Silverlight를 설치하려면 여기를 클릭합니다.*
Korea 대한민국변경|Microsoft 전체 사이트
Microsoft
|프로필 관리|문의처|사이트 맵

Windows XP와 Windows Server 2003의 파일 시스템 암호화

목차
down 소개
down Windows XP와 Windows Server 2003의 향상된 EFS 기능
down 데이터 복구의 개요
down EFS를 이용한 데이터 복구
down 최상의 데이터 복구 방법
down 최상의 데이터 보호 방법
down 데이터 복구와 키 복구
down 문제 해결
down 요약
down 관련 링크
down EFS 관련 기술 자료 문서

Microsoft 운영 체제 사업부

요약

Microsoft Windows XP와 Windows Server 2003은 파일 시스템 암호화(EFS: Encrypting File System) 같은 데이터 보호 영역이 크게 향상되었습니다. 본 기술 자료에서는 다양한 Windows 플랫폼에서 중요한 데이터의 복구 및 보호 기능을 사용하는 방법을 기술적인 측면에서 검토하고 있습니다. 또한 효과적인 데이터 복구 및 보호 전략을 구축하기 위한 최적화 요령과 수행 단계도 함께 다루었습니다.

소개Back to Top


Microsoft Windows XP와 Windows Server 2003은 데이터 복구 및 보호는 물론, 개인 키 복구 기능이 크게 향상되었습니다. 데이터 보호 및 보호된 데이터의 복구 기능은 EFS의 구현을 통해 Microsoft Windows 2000에 처음으로 도입되었으며 Windows XP와 Windows Server 2003에 와서 더욱 발전된 것입니다.

Windows 2000, Windows XP 및 Windows Server 2003의 EFS는 데이터 복구 에이전트(DRA: Data Recovery Agent)를 이용해 다른 사용자가 암호화한 파일의 암호를 해독할 수 있습니다.

본 기술 자료는 Windows XP와 Windows Server 2003을 이용해 데이터 복구 및 데이터 보호 전략을 구축하기 위한 최적화 요령을 개발하는 시스템 설계자와 관리자들을 위한 것입니다.

또한 본 자료는 Windows XP에서의 데이터 복구 및 데이터 보호 전략에 대한 설명 외에도 사용자가 Windows XP의 데이터 복구 및 보호 솔루션을 배포할 때 사용할 데이터 복구 및 데이터 보호 기능의 설정 방법을 보여 주는 여러 가지 단계별 예제도 다루고 있습니다.

주요 항목들은 다음과 같습니다.

  • Windows XP와 Windows Server 2003의 향상된 EFS 기능
  • 데이터 복구의 개요
  • EFS를 이용한 데이터 복구
  • 최상의 데이터 복구 방법
  • 최상의 데이터 보호 방법
  • 데이터 복구와 키 복구
  • 문제 해결
참고   Windows XP Home Edition은 EFS 기능을 지원하지 않습니다.

Windows XP와 Windows Server 2003의 향상된 EFS 기능Back to Top


EFS 기능이 향상되면서 Windows XP Professional 클라이언트의 성능도 크게 향상되었습니다. Windows XP Professional은 기업 사용자들이 암호화된 데이터 파일과 폴더를 기반으로 하는 보안 솔루션을 배포할 때 보다 융통성 있게 작업할 수 있습니다. 새로 추가된 기능들은 다음과 같습니다.

  • 암호화된 파일 공유 시 사용된 인증서의 해지 확인 기능 완벽 지원
  • Windows Server 2003 클러스터에 대한 EFS 지원
  • 암호화된 파일에 색상(녹색)을 지원하여 손쉬운 식별 및 확인 가능
  • Windows XP 오프라인 폴더 암호화 지원
  • 셸 UI의 여러 사용자가 암호화된 파일 사용 가능
  • Microsoft Enhanced 및 Strong CSP 지원
  • 향상된 알고리즘 옵션 및 성능 추가 지원
  • WebDAV를 통해 EFS를 사용하는 종단 간 암호화
  • 융통성이 강화된 복구 정책
  • 성능 및 신뢰도 향상
  • EFS 데이터 보호를 위한 추가 보안 기능

Windows XP의 EFS 향상 기능에 대한 자세한 내용은 Windows XP의 새로운 보안 기능을 참조하십시오.

