20160825 BitLocker

■ BitLocker 설정 과정

① "BitLocker 암호 설정 기능" 설정

관리도구 > 서버 관리자 > 기능 > 기능 추가

                [ V ] BitLocker 드라이브 암호화 > 다음 > 설치 > 닫기 > 예

자동으로 재부팅 과정을 진행한다.

로그인 창이 뜨면 administrator 사용자로 로그인

② gpedit.msc 실행(TPM 대신 USB 사용할 수 있도록 설정하기)

시작 > 실행 > gpedit.msc >

로컬 그룹 정책 편집기 > 컴퓨터 구성 > 관리 템플릿 > windows 구성 요소

        > BitLocker 드라이브 암호화 > 운영체제 드라이브 > 시작 시 추가 인증 요구 >

                                        [ V ] 사용(E) > 적용 > 확인

====================================== 시작 ======================================

③ USB을 서버에 꼽기

VMware > VM > Removable Devices > USB Flash Drive > Connect

④ BitLocker 드라이브 암호화 설정

제어판 > BitLocker 드라이브 암호화 > "Encrypted(C:)" 부분에서 BitLocker 켜기 > 예 > 적당한 설정

재부팅 과정을 진행한다.

⑤ 재부팅 완료된 이후에 administrator 사용자로 로그인

잠시 이후에 다음과 같은 메세지가 나온다.

BitLocker를 사용하도록 설정 할 수 없습니다.   BitLocker 시작 키나 복구 암호를 USB 장치에서 찾을 수 없습니다. 올바른 USB 장치를 사용하는지, USB 장 치가 컴퓨터의 활성 USB 포트에 연결되어 있는지 확인 한 다음 컴퓨터를 다시 시작하고 다시 시도하십시요. 문 제가 계속되면 BIOS 업그레이드 지침에 대해 컴퓨터 제 조업체에 문의하십시오.   C:이(가) 암호화되지 않았습니다.                                   [ 닫기(C) ]

-> VMware의 특성상 충돌이 발생

====================================== 종료 ======================================

⑥ VMware 충돌 문제를 해결

(주의) ③④⑤ 작업은 수행하지 않은 상태에서 ⑥번 부터 작업을 진행한다.

BitLocker 시스템 Power OFF

VMware > VM > Settings > Add > Floppy Drive > Create a blank floppy image

                                > 파일이름(EX: bitlocker.flp) > OK

BitLocker 시스템 Power ON

administrator 사용자로 로그인

windows 탐색기에서 플로피 디스크 드라이브(A:)를 포맷한다.

⑦ VMware 충돌 문제를 해결(연속)

명령어 창에서 다음과 같이 입력한다.(볼륨의 암호화를 진행하는 명령어)

C:\Users\Administrator>cd \Windows\system32

C:\Windows\System32>cscript manage-bde.wsf -on C: -rp -sk A:

                                (cscript manage-bde.exe -on C: -rp -sk A:)

Microsoft (R) Windows Script Host 버전 5.8 Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.   BitLocker 드라이브 암호화: 구성 도구 버전 6.1.7601 Copyright (C) Microsoft Corporation. 모든 권리 보유.   경고: 스크립트 manage-bde.wsf는 지원되지 않습니다. manage-bde.exe를 사용하십시오.   C: 볼륨 [Encrypted] [OS 볼륨] 추가된 키 보호기:       A: 디렉터리에 저장되었습니다.       외부 키:       ID: {685792F1-FAE1-412A-9D80-7769A711836B}       외부 키 파일 이름:         685792F1-FAE1-412A-9D80-7769A711836B.BEK       숫자 암호:       ID: {17F1422D-9FDD-4C48-A156-E10A5852B57E}       암호:         204963-086515-142109-513381-153582-005555-713922-707322   해결 방법:       1. 이 숫자 복구 암호를 컴퓨터가 아닌 안전한 장소에     보관하십시오.       204963-086515-142109-513381-153582-005555-713922-707322    <--- 이 부분 복사       데이터가 손실되지 않도록 이 암호를 즉시 저장하십시오. 이 암호를 사용하면     암호화된 볼륨의 잠금을 해제할 수 있습니다.       2. 외부 키 파일이 있는 USB 플래시 드라이브를 컴퓨터에 넣으십시오.       3. 하드웨어 테스트를 실행하려면 컴퓨터를 다시 시작하십시오.     명령줄 명령을 보려면 "shutdown /?"를 입력하십시오.       4. "manage-bde -status"를 입력하여 하드웨어 테스트가 성공했는지 확인하십시오 .   참고: 하드웨어 테스트에 성공한 후에 암호화가 시작됩니다.

-> 위의 빨간색으로 표시난 부분을 복사 합니다.

-> (주의) 이 부분을 반드시 복사해야 합니다.

