 암호화를 적용할 경우 전체 하드 드라이브를 암호화하는 것이 좋습니다. 이를 통해 복구 가능한 삭제된 데이터까지 포함하여 모든 데이터를 보호할 수 있습니다. 기본적으로 이 확인란은 선택 해제되어 있습니다. |
레거시 USB 지원 사용(권장 안 함) |
이 확인란은 레거시 USB 지원 기능을 활성화/비활성화합니다. 레거시 USB 지원은 운영 체제(BIOS 모드)를 시작하기 전에 컴퓨터 부팅 단계에서 USB 장치(예: 보안 토큰)를 사용할 수 있는 BIOS/UEFI 기능입니다. 운영 체제가 시작된 후에는 레거시 USB 지원은 USB 장치 지원에 영향을 미치지 않습니다. 이 확인란을 선택하면 컴퓨터 가동을 시작할 때 USB 장치 지원이 작동합니다. 레거시 USB 지원 기능이 활성화된 경우 BIOS 모드의 인증 에이전트는 USB를 통한 토큰 작업을 지원하지 않습니다. 하드웨어 호환성 문제가 발생한 컴퓨터에 한해서만 이 옵션을 사용하는 것이 좋습니다. |
암호 설정 |
인증 에이전트 계정 암호 강도 설정. Single Sign-on 기술을 사용하는 경우 인증 에이전트는 Kaspersky Security Center에 지정된 암호 강도 요건을 무시합니다. 운영 체제 설정에서 암호 강도 요건을 설정할 수 있습니다. |
Single Sign-On(SSO) 기술 사용 |
SSO 기술을 사용하면 암호화된 하드 드라이브 접근 및 운영 체제 로그인에 동일한 계정 자격 증명을 사용할 수 있습니다. 이 확인란을 선택하면 암호화된 하드 드라이브 접근을 위해 계정 자격 증명을 입력해야 하며, 따라서 운영 체제에 자동 로그인됩니다. 이 확인란의 선택을 취소하면 암호화된 하드 드라이브에 접근하고 이후 운영 체제에 로그인하기 위해 암호화된 하드 드라이브 접근을 위한 자격 증명과 운영 체제 사용자 계정 자격 증명을 별도로 입력해야 합니다. |
타사 자격 증명 공급업체 래핑 |
Kaspersky Endpoint Security는 타사 자격 증명 공급업체인 ADSelfService Plus를 지원합니다. 타사 자격 증명 공급업체와 작업 시, 인증 에이전트는 운영 체제가 로드되기 전에 암호를 가로챕니다. 즉, 사용자는 Windows에 로그인할 때 암호를 한 번만 입력하면 됩니다. 사용자는 Windows에 로그인한 후 기업 서비스 인증 등을 위해 타사 자격 증명 공급업체의 기능을 활용할 수 있습니다. 타사 자격 증명 공급업체 사용 시, 사용자가 독자적으로 암호를 재설정할 수도 있습니다. 이때 Kaspersky Endpoint Security는 인증 에이전트의 암호를 자동으로 업데이트합니다. 애플리케이션에서 지원하지 않는 타사 자격 증명 공급업체 사용 시, Single Sign-On 기술 동작에 몇 가지 제한이 생길 수 있습니다. |
도움말 |
인증. 계정 자격 증명을 입력할 때 인증 에이전트 창에 표시되는 도움말 텍스트입니다. 암호 변경. 인증 에이전트 계정의 암호를 변경할 때 인증 에이전트 창에 표시되는 도움말 텍스트입니다. 암호 복구. 인증 에이전트 계정의 암호를 복구할 때 인증 에이전트 창에 표시되는 도움말 텍스트입니다. |
BitLocker 드라이브 암호화 구성 요소 설정
파라미터 |
설명 |
|---|---|
암호화 모드 |
모든 하드 드라이브 암호화. 이 항목을 선택하면 정책을 적용할 때 애플리케이션이 모든 하드 드라이브를 암호화합니다. 여러 운영 체제가 설치된 컴퓨터인 경우 암호화 후 애플리케이션이 설치된 운영 체제만 로드할 수 있습니다. 모든 하드 드라이브 복호화. 이 항목을 선택하면 정책을 적용할 때 애플리케이션이 모든 이전에 암호화된 하드 드라이브를 복호화합니다. 있는 그대로 둠. 이 항목을 선택하면 정책을 적용할 때 애플리케이션은 이전 상태로 드라이브를 남겨 둡니다. 드라이브가 암호화되면 암호화된 상태로 남아 있습니다. 드라이브가 복호화되면 복호화된 상태로 남아 있습니다. 이 항목은 기본적으로 선택되어 있습니다. |