데이터 복구의 개요Back to Top


데이터 복구는 둘 이상의 사용자나 엔터티에 대해 파일이나 폴더 같은 개별 데이터 요소를 암호화하는 프로세스를 말합니다. 이처럼 둘 이상의 사용자나 에스크로(escrow) 엔터티에 대해 암호화를 수행하면 여러 개의 데이터 암호 해독 경로가 생성됩니다. 또한 에스크로 엔터티를 조직 내에서 데이터 복구 역할을 수행하는 관리자로 지정할 수도 있습니다. 데이터를 복구했다고 해서 반드시 개인 키가 복구되었다고 볼 수는 없지만 키 복구는 데이터를 복구하기 위한 한 가지 방법이 될 수 있습니다. 그러나, Windows XP에서는 개인 키를 복구하지 않고도 데이터를 복구하는 것이 가능합니다.

S/MIME(Secure Multi-purpose Internet Mail Extensions) 및 EFS는 모두 대칭형으로 암호화된 데이터 블록을 사용하며 대칭 키는 공개-개인 키 쌍으로 이뤄진 둘 이상이 공개 키로 보호됩니다. 이 시나리오의 대칭 키는 둘 이상의 사용자, 즉 둘 이상의 공개 키로 보호(암호화)됩니다.

데이터 복구는 데이터의 암호를 해독하는 또 다른 사용자를 통해 수행될 수 있습니다. EFS의 경우 아래 그림 1에서처럼 DRA를 사용해 파일을 열고 데이터를 복구할 수 있습니다.


브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

그림 1 데이터 복구

Windows 2000에서는 DRA가 반드시 필요하며 Windows 2000 도메인에서는 기본적으로 도메인 관리자가 담당했는데 Windows XP에서는 이러한 제한이 해결되었습니다.

데이터 복구는 Active Directory 및 Microsoft 엔터프라이즈 인증 기관을 사용해 가장 효과적으로 관리할 수 있습니다. Active Directory는 그룹 정책을 사용하여 하나 이상의 DRA를 중앙에서 구성할 수 있는 메커니즘을 제공합니다. 이러한 DRA는 데이터 복구가 필요한 사용자 파일을 복구할 수 있습니다.

데이터 복구와 EFS

EFS는 복구 정책 요구 사항을 강화해 기본적으로 데이터 복구 기능을 제공합니다. Windows 2000에서는 사용자가 파일을 암호화하기 전, 적절한 복구 정책을 만들어야 하는 요건이 있었습니다. 복구 정책은 DRA로 지정되는 하나 이상의 사용자 계정에 제공되는 공개 키 정책의 한 유형입니다. 관리자가 시스템에 처음 로그인하면 기본 복구 정책이 자동으로 적용되며 해당 관리자는 복구 에이전트가 됩니다. 하지만, Windows XP와 Windows Server 2003에서는 파일의 암호화를 위해 복구 정책을 적용하지 않아도 됩니다.

기본 복구 정책은 독립 실행형 컴퓨터에 로컬로 구성됩니다. Active Directory 기반 도메인에 속한 시스템의 복구 정책은 사이트, 도메인, 조직 단위(OU) 또는 개별 컴퓨터 수준으로 구성되며, 정의된 해당 범주 내의 모든 Windows 2000 및 Windows XP 기반 시스템에 적용됩니다. 인증 기관(CA)에서 발행하는 복구 인증서는 MMC(Microsoft Management Console) 인증서 스냅인을 사용해 관리합니다.

네트워크 환경의 도메인 관리자는 복구 정책에서 해당 범주 내의 모든 사용자와 컴퓨터에 대해 EFS가 구현되는 방식을 제어합니다. 기본 Windows 2000 또는 Windows Server 2003 설치에서는 첫 번째 도메인 컨트롤러가 설정되면 도메인 관리자가 해당 도메인에 대한 복구 에이전트로 지정됩니다. 도메인 관리자가 복구 정책을 구성하는 방식에 따라 로컬 시스템의 사용자에 대해 EFS가 구현되는 방식이 결정됩니다. 도메인 복구 정책을 변경하려면 도메인 관리자는 첫 번째 도메인 컨트롤러에 로그온해야 합니다. 시스템이 독립 실행형(도메인에 속해 있지 않은)일 경우 자체 발급된 관리자 DRA 인증서 계정의 만료 기한은 100년입니다. 하지만, 도메인에 속해 있는 경우에는 도메인 관리자에게 발급된 기본 DRA 인증서의 만료 기한이 3년 밖에 되지 않습니다.

관리자는 다음 세 가지 정책 유형 중 하나를 정의할 수 있습니다.

