C드라이브 Bitlocker 부팅 암호 추가 및 변경 방법 (패스워드 PIN)
몇 달전 친구에게 Bitlocker를 가르쳐줬는데 소중한 데이터를 보호하기 위해 백업 저장장치인 D드라이브는 Bitlocker로 암호화해서 데이터를 잘 지켰는데 C드라이브도 암호화하고 싶은데 막히는 부분이 있다고 해서 카페에서 만나 도와줬습니다.
그간 나름 보안 지식이 쌓였는지 질문이 많았는데요. 그 중에서 자신의 컴퓨터가 도난, 압수수색 등을 당한 상황을 가정하며 부팅 및 운영체제 용도의 C:를 최대한 안전하게 보호하려면 어떻게 해야하는지 물어봐서 알려주며 세팅해줬습니다.
아무래도 윈도우 자체 비밀번호 만으로는 조금 마음이 편치않은것이 사실이죠. 쉽게 세팅할 수 있고 매우 안전한 방법은 부팅할 때 bitlocker 비밀번호를 입력해야 부팅이 가능하게 하는 것 입니다.
친구 컴퓨터에서 캡쳐를 못해서 제 컴퓨터에서 같은 상황을 만들어 다시 세팅해봤습니다.
이 글의 목적은 2가지 입니다.
- Bitlocker 패스워드/변경 추가하는 방법
- 패스워드 추가 옵션이 없거나, 위의 방법으로 안되는 경우 해결 방법
Bitlocker 암호(패스워드) 관련 명령어
아래의 긴 내용이 나오는데 어떤 명령어들이 있나 궁금하지 않은 분들은 넘어가셔도 됩니다.
C:\Windows\System32>manage-bde -protectors -add -?
BitLocker 드라이브 암호화: 구성 도구 버전 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
manage-bde -protectors -add 볼륨
[{-ForceUpgrade}]
[{-RecoveryPassword|-rp} [숫자 암호]]
[{-RecoveryKey|-rk} 외부 키 디렉터리 경로]
[{-StartupKey|-sk} 외부 키 디렉터리 경로]
[{-Certificate|-cert} {-cf 인증서 파일 경로|
-ct 인증서 지문}]
[-TPM]
[{-TPMAndPIN|-tp}]
[{-TPMAndStartupKey|-tsk} 외부 키 디렉터리 경로]
[{-TPMAndPINAndStartupKey|-tpsk} -tsk
외부 키 디렉터리 경로]
[{-Password|-pw}]
[{-ADAccountOrGroup|-sid} {SID|domain\user|domain\group}
[-service]}]
[{-ComputerName|-cn} 컴퓨터 이름]
[{-?|/?}] [{-Help|-h}]
설명:
키 보호 방법을 추가합니다.
매개 변수 목록:
볼륨 다음에 콜론, 볼륨 GUID 경로 또는 탑재된 볼륨이 나오는
드라이브 문자입니다. 예: "C:",
\?\Volume{26a21bda-a627-11d7-9931-806e6f6e6963}\ 또는
"C:\MountVolume"
-ForceUpgrade
BitLocker 버전을 강제로 업그레이드하도록 합니다.
-RecoveryPassword 또는 -rp
숫자 암호 보호기를 추가합니다.
-RecoveryKey 또는 -rk
복구용 외부 키 보호기를 추가합니다.
-StartupKey 또는 -sk
시작용 외부 키 보호기를 추가합니다.
-Certificate 또는 -cert
데이터 볼륨의 공개 키 보호기를 추가합니다.
-TPMAndPIN 또는 -tp
OS 볼륨의 TPM 및 PIN 보호기를 추가합니다.
-TPMAndStartupKey 또는 -tsk
OS 볼륨의 TPM 및 시작 키 보호기를 추가합니다
-TPMAndPINAndStartupKey 또는 -tpsk
OS 볼륨의 TPM과 PIN 및 시작 키 보호기를 추가합니다.
-tpm OS 볼륨의 TPM 보호기를 추가합니다.
-Password 또는 -pw
볼륨의 암호 키 보호기를 추가합니다.
-ADAccountOrGroup 또는 -sid
볼륨에 대한 SID 기반 ID 보호기를 추가합니다.
-ComputerName 또는 -cn
다른 컴퓨터에서 실행합니다. 예: "ComputerX", "127.0.0.1"
-? 또는 /? 간단한 도움말을 표시합니다. 예: "-ParameterSet -?"