태블릿에서 사전 부팅 키보드 입력이 필요한 BitLocker 인증 사용 활성화 |
이 확인란은 부팅 전 환경에서 데이터 입력이 필요한 인증 사용을 작동 또는 중지합니다. 플랫폼에서 부팅 전 입력 기능을 제공하지 않는 경우(예: 태블릿에서 터치스크린 키보드 사용)에도 마찬가지입니다. 태블릿 컴퓨터의 터치 스크린은 preboot 환경에서 사용할 수 없습니다. 예를 들어 태블릿 컴퓨터에서 BitLocker 인증을 완료하려면 사용자가 USB 키보드를 연결해야 합니다. 이 확인란을 선택하면 부팅 전 입력이 필요한 인증 사용이 허용됩니다. 부팅 전 환경에서 대안적 데이터 입력 도구(예: 터치스크린 키보드 외에 USB 키보드)가 있는 장치에 한해 이 설정을 사용하는 것이 좋습니다. 확인란을 선택 최소하면 태블릿에서 BitLocker 드라이브 암호화를 사용할 수 없습니다. |
하드웨어 암호화 사용(Windows 8 이상 버전) |
이 확인란을 선택하면 애플리케이션이 하드웨어 암호화를 적용합니다. 이 방법을 사용하면 암호화 속도가 빨라지고 컴퓨터 리소스를 적게 사용합니다. |
사용된 디스크 공간만 암호화(Windows 8 이상 버전) |
이 확인란은 사용된 하드 드라이브 섹터 영역만 암호화하도록 제한하는 옵션을 작동하거나 중지합니다. 이렇게 제한하면 암호화 시간을 줄일 수 있습니다. 암호화 시작 후 사용한 디스크 공간만 암호화(암호화 시간 단축) 기능을 활성화 또는 비활성화해도 하드 드라이브를 복호화하기 전까지는 이 설정이 수정되지 않습니다. 암호화를 시작하기 전에 확인란을 선택 또는 선택 해제해야 합니다. 이 확인란을 선택하면 하드 드라이브에서 파일이 저장되어 있는 부분만 암호화됩니다. Kaspersky Endpoint Security는 새로 데이터가 추가될 때마다 자동으로 데이터를 암호화합니다. 확인란이 비어 있으면 이전에 삭제 및 수정되고 남은 파일 조각을 포함하여 전체 하드 드라이브가 암호화됩니다. 이 옵션은 데이터를 수정하거나 삭제하지 않은 새 하드 드라이브에 사용하는 것이 좋습니다. 이미 사용 중인 하드 드라이브에 암호화를 적용할 경우 전체 하드 드라이브를 암호화하는 것이 좋습니다. 이를 통해 복구 가능한 삭제된 데이터까지 포함하여 모든 데이터를 보호할 수 있습니다. 기본적으로 이 확인란은 선택 해제되어 있습니다. |
인증 방법 |
암호만(Windows 8 이상 버전) 이 옵션을 선택하면 사용자가 암호화된 드라이브에 접근하려고 시도할 때 Kaspersky Endpoint Security가 사용자에게 암호 입력을 요구합니다. 신뢰하는 플랫폼 모듈(TPM)을 사용하지 않는 경우 이 옵션을 선택할 수 있습니다. 신뢰하는 플랫폼 모듈(TPM) 이 옵션을 선택하면 BitLocker가 신뢰하는 플랫폼 모듈(TPM)을 사용합니다. 신뢰하는 플랫폼 모듈(TPM)은 보안 관련 기본 기능을 제공하도록 개발된 마이크로칩(예: 암호화 키 저장)입니다. 신뢰하는 플랫폼 모듈은 보통 컴퓨터 마더보드에 설치하고 하드웨어 버스를 통해 다른 모든 시스템 구성 요소와 상호 작용합니다. Windows 7 또는 Windows Server 2008 R2를 실행하는 컴퓨터의 경우 TPM 모듈을 사용한 암호화만 수행할 수 있습니다. TPM 모듈이 설치되어 있지 않으면 BitLocker 암호화를 사용할 수 없습니다. 이러한 컴퓨터에서 암호를 사용하는 것은 지원되지 않습니다. 신뢰하는 플랫폼 모듈이 설치된 장치는 장치에서만 복호화할 수 있는 암호화 키를 만들 수 있습니다. 신뢰하는 플랫폼 모듈은 고유의 루트 스토리지 키를 사용하여 암호화 키를 암호화합니다. 루트 스토리지 키는 신뢰하는 플랫폼 모듈 내에 저장됩니다. 암호화 키 해킹 시도에 맞서 추가적인 보호 수준을 제공할 수 있습니다. 이 처리 방법은 기본적으로 선택되어 있습니다. 암호화 키 접근에 대해 추가적으로 보호를 설정할 수 있으며, 키를 암호나 PIN로 암호화할 수 있습니다.
|