복구 에이전트 정책. 관리자가 하나 이상의 복구 에이전트를 추가하면 복구 에이전트 정책이 적용됩니다. 이러한 에이전트는 관리 범주에 속하는 모든 암호화된 데이터를 복구해야 합니다. 이 정책은 가장 일반적으로 사용되는 유형의 복구 정책입니다.

비어 있는 복구 정책. 관리자가 복구 에이전트와 해당 공개 키 인증서를 모두 삭제하면 비어 있는 복구 정책이 적용됩니다. 비어 있는 복구 정책은 복구 에이전트가 존재하지 않음을 의미하며, 클라이언트 운영 체제가 Windows 2000이면 EFS도 함께 사용할 수 없습니다. 반면, Windows XP 클라이언트는 비어 있는 DRA 정책에서도 EFS를 사용할 수 있습니다.

복구 정책 없음. 관리자가 지정된 복구 정책과 연관된 개인 키를 삭제하면, 어떠한 복구 정책도 적용되지 않습니다. 개인 키를 사용할 수 없으므로 복구 에이전트를 역시 사용할 수 없어 복구가 불가능합니다. 이 정책은 데이터 복구가 불필요한 Windows 2000 및 Windows XP 클라이언트의 혼합 환경에 유용합니다.

Active Directory 환경에서는 도메인 관리자가 기본 DRA이지만 이 기능을 하나 이상의 사용자에게 위임하거나 할당할 수도 있습니다. 자세한 사항은 아래 해당 단락에 설명되어 있습니다.

독립 실행형 시스템의 데이터 복구

Windows XP는 더 이상 작업 그룹이나 도메인의 새로 설치된 시스템에 기본 DRA를 생성하지 않습니다. 따라서 오프라인 상태에서 관리자 계정을 공격하지 못하도록 효과적으로 막을 수 있습니다. 시스템이 도메인에 속해 있으면 로컬 사용자를 비롯한 모든 사용자는 도메인으로부터 복구 정책을 상속 받습니다. 작업 그룹에 속해 있는 시스템의 경우에는 사용자가 수동으로 DRA를 생성 및 설치해야 하는데 DRA를 수동으로 생성하려면 cipher.exe 유틸리티를 사용해야 합니다.

CIPHER /R:filename

 /R  Generates a PFX and a CER file with a self-signed EFS recovery
    certificate in them.

 filename A filename without extensions

이 명령은 filename.PFX(데이터 복구용)와 filename.CER(정책용)를 생성합니다. 메모리에 생성된 인증서는 해당 파일이 생성될 때 삭제됩니다. 키가 생성되면 인증서는 로컬 정책으로 이동하고 개인 키는 안전한 위치에 저장됩니다.

EFS를 이용한 데이터 복구Back to Top


이 섹션에서는 EFS 파일 공유에 필요한 단계들을 예제와 함께 설명합니다.

EFS 파일 공유

EFS에서는 암호화된 파일을 여러 그룹에서 사용할 수 없습니다. 또한 Windows 2000이나 Windows XP에서는 폴더를 여러 사용자가 사용할 수도 없습니다. 그러나 Windows XP의 EFS에서는 단일 파일을 여러 사용자가 공유하여 사용할 수 있습니다.

Windows XP의 EFS 파일 공유 기능을 사용하면 암호화된 파일에 다른 사용자를 추가하여 데이터를 복구할 기회를 얻게 됩니다. 정책이나 다른 수단을 이용해 강제로 사용자를 추가할 수는 없지만 사용자를 추가하는 것은 실제로 그룹을 사용하거나 사용자 간에 개인 키를 공유하지 않으면서 여러 사용자들이 암호화된 파일을 복구할 수 있게 해주는 유용하면서도 간단한 방법입니다.

처음에 파일이 암호화되면 UI의 새로운 단추를 이용해 파일 공유를 설정할 수 있습니다. 파일을 먼저 암호화하고 저장해야만 다른 사용자를 추가할 수 있습니다. 암호화된 파일의 고급 속성을 선택한 후에 자세히 단추를 선택하면 사용자를 추가할 수 있습니다. 유효한 EFS 인증서가 있는 사용자는 로컬 시스템이나 Active Directory에서 그룹이 아닌 다른 사용자를 추가할 수 있습니다.

EFS 파일 공유 설정

Windows 2000부터는 Win32 API(응용 프로그램 인터페이스)를 통해 EFS를 사용하여 암호화된 파일을 공유했지만 Windows XP Professional 클라이언트가 개발되기 전에는 Windows 탐색기 UI에 EFS가 사용되지 않았습니다.

