BitLocker 그룹 정책 설정
Sophos Central Device Encryption은 그룹 정책 설정을 자동으로 정의하므로 장치 암호화를 위해 컴퓨터를 준비하지 않아도 됩니다.
Sophos Central Device Encryption은 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > BitLocker 드라이브 암호화 > 운영 체제 드라이브 아래의 로컬 그룹 정책 편집기에서 이미 설정한 설정을 덮어쓰지 않습니다.
참고
로컬 그룹 정책 편집기는 Sophos Central Device Encryption에서 구성한 설정을 표시하지 않습니다. 이러한 설정은 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE 노드 아래의 Windows 레지스트리에서 찾을 수 있습니다.
로컬 그룹 정책 편집기에서 구성할 수 있는 설정에 대한 자세한 내용은 다음 표를 참조하십시오.
| 정책 | 설정 | Sophos Central에 의해 설정된 값 | 주석 |
|---|---|---|---|
| 시작 시 네트워크 잠금 해제 허용 | 사용함 | 미리 구성된 BitLocker 네트워크 잠금 해제를 허용하여 Central Device Encryption을 활성화한 후 작동을 유지할 수 있습니다. | |
| 시작 시 추가 인증 요구 | 호환 TPM이 없는 BitLocker 허용 | 선택 표시됨 | 이는 사용 가능한 TPM이 없을 경우 Windows 8에 설정되는 값이며, 시작 시 암호를 사용하여 시스템 디스크의 잠금을 해제할 수 있습니다. |
| 시작 시 추가 인증 요구 | TPM 시작 PIN 구성 | TPM과 함께 시작 PIN 허용 | Device Encryption 정책 설정 시작 인증 필요가 설정되고 시스템에 TPM이 있는 경우, 이 그룹 정책 설정은 TPM에 의한 시스템 드라이브 보호를 허용하며 사용자에게도 PIN을 요청합니다. |
| 시작 시 향상된 PIN 허용 | 해당 없음 | 사용함 | 이는 영숫자 PIN을 사용하여 TPM으로 시스템 드라이브를 보호할 수 있도록 설정된 값입니다. 이 값을 설정할 수 없는 경우, 숫자만 허용됩니다. |
| 사전 부팅 복구 메시지 및 URL 구성 | 사전 부팅 복구 메시지에 대한 옵션 선택 | 기본 복구 메시지 및 URL 사용 | 이는 Sophos 기본 메시지 및 URL을 사용하도록 설정되었습니다. |
| 사전 부팅 복구 메시지 및 URL 구성 | 사용자 지정 복구 메시지 옵션 | 복구 키가 없습니까? IT 헬프 데스크에 문의하거나 셀프 서비스 포털(https://sophos.com/ssp)로 이동하십시오. | |
| 사전 부팅 복구 메시지 및 URL 구성 | 사용자 지정 복구 메시지 옵션 | ||
| 고정 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성 | 해당 없음 | 사용 안 함 | 이는 소프트웨어 기반 암호화를 적용하도록 설정되었습니다. 기존 BitLocker 그룹 정책 설정에 하드웨어 기반 암호화가 필요한 경우, 해당 정책 설정은 재정의되지 않습니다. |
| 운영 체제 드라이브에 대한 하드웨어 기반 암호화 사용 구성 | 해당 없음 | 사용 안 함 | 이는 소프트웨어 기반 암호화를 적용하도록 설정되었습니다. 기존 BitLocker 그룹 정책 설정에 하드웨어 기반 암호화가 필요한 경우, 해당 정책 설정은 재정의되지 않습니다. |
- 사용되는 암호화 알고리즘: 기본적으로 Sophos Central Device Encryption은 AES-256을 사용합니다. AES-128을 선택하는 데 사용할 수 있는 그룹 정책 설정이 있습니다.
- PIN/암호 요구 사항: 최소 PIN/암호 길이를 설정하고 복잡한 암호를 요구하는 데 사용할 수 있는 그룹 정책 설정이 있습니다.
- 모든 데이터 암호화 또는 사용된 공간만 해당: 부팅 볼륨 및/또는 데이터 볼륨에 대한 그룹 정책이 전체 데이터 암호화를 요구하도록 설정되어 있는 경우 사용 중인 공간의 암호화만 허용하는 Sophos Central 정책이 재정의됩니다.
일부 그룹 정책 설정은 Sophos Central과 충돌할 수 있으며 이 경우 암호화를 사용 설정할 수 없습니다. 이 경우, 이벤트가 Sophos Central에 전송됩니다.
- 스마트 카드 필요: 그룹 정책이 BitLocker에 스마트 카드를 사용해야 할 경우, Sophos Central에서는 이를 지원하지 않은며 오류 이벤트가 생성됩니다.
- 모든 데이터 암호화 또는 사용된 공간만 해당: 부팅 볼륨 및/또는 데이터 볼륨의 그룹 정책이 사용된 공간만 암호화하도록 설정되었으나 Sophos Central 정책에서는 전체 암호화가 필요한 경우, 오류 이벤트가 생성됩니다.
태블릿 장치(예: MS Surface Pro)를 암호화하고 시작 인증을 사용하려면 슬레이트 그룹 정책 설정에서 사전 부팅 키보드 입력이 필요한 BitLocker 인증 사용 활성화를 사용해야 합니다. 태블릿(슬레이트) 장치에서 암호화가 시작되지 않음을 참조하십시오.
그룹 정책 설정에 대한 자세한 내용은 BitLocker 그룹 정책 설정 및 TPM 그룹 정책 설정을 참조하십시오.