USB 드라이브에 위의 내용(복사된 내용)을 가지고 있는 파일을 생성(EX: E:\BitLocker암호.txt)

⑧ VMware 충돌 문제를 해결(연속)

명령어 창에서 다음과 같이 입력한다.

C:\Windows\System32>cscript manage-bde.wsf -status  (cscript manage-bde.exe -status)

C:\Windows\System32>cscript manage-bde.wsf -status Microsoft (R) Windows Script Host 버전 5.8 Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.   BitLocker 드라이브 암호화: 구성 도구 버전 6.1.7601 Copyright (C) Microsoft Corporation. 모든 권리 보유.   경고: 스크립트 manage-bde.wsf는 지원되지 않습니다. manage-bde.exe를 사용하십시오.   BitLocker 드라이브 암호화로 보호할 수 있는 디스크 볼륨: E: 볼륨 [USB DRIVE] [데이터 볼륨]       크기:                 15.10GB     BitLocker 버전:       None     변환 상태:           완전 암호 해독됨     암호화된 비율:       0%     암호화 방법:          없음     보호 상태:           보호 해제     잠금 상태:            잠금 해제됨     ID 필드:             없음     자동 잠금 해제:       사용 안 함     키 보호기:            없음   C: 볼륨 [Encrypted] [OS 볼륨]       크기:                  38.04GB     BitLocker 버전:       Windows 7     변환 상태:           완전 암호 해독됨     암호화된 비율:       0%     암호화 방법:          없음     보호 상태:           보호 해제     잠금 상태:            잠금 해제됨     ID 필드:             없음     키 보호기:         외부 키         숫자 암호   해결 방법:       1. 이 숫자 복구 암호를 컴퓨터가 아닌 안전한 장소에 보관하십시오.       204963-086515-142109-513381-153582-005555-713922-707322       데이터가 손실되지 않도록 이 암호를 즉시 저장하십시오. 이 암호를 사용하면     암호화된 볼륨의 잠금을 해제할 수 있습니다.       2. 외부 키 파일이 있는 USB 플래시 드라이브를 컴퓨터에 넣으십시오.       3. 하드웨어 테스트를 실행하려면 컴퓨터를 다시 시작하십시오.     명령줄 명령을 보려면 "shutdown /?"를 입력하십시오.       4. "manage-bde -status"를 입력하여 하드웨어 테스트가 성공했는지 확인하십시오 .   참고: 하드웨어 테스트에 성공한 후에 암호화가 시작됩니다.

BitLocker 시스템 Power OFF

VMware > Power > Power On to BIOS

(주의) Hard Disk 를 부팅 순서에서 가장 위쪽으로 올림(Floppy 보다 높인다.)

BitLocker 시스템 부팅 과정 진행 후 administrator 사용자로 로그인

(참고) 풍선 도움말 부분을 선택하면 BitLocker 드라이브 암호화에 대한 진행률을 볼수 있다.

       -> 풍선 도움말을 선택하여 진행률을 확인한다.

암호화가 완료되면 닫기를 선택한다.(오랜 시간이 걸린다.)

⑨ BitLocker 암호화 동작 유/무 테스트

BitLocker 시스템 reboot

-> 정상적으로 로그인 된다.(Floppy 암호화가 된 키가 존재한다.(실제는 USB안에 있다.))

administrator 사용자로 로그인

BitLocker 시스템 Power OFF

VMware > VM > Settings > Floppy 선택 > [  ] Connect at power on

부팅과정 중 다음과 같은 화면이 나온다.

-> <ENTER>

이전에 USB 안에 저장한 복구키를 입력하면 된다.

        (EX: 204963-086515-142109-513381-153582-005555-713922-707322)

-> 자동으로 정상 부팅될것이다.

administrator 사용자로 로그인한다.

⑩ BitLocker 기능 OFF

제어판 > BitLocker 드라이브 암호화 > Encrypted (C:) 에서 BitLocker 끄기 선택

암호 해독 과정이 자동으로 진행된다.(필요하면 풍선 도움말을 선택한다.)

-> 많은 시간이 걸린다.

BitLocker 시스템을 reboot 하여 암호 없이도 부팅이 가능하지 확인한다.

administrator 사용자로 로그인하여 BitLocker 시스템을 Power OFF 한다.

윈도우즈 서버 보안에 대해서 반드시 공부 해야 할 내용들

● 감사 정책(Audit Policy)

● 도메인 계정 및 로컬 계정(Domain Account & Local Account)과 관련된 보안 - LDAP

● Windows Server 2008 방화벽(Windows Server 2008 Firewall)과 관련된 보안 설정

● 새로운 보안 그룹의 사용(Cryptographic Operators 그룹등)

● RODC(읽기 전용 도메인 컨트롤러, Read Only Domain Controller)의 보안 설정

● Server Core 설치를 통한 보안 강화

● NAP(Network Access Protection) 및 NAQ(Network Access Quarantine control)