여러 사용자를 위한 파일 암호화

  1. Windows 탐색기를 열고 암호화할 파일을 선택합니다.
  2. 선택한 파일을 마우스 오른쪽 단추로 누른 다음 상황에 맞는 메뉴에서 속성을 선택합니다.
  3. 고급 단추를 선택하여 EFS를 활성화합니다.
  4. 아래 그림 2처럼 데이터 보호를 위해 내용을 암호화 확인란을 선택하여 파일을 암호화한 다음 확인을 누릅니다.

    crypt02

    그림 2 데이터 보호를 위해 내용을 암호화

    참고   파일은 압축과 암호화를 동시에 수행할 수 없습니다.

    해당 파일이나 폴더를 처음 암호화하는 경우에는 파일만 암호화할지 폴더도 함께 암호화할지 묻는 대화 상자가 나타납니다.

  5. 원하는 옵션을 선택하고 확인을 누릅니다. 원래의 대화 상자로 돌아갑니다.
    참고   사용자가 확인을 눌러야만 파일이 암호화됩니다. 또한 첫 번째 사용자가 해당 파일을 완전히 암호화할 때까지는 다른 사용자를 추가할 수 없습니다.
  6. 확인을 눌러 파일을 암호화합니다.
  7. 고급 속성 단추를 이용해 파일 속성을 다시 연 다음 자세히 단추를 선택하여 다른 사용자를 추가합니다. 자세히 대화 상자가 열리면서 사용자 추가 옵션이 표시됩니다.
참고   암호화 정보 대화 상자에는 문제 해결에 도움이 될 만한 추가 정보가 나와 있습니다.

사용자 추가

  1. 아래 그림 3과 같이 추가 단추를 누릅니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 3 사용자 추가

    로컬 시스템의 다른 사람 및 신뢰된 사용자 인증서 저장소에 캐시된 기존 사용자와 인증서를 보여 주는 새로운 대화 상자가 표시됩니다. EFS로 생성된 인증서(자체 서명된 인증서)는 로컬 시스템의 신뢰된 사용자 저장소에 캐시됩니다. 인증서는 수작업이나 자동 등록을 통해 자동으로 등록되어 로컬 시스템의 다른 사람 저장소에 캐시됩니다. 또한 사용자 찾기 단추를 눌러 Active Directory에서 새 사용자를 추가할 수도 있습니다.

    참고   사용자가 추가되기 위해서는 Active Directory에 유효한 EFS 인증서가 있어야 합니다.
  2. 아래 그림 4와 같이 사용자 찾기 단추를 눌러 새 사용자를 찾습니다


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 4 Active Directory에서 새 사용자 찾기

    표준 개체 선택 대화 상자가 나타나고 검색을 실행합니다.

    대화 상자에는 검색 기준에 따라 해당 Active Directory에 유효한 EFS 인증서를 보유한 사용자가 표시됩니다. 지정된 사용자에게서 유효한 인증서를 찾을 수 없으면 아래의 그림 5와 같은 대화 상자가 표시됩니다.

    crypt05

    그림 5 사용자 찾기 검색 결과

    디렉터리에 해당 사용자 개체의 userCertificate 특성에 유효한 인증서가 있으면 아래 그림 6과 같이 인증서 선택 대화 상자에 표시됩니다. 이 기능은 사용자가 로밍 사용자 프로필을 갖고 있고 Active Directory의 사용자 계정에 EFS 인증서가 하나만 저장되어 있을 때 최적으로 수행됩니다. 로밍 사용자 프로필을 사용하지 않으면 해당 사용자 계정에 인증서가 여러 개일 수 있으므로 다음에 어떤 서버에서 파일을 암호화할 때는 인증서가 없을 수도 있습니다. 암호화된 오프라인 폴더를 로컬 시스템에 적용하면 이 UI에 시스템 인증서($ 확장자로 시스템 이름을 표시한)가 나타날 수도 있습니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 6 사용자 인증서 목록

