BitLocker 드라이브 암호화

BitLocker는 하드디스크 자체를 암호화하기 위한 기술로서, 주 목적은 하드디스크를 통째로 도난 당해도 암호화 키가 없이는 읽지 못하게 하는 것이다.

BitLocker를 사용하기 위해서는 일반적으로 TPM(Trusted Platform Modules)이라고 부르는 마이크로칩이 메인보드에 내장되어 있어야 한다. 또한 BIOS에서 TPM 기능을 지원해줘야한다. 이런한 하드웨어적인 기능은 거의 조작이 불가능한 강력한 암호화를 제공해 준다.

BitLocker 기능은 Windows Vista, Windows 7, Windows 2008, windows 2008 R2 이상에서는 사용가능하며 TPM이 장착된 메인보드가 없다면 대신 USB 2.0용 플래시 메모리를 사용할 수도 있다.

실습에서는 USB를 사용하여 실습하였다.

(전제조건) windows 2008 서비스에서 BitLocker를 사용하기 위한 전제 조건

- TPM이 장착된 메인보드 또는 USB 2.0 슬롯

- 2개 이상의 하드디스크(운영체제 디스크 + BitLocker 암호용 1.5G 이상 디스크)

- windows 2008 신규 설치

- USB 2.0 플래쉬 메모리(TPM 없는 메인보드의 경우 사용)

- 실습

사용 시스템

Windows 2008 

( 새로 받아서 사용할 것임. 40G )

( OS 디스크 전체를 암호화 하는 실습을 진행하기 때문에 사용하던 2008서버를 가지고 하면 암호화 과정이 오래 걸릴 수 있음)

설치

X:\Sources> diskpart  DISKPART> select disk 0       /* 0번째 하드 디스크 선택 */ DISKPART> clean               /* 디스크 초기화 */ DISKPART> create partition primary size=2000   /* 앞부분의 2G 정도를 BitLocker용 파티션으로 설정(1.5G 이상이어야 한다.) */ DISKPART> assign letter=k   /* 드라이브 문자를 K로 할당, 나중에 바뀔수도 있음. */ DISKPART> active       /* 활성화 */ DISKPART> format fs=NTFS label="BitLocker"           /* NTFS 파일시스템으로 만들고, 레이블 지정 */ 100 퍼센트 완료 DISKPART> create partition primary  /* windows 2008 설치 용 파티션을 남은 공각으로 사용 */ DISKPART> assign letter=c     /* 드라이브 문자를 C로 할당 */ DISKPART> format fs=NTFS label="Encrypted" 100 퍼센트 완료 DISKPART> exit X:\Sources> exit

< Alt + F4 > 

- 설치가 완료되면 vmware tools 를 설치합니다. 

- BitLocker 설치 

- TPM 대신 USB 사용 하도록 설정

컴퓨터 구성 > 관리 템플릿 > Windows 구성요소 > BitLocker 드라이브 암호화 > 운영체제 드라이브 > 시작 시 추가 인증  요구 - 사용 -

[참고] vmware 에서 USB 오류가 나서 플로피 디스크를 추가한 후 기본설정으로 포멧해서 USB를 대신 해 본다. 

- 종료 후 플로피 디스크 추가 ( Create a blank floppy image / 이름 : bitlocker.flp)

C:\Users\Administrator>cd \Windows\system32

C:\Windows\System32>cscript manage-bde.wsf -on C: -rp -sk A: 

입력

위의 키를 복사해 놓는다.  ( 없어지면 안됨 ) 

- 재부팅 시켜준다. ( 이때 반드시 부팅 순서에서 디스크가 플로피 디스크보다 위에 있어야 한다. )

- 암호화가 다 되면 재부팅 해서 잘 되는 지 확인한다. 

플로피 디스크를 장착하면 잘 부팅이 되지만 빼고 부팅하면 안된다.

플로피 디스크를 장착하고  ESC 를 눌러 다시 부팅하거나 Enter를 누르면 다음과 같은 화면이 뜬다. 

위에서 복사 해놨던 키를 입력하면 정상적으로 부팅이 된다. 

( 277508-100804-414920-336974-396308-195811-149138-148291 )

이러한 방법은 경찰이 컴퓨터를 가지고 가도 키가 없으면 속을 열어 볼 수가 없다. 키를 찾아내기가 굉장히 어렵고 오래 걸리기 때문이다. 

노트북이나 외장하드에 잠금을 걸어두면 분실시에 데이터를 보호 할 수 있다.