TPM 을 구입한 기념으로 Bitlocker 기능을 활성화 하여 AD에 복구키를 백업하는 정책을 활성화하는 실습을 해보겠습니다.
실습환경 VM
DC: Windows Server 2012 R2
Client: Windows 8.1 Pro
Network Switch: Private
Client PC는 VM Setting 에서 TPM 을 활성화 합니다.
DC 에서 Bitlocker 기능을 설치합니다.
BitLocker Recovery Password Viewer 를 위해서 설치한다고 보시면 됩니다. 설치 후 재부팅을 진행합니다.
Gpmc.msc 를 실행합니다.
Default Domain Policy 를 편집해서 적용해 보도록 하겠습니다.
Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption 메뉴로 이동합니다.
Bitlocker 가 적용되는 장치에 따른 유형으로 나뉘어진 것을 확인할 수 있습니다.
각각 경로에서 Choose how BitLocker-protected ~ 항목을 편집합니다.
Enable 하였을 경우에 Save BitLocker recovery information to AD DS for ~ 항목을 확인할 수 있습니다.
적용후 DC에서 Gpupdate /force 를 진행합니다.
Client PC에서도 gpupdate /force 를 진행합니다.
Client PC 에서 BitLocker 켜기를 진행합니다.
다음
다음
다음
적절한 위치에 파일을 저장하거나 복구키 인쇄를 진행합니다.
BitLocker 시스템 검사 실행을 체크 - 계속 - PC를 재부팅합니다.
DC에서 Active Directory Users and Computers 를 실행합니다.
도메인 트리에서 우클릭 - Find BitLocker recovery password 를 실행합니다.
식별자 값의 앞 8자리로 검색합니다.
실제 End-User의 PC에 변동사항이 발생하여 복구키를 물어볼때 식별자 ID 를 통하여 관리자가 조회해 줄 수 있다는 것을 확인할 수 있습니다.
'Windows Server' 카테고리의 다른 글
| AD. Trust Domain 구성 (0) | 2017.04.21 |
|---|---|
| 클러스터 구성(Failover) (0) | 2017.03.26 |
| BitLocker Recovery Key 백업정책 구성 (2) | 2017.02.05 |
| WSUS 구성 (0) | 2017.01.30 |
| ADFS 활용. IE 에서 SSO 설정 (0) | 2017.01.22 |
| WDS Capture Image (0) | 2017.01.02 |
-
홍순영 2020.04.21 09:58
AD GPO 정책으로 사용자 PC에 강제로 적용할 수 없나요?
사용자가 직접 비트락커 설정하지 않고 AD에서 자동으로 설정을 배포하고 싶어요-
안녕하세요
아래의 자료를 보면, Bitlocker를 자동화 배포를 할 수 있다고 나와 있습니다.
https://docs.microsoft.com/ko-kr/windows/security/information-protection/bitlocker/bitlocker-deployment-and-administration-faq
다만 스크립트로 구현해야할 것으로 보입니다.
------------------------------------------------
스크립트 구현 방법은 환경에 따라 달라집니다. Manage-bde.exe를 사용하여 BitLocker를 로컬 또는 원격으로 구성할 수도 있습니다.
나중에 기회가 되면 포스팅하도록 하겠습니다.
-