    해지 확인

    Windows XP와 Windows Server 2003에서는 암호화된 파일에 다른 사용자가 추가될 때 해당 사용자의 모든 인증서에 대해 해지 확인을 수행합니다. 개인 키를 보유하고 있는 사용자에 대해서는 성능상의 이유로 해지 확인을 수행하지 않으며 유효 기간만 확인합니다. 그러나 CDP(인증서 해지 목록 배포 지점) 확장이 포함되지 않은 인증서(예: 외부 인증 기관에서 발급한)에 대해서는 파일을 추가할 때 해지 상태를 확인하지 않습니다. 사용자가 신뢰된 루트 CA 인증서에 연결하지 않거나 신뢰된 사용자 인증서 저장소에 인증서가 설치되어 있지 않으면 인증서를 추가하기 전에 경고 메시지가 표시됩니다. 인증서에 대한 해지 상태 검사에 실패하면, 아래 그림 7과 같은 메시지가 표시되며 해당 인증서는 사용되지 않습니다.

    crypt07

    혹은

    crypt08

    그림 7 인증서 해지 상태 검사 실패

    신뢰된 루트 인증서 기관에 연결되지 않은 인증서의 추가를 선택하면 인증서가 추가되지 않습니다.

    다른 사용자가 동일한 시스템에 설치한 자체 발급된 인증서의 추가를 선택하면 추가가 허용되며 예를 선택합니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    해지 상태 검사가 성공적으로 수행되고 체인이 완성되면 사용자는 해당 대화 상자에 추가되고 아래 그림 8과 같이 파일이 업데이트됩니다.

  3. 확인을 눌러 변경 내용을 등록하고 작업을 계속합니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 8 성공적인 새 사용자 추가

참고   파일의 암호를 해독할 수 있는 사용자가 쓰기 권한을 갖고 있으면 다른 사용자를 제거할 수도 있습니다.
참고   EFS 메타데이터의 파일 헤더 크기는 256K로 제한되며 이로 인해 파일을 공유할 수 있는 추가 개별 사용자 수가 제한됩니다. 평균적으로 하나의 암호화된 파일에 추가할 수 있는 사용자의 수는 최대 800명입니다.

Windows Server 2003의 변경 사항

Windows Server 2003은 Windows XP나 Windows 2000과 달리 몇 가지 UI가 개선되었습니다. Windows Server 2003에서는 아래 그림처럼 백업 키 단추를 눌러 명령줄이나 파일 세부 속성 페이지에서 바로 EFS 키를 백업할 수 있습니다.


브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

EFS 키를 명령줄에서 백업하려면 cipher.exe 유틸리티를 사용해야 합니다.

CIPHER /X[:efsfile] [filename]
 
/X    Backup EFS certificate and keys into file filename. If efsfile is
     provided, the current user's certificate(s) used to encrypt the
     file will be backed up. Otherwise, the user's current EFS
     certificate and keys will be backed up.

Filename: A filename without extensions.
Efsfile:  An encrypted file path.

인증서 정보 확인

사용자 인증서를 선택하면 관리자가 의사결정을 내리는 데 필요한 정보를 얻을 수 있습니다. 그림 6과 같이 인증서를 보려면 다음 단계들을 수행합니다.

  1. 대화 상자에서 인증서를 선택하고 인증서 보기 단추를 누릅니다.
  2. 작업이 끝나면 확인을 눌러 대화 상자를 닫습니다. 이전 대화 상자로 돌아가 암호화된 파일에 추가할 사용자를 선택합니다.
  3. 사용할 선택된 사용자 인증서를 선택한 다음 확인을 누릅니다.

암호화된 파일 복사, 이동 및 저장

암호화된 파일은 독특한 특성으로 인해 암호화된 파일을 여러 위치 사이로 이동하거나 복사하면 다른 결과가 발생할 수 있습니다. 예를 들어, 암호화된 파일을 로컬 시스템에서 네트워크의 서버로 복사하면 서버에서 사용되는 운영 체제에 따라 복사 작업의 결과가 다르게 나타날 수 있습니다. 대개 파일을 복사하면 대상의 EFS 속성도 복사된 파일에 상속되지만 이동할 경우에는 대상 폴더의 EFS 속성이 상속되지 않습니다.