-Help 또는 -h 전체 도움말을 표시합니다. 예: "-ParameterSet -h"
예:
manage-bde -protectors -add e: -RecoveryPassword
manage-bde -protectors -add e: -rp -rk h:\
manage-bde -protectors -add e: -TPMAndPIN
manage-bde -protectors -add e: -Certificate -cf
"c:\File Folder\Filename.cer"
manage-bde -protectors -add e: -pw
manage-bde -protectors -add e: -sid Domain\User
manage-bde -protectors -add e: -sid Domain\Machine$ -service
C:\Windows\System32>
C:\Windows\System32>manage-bde -protectors -add -?
BitLocker 드라이브 암호화: 구성 도구 버전 10.0.22621
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
manage-bde -protectors -add 볼륨
[{-ForceUpgrade}]
[{-RecoveryPassword|-rp} [숫자 암호]]
[{-RecoveryKey|-rk} 외부 키 디렉터리 경로]
[{-StartupKey|-sk} 외부 키 디렉터리 경로]
[{-Certificate|-cert} {-cf 인증서 파일 경로|
-ct 인증서 지문}]
[-TPM]
[{-TPMAndPIN|-tp}]
[{-TPMAndStartupKey|-tsk} 외부 키 디렉터리 경로]
[{-TPMAndPINAndStartupKey|-tpsk} -tsk
외부 키 디렉터리 경로]
[{-Password|-pw}]
[{-ADAccountOrGroup|-sid} {SID|domain\user|domain\group}
[-service]}]
[{-ComputerName|-cn} 컴퓨터 이름]
[{-?|/?}] [{-Help|-h}]
설명:
키 보호 방법을 추가합니다.
매개 변수 목록:
볼륨 다음에 콜론, 볼륨 GUID 경로 또는 탑재된 볼륨이 나오는
드라이브 문자입니다. 예: "C:",
\?\Volume{16D27bdv-v117-18d1-9335-108a6v6e2933}\ 또는
"C:\MountVolume"
-ForceUpgrade
BitLocker 버전을 강제로 업그레이드하도록 합니다.
-RecoveryPassword 또는 -rp
숫자 암호 보호기를 추가합니다.
-RecoveryKey 또는 -rk
복구용 외부 키 보호기를 추가합니다.
-StartupKey 또는 -sk
시작용 외부 키 보호기를 추가합니다.
-Certificate 또는 -cert
데이터 볼륨의 공개 키 보호기를 추가합니다.
-TPMAndPIN 또는 -tp
OS 볼륨의 TPM 및 PIN 보호기를 추가합니다.
-TPMAndStartupKey 또는 -tsk
OS 볼륨의 TPM 및 시작 키 보호기를 추가합니다
-TPMAndPINAndStartupKey 또는 -tpsk
OS 볼륨의 TPM과 PIN 및 시작 키 보호기를 추가합니다.
-tpm OS 볼륨의 TPM 보호기를 추가합니다.
-Password 또는 -pw
볼륨의 암호 키 보호기를 추가합니다.
-ADAccountOrGroup 또는 -sid
볼륨에 대한 SID 기반 ID 보호기를 추가합니다.
-ComputerName 또는 -cn
다른 컴퓨터에서 실행합니다. 예: "ComputerX", "127.0.0.1"
-? 또는 /? 간단한 도움말을 표시합니다. 예: "-ParameterSet -?"
-Help 또는 -h 전체 도움말을 표시합니다. 예: "-ParameterSet -h"
예:
manage-bde -protectors -add e: -RecoveryPassword
manage-bde -protectors -add e: -rp -rk h:\
manage-bde -protectors -add e: -TPMAndPIN
manage-bde -protectors -add e: -Certificate -cf
"c:\File Folder\Filename.cer"
manage-bde -protectors -add e: -pw
manage-bde -protectors -add e: -sid Domain\User
manage-bde -protectors -add e: -sid Domain\Machine$ -service
C:\Windows\System32>일반적인 비트락커 암호 추가 방법
제어판 > Bitlocker 드라이브 암호화 들어가셔서 ‘암호 변경’ 버튼을 눌러서 하셔도 됩니다. 안보이시거나 커맨드라인이 편하신 분들은 아래의 방식으로.
아래 c:는 예시입니다. d: e: 등 본인이 적용할 드라이브명을 넣으세요.
- 프롬프트 관리자 권한으로 열기
- 암호 추가 : manage-bde -protectors -add c: -pw
- 암호 변경 : manage-bde -changepassword c:
- 변경 사항이 적용 된 후 – gpupdate /force /target: computer
- 그 외 Bitlocker Operations Guide를 참고해보세요.
그리고 비밀번호 두 번을 입력하면 됩니다. 간단하죠? 그런데 이걸로 안되는 경우가 있습니다.
Bitlocker 암호 추가 옵션이 없어요.