암호화된 파일의 복사 결과

  • Windows 2000과 대상 서버에서 Microsoft Windows NT Server 4.0이 실행되고 있으면 파일은 자동으로 암호가 해독되어 서버에 복사됩니다. 반면, Windows XP나 Windows Server 2003를 사용하는 경우에는 암호 해독 여부를 묻는 경고 메시지가 나타납니다.
  • 대상 서버에서 Windows 2000이나 Windows Server 2003을 실행하고 있고 서버의 시스템 계정이 Active Directory에서 위임할 수 있도록 트러스트된 경우 해당 파일은 자동으로 암호가 해독되어 서버에 복사되며 이 서버에서는 로컬 프로필과 암호화 키를 사용하여 파일을 다시 암호화할 수 있습니다.
    참고   파일은 암호화되지 않은 형식으로 클라이언트와 서버 사이의 네트워크를 이동합니다. 만일 파일에 기밀 정보가 들어 있으면 네트워크 연결이 해당 데이터를 안전하게 전송하는 데 적합한지 반드시 확인해야 합니다. 이러한 경우에 사용되는 대표적인 네트워크 데이터 보안 기능에는 IPSec(IP Security)이 있습니다.
  • 대상 서버에서 Windows 2000이나 Windows Server 2003을 실행하고 있고 서버의 시스템 계정이 Active Directory에서 위임할 수 있도록 트러스트되지 않았거나 서버가 작업 그룹 또는 Windows NT 4.0 도메인에 속해 있을 경우 파일은 복사되지 않으며 액세스 거부 오류 메시지가 나타납니다.

액세스 거부 오류 메시지는 기존 응용 프로그램과의 호환을 위해 NTFS 파일 시스템에서 응용 프로그램으로 반환됩니다. 다른 오류 메시지나 보다 자세한 오류 메시지가 사용되면 대부분의 응용 프로그램들이 작동하지 않거나 오동작이 발생할 수 있습니다.

Windows XP Professional 클라이언트에서는 보다 향상된 방법으로 암호화된 파일을 복사할 수 있습니다. 또한 셸 인터페이스와 명령줄에서 파일 암호 해독을 허용하거나 허용하지 않을 수도 있습니다. 암호화된 파일이 원격 암호화를 허용하지 않는 대상 위치로 복사되면 파일의 암호 해독 여부를 선택할 수 있는 대화 상자가 나타납니다.

명령줄 도구인 XCOPY와 COPY는 복사 작업 시 암호를 해독할 수 있게 해주는 특수한 매개 변수 스위치를 통해 동일한 기능을 제공합니다.

C:\>copy /? (하나 이상의 파일을 다른 위치로 복사합니다.)

COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] source [/A | /B]
[+ source [/A | /B] [+ ...]] [destination [/A | /B]]
source  

(복사할 파일을 지정합니다.)

/D (암호가 해독된 대상 파일을 생성합니다.)

참고   이 방법을 사용하면 대상 서버에서 원격 암호화를 지원하지 않는 대상 위치/서버에 일반 텍스트 형식의 파일을 생성할 수 있습니다.

C:\>xcopy /? (파일과 디렉터리 트리를 복사합니다.)

XCOPY source [destination] [/A | /M] [/D[:date]] [/P] [/S [/E]] [/V] [/W]
       [/C] [/I] [/Q] [/F] [/L] [/G] [/H] [/R] [/T] [/U]
       [/K] [/N] [/O] [/X] [/Y] [/-Y] [/Z]
       [/EXCLUDE:file1[+file2][+file3]...]
source  

(복사할 파일을 지정합니다.)

destination (Specifies the location and/or name of new files.)

/G (암호화된 파일을 암호화가 지원되지 않는 대상 위치로 복사합니다.)

참고   Windows Server 2003 및 Windows XP Service Pack에서는 명령줄 매개 변수를 추가하지 않고 응용 프로그램이나 명령줄을 이용해 자동으로 파일의 암호가 해독되도록 레지스트리를 설정할 수 있습니다. 이 옵션을 설정하려면 다음과 같은 DWORD 레지스트리 값을 생성합니다.
HKLM\Software\Policies\Microsoft\Windows\System\
DWORD Name: CopyFileAllowDecryptedRemoteDestination
Value: 1

EFS 파일 공유를 이용한 파일 저장

파일이 여러 사용자를 대상으로 암호화되었으면 응용 프로그램에서는 해당 파일을 기본 파일 형식으로 열거나 수정 또는 저장할 때 추가 사용자의 암호화 데이터(인증서)가 손실되지 않도록 특정 API를 호출해야 합니다. Microsoft Office XP로 연 기본 문서는 복수 사용자 EFS 상태를 유지하지만 다른 응용 프로그램에서는 해당 파일에 추가된 사용자가 제거될 수도 있습니다. EFS와의 상호 운용성에 대한 자세한 내용은 해당 응용 프로그램 제조업체에 문의하십시오.

시스템 폴더 및 파일

%SYSTEMROOT%\... 경로에 있는 시스템 폴더, 파일 및 위치는 암호화할 수 없습니다. 사용자가 시스템 파일을 암호화하려 하거나 암호화된 파일을 해당 시스템 경로로 복사하려고 하면 액세스 거부 메시지가 나타납니다.

인증서 캐싱

인증서에 EFS가 사용되면 해당 인증서는 로컬 시스템에 캐시됩니다. 따라서, 암호화된 파일에 새로운 사용자가 추가될 때마다 Active Directory에서 사용자를 조회할 필요가 없습니다. 체인에 속해 있는 인증서나 자체 서명된 인증서라면 사용 및 캐시할 수 있습니다. 인증서 체인에 속해 있는 사용자 인증서가 암호화된 파일에 추가되면 해당 인증서는 아래 그림 9와 같이 현재 사용자의 다른 사람 인증서 저장소에 캐시됩니다.


브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

그림 9 다른 사람 인증서 저장소에 사용자 인증서 캐싱

인증 기관 없이 EFS가 자동으로 생성한 인증서 같은 자체 서명된 다른 사람의 인증서는 그림 10과 같이 현재 사용자의 신뢰된 사용자 인증서 저장소에 캐시됩니다.


브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

그림 10 신뢰된 사용자 인증서 저장소에 사용자 인증서 캐싱

인증서가 신뢰된 사용자 인증서 저장소에 추가되면 해당 사용자에게 인증서가 명시적으로 트러스트된다는 경고 메시지가 표시되고 사용자의 작업 수행 여부를 묻는 확인 메시지가 나타납니다. 인증서를 신뢰된 사용자 저장소에 추가하면 유효 기간을 제외하고 인증 상태가 확인되지 않습니다. Microsoft Outlook 2002 클라이언트에서도 신뢰된 사용자 CryptoAPI 저장소를 사용해 개별 인증서 트러스트 결과를 저장할 수 있습니다.

참고   로컬 시스템에 개인 키를 보유하고 있는 사용자는 다른 사람 저장소 뿐 아니라 신뢰된 사용자 저장소에도 추가되는데 이를 통해 해당 시스템에서 로컬 암호화의 성능이 향상됩니다.

EFS 복구 정책 절차

다음 섹션에서는 EFS 및 데이터 복구와 관련해서 가장 일반적으로 수행되는 절차를 소개합니다.

기존 복구 정책 취소

조직에서는 초기에 데이터 복구 정책을 구현한 후 나중에 해당 복구 정책을 제거할 수 있습니다. 도메인에서 복구 정책을 제거하면 Windows 2000 시스템의 그룹 정책이 업데이트된 후 새 파일을 암호화할 수 없습니다. 하지만, Windows XP와 Windows Server 2003에서는 이러한 영향을 받지 않습니다. 사용자는 계속해서 기존의 암호화된 파일을 열 수 있지만 해당 파일을 업데이트하거나 다시 암호화할 수는 없습니다. 기존의 암호화된 파일은 해당 파일의 암호를 해독하는 데 필요한 개인 키를 소유한 사용자가 파일에 액세스하거나 파일을 업데이트해야만 암호가 해독됩니다.

도메인의 복구 정책 변경

  1. Active Directory MMC 스냅인을 엽니다(Windows Server 2003 사용자 및 컴퓨터).
  2. 복구 정책을 변경할 도메인을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
  3. 변경할 복구 정책을 마우스 오른쪽 단추로 누른 다음 편집을 누릅니다.
  4. 콘솔 트리에서 파일 시스템 암호화를 누릅니다. 다음 경로를 차례로 누릅니다.
    • 컴퓨터 구성
    • Windows 설정
    • 보안 설정 내의 공개 키 정책
    • 암호화된 파일 복구 에이전트
  5. 세부 정보 창을 마우스 오른쪽 단추로 누른 다음 데이터 복구 에이전트 추가 또는 데이터 복구 에이전트 생성을 선택합니다.
중요    복구 정책을 변경하기 전에는 반드시 플로피 디스크에 복구 키를 먼저 백업해야 합니다.
참고   반드시 도메인 관리자나 선택된 도메인 또는 OU에서 그룹 정책 업데이트 권한을 가진 사용자가 로그온해야 합니다. 컴퓨터가 네트워크에 연결되어 있으면 네트워크 정책 설정에 따라 이 절차를 완료하지 못할 수도 있습니다.