“시작 시 드라이브 잠금 해제 방법 선택 – BitLocker 시작 옵션에 대한 그룹 정책 설정이 충돌하여 적용할 수 없습니다. 자세한 내용은 시스템 관리자에게 문의하십시오.” 이런 오류 메세지가 뜨거나, 아예 이런 옵션도 보이지 않는 경우가 있습니다.
위 이미지를 보면 다른 비트락커 드라이브는 ‘암호 변경’이 있는데 C:는 아예 없죠?
로컬 그룹 정책 편집
윈도우 키 눌러서 ‘그룹’이라고 치면 ‘그룹 정책 편집’이 나옵니다. 실행에서 ‘gpedit.msc’ 입력하셔도 됩니다.
- ‘로컬 컴퓨터 정책 > 컴퓨터 구성 > BitLocker 드라이브 암호화 > 운영 체제 드라이브’로 갑니다.
- 시작 시 추가 인증 요구
- 사용
- TPM 시작 구성 : TPM 허용 안 함
- TPM 시작 PIN 구성 : TPM과 함께 시작 PIN 요구
- TPM 시작 키 구성 : 허용 안 함
- TPM 시작 키 및 PIN 구성 : 허용 안 함
- 시작 시 향상된 PIN 허용 – 사용 (*숫자만 사용하는 PIN을 대소문자, 기호, 공백, 숫자까지 모두 사용하게 해주는 겁니다.)
- 시작 시 추가 인증 요구
이렇게 하면 최대 20자리까지 만들 수 있습니다. 30자리 40자리정도 해주면 더 마음이 편하겠는데.. 기호,대소문자,숫자 잘 섞어서 평소에 사용하지 않는 것으로 하면 충분하게 안전합니다. 특히 Bitlocker 부팅 암호는 Brute Force(무차별 대입 공격)이 어렵기 때문에 잘 만든 20자리면 충분합니다.
본문대로 다 따라했는데 향상된핀 허용이 안된다고 하는데 해결방법이 있을까요?
제가 적용시키면서 그대로 캡쳐한거라 저게 안되면.. 다른 이유는 모르겠어요 ㅜㅜ
혹시 파일키위 아시면 글 한번 써주시면 갑사하겠습니다 대용량 파일 공유를 무료 쓸수 있고 원본이 저장되지 않는 종단암호화라고 합니다
업로더나 다운로더 추적은 가능한가(익명으로 다운 업로드)
얼마나 안전한가
어떻게 저런 기능을 무료로 할수 있는가
정도가 궁금합니다
항상 글 잘보고입습니다 갑사합니다
우선 저는 서비스를 선택할 때 경찰, 검찰 등 한국 수사기관의 협조가 쉽고 수사가 빠르게 이루어질 수 있는 한국 회사는.. 우선 순위에 두지 않는 편입니다.
https://docs.file.kiwi/ko/about/policy/#process 운영 방침을 읽어보시면.
신고 버튼을 눌러서 쉽게 운영자에게 알릴 수 있으며 수사 기관의 적법한 요구가 있으면 협조한다고 나와있습니다.
무제한 사용이라고 나와있지만 20기가 이상의 파일은 6시간이 지나면 만료되어 다운로드가 중단됩니다.
이 회사의 파일공유 서비스 방식은 아래와 같습니다.
128비트 AES-GCM 암호화 사용하며 웹 폴더 주소 # 뒷 부분을 키값으로 사용하며 키값은 파일키위 서버로 보내지지 않는다고 합니다.
1.업로드 시 파일을 적당한 크기로 분할
2.분할 된 파일과 파일 이름을 암호화
3.서버 업로드 완료
4.공유
5.링크를 받은 수신자가 파일 다운로드
6.복호화
7.분할 되었던 파일이 다시 합쳐짐
이론적으로는 안전하다고 볼 수 있습니다.
이 회사의 서비스를 안전하게 이용하려면 몇가지 조건이 필요합니다.
1. 무료 이용만 해야한다. (유료 가입을 하면 결제 정보가 남음)
2. 처음부터 끝까지 VPN 접속으로 사용해야 한다.
이렇게 되면 개인을 특정할 수 있는 정보가 남지 않기 때문에 최대한 안전하게 사용할 수 있을 것입니다.
그래도 불안하다면 더블홉(2중VPN)을 제공하는 VPN을 쓰면 되겠죠.
하지만 제가 직접 사용해보고 말씀드리는게 아니라 참고만 하세요!
자세한 답변 감사합니다
이기능은 윈도우11 pro에서 들어있는 특별한 기능인데 Home은 pro이 아니여서 기능도 빠지고 못쓰는걸로 알고 있는데요.
이 기능을 활성화된다면 윈도우11 home도 가능하는건가요?
윈도우 홈에서는 Bitlocker 안됩니다. 그래서 저도 모든 컴퓨터에서 Pro 버전 쓰고있어요 ㅠㅠ