시스템에서 EFS 사용 여부 식별

어떤 조직에서는 도메인 시스템에서 사용자의 EFS 사용 여부를 확인해야 할 경우가 있습니다. 현재 EFS를 사용 중인지 확인할 수 있는 방법은 없지만 몇 가지 레지스트리 키를 사용해 특정 사용자가 EFS를 사용한 적이 있는지 확인하는 것은 가능합니다.

Windows 2000 시스템에서는 다음 레지스트리 키를 검사해 인증서 해시의 존재 여부를 확인할 수 있습니다.

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash

Windows XP 시스템에서는 다음 레지스트리 키를 검사합니다.

  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\CertificateHash
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys\Flag

EFS 비활성화

Windows XP에서는 EFS의 비활성화가 가능해 Active Directory에서 특정 도메인이나 OU 내의 특정 그룹 또는 사용자가 데이터를 암호화하지 못하게 할 수 있습니다. 도메인 환경에서는 그룹 정책을 이용해 EFS를 비활성화합니다.

EFS에 대한 그룹 설정

  1. 그룹 정책 MMC 스냅인에서 다른 경로를 차례로 누릅니다.
    • 컴퓨터 구성
    • Windows 설정
    • 보안 설정
    • 공개 키 정책
    • 파일 시스템 암호화
  2. 속성을 선택합니다.
  3. 아래 그림 11과 같이 EFS 비활성화 확인란에서 선택을 취소합니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 11 그룹 정책을 이용한 EFS 비활성화

그룹 정책은 사용자의 작업 도중 EFS가 확인하는 레지스트리 키를 설정하며 해당 키는 다음과 같습니다.

HKLM\SOFTWARE\Policies\Microsoft\WindowsNT\CurrentVersion\EFS\EfsConfiguration

도메인에 속해 있지 않은 로컬 시스템에서는 EFS 비활성화를 위해 로컬 정책을 사용할 수 없습니다. 하지만, 다른 레지스트리 키를 DWORD 값 0x01로 설정하면 EFS의 비활성화가 가능하며, 해당 레지스트리 키는 다음과 같습니다.

HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS\EfsConfiguration

데이터 복구 수행

데이터 복구는 파일 암호화와 같은 방식으로 수행됩니다. 유일한 차이점은 데이터 복구의 경우 원래 사용자 이외의 사람이 파일의 암호를 해독하게 된다는 것입니다. 모든 파일에는 적어도 한 명 이상의 사용자가 있으며 파일의 암호를 해독할 수 있는 하나의 DRA가 있으므로 다른 사용자가 암호화된 파일을 복구하는 데 특별한 프로세스가 필요한 것은 아닙니다.

조직을 떠났거나 개인 키를 손실했거나 개인 키가 손상된 사용자의 파일을 복구하려면, DRA를 이용해 문제의 파일을 선택하여 정상적으로 파일을 열면 됩니다. 일단 파일이 열리면 일반 형식으로 표시되며, 암호화되지 않은 형식으로 저장할 수 있습니다.

참고   로컬에서 복구를 수행하려면 DRA에 DRA 인증서의 개인 키가 있어야 합니다.

또한 문제의 파일에서 파일 속성을 선택한 다음 고급 단추를 선택하고 데이터 보호를 위해 내용을 암호화 확인란을 선택 취소하면 파일을 먼저 열지 않고도 DRA가 암호화를 제거할 수 있습니다. 확인을 누르고 파일 속성을 닫으면 파일의 암호가 해독됩니다. 이 방법은 Windows 2000, Windows XP 및 Windows Server 2003 시스템에서 모두 사용할 수 있습니다.

참고   DRA가 파일의 암호를 해독하려면 적절한 복구 개인 키 외에 쓰기 권한을 갖고 있어야 합니다.

데이터 복구 에이전트 가져오기 및 내보내기

아래 소개된 단계와 그림들은 DRA 키를 가져오고 내보내는 프로세스를 보여 줍니다.

키 내보내기

기본 도메인 DRA의 인증서와 개인 키를 내보내려면 다음 단계들을 수행합니다.

  1. 도메인의 첫 번째 도메인 컨트롤러에서 관리자 계정으로 도메인에 로그온합니다.
  2. 시작 메뉴에서 실행을 선택합니다.
  3. mmc.exe를 입력하고 Enter를 누르면 비어 있는 MMC 셸이 시작됩니다.
  4. 콘솔 메뉴에서 스냅인 추가/제거를 선택하면 해당 MMC 셸에 추가된 모든 스냅인 목록을 보여 주는 대화 상자가 나타납니다.
  5. 추가 단추를 클릭하면 현재 시스템에 등록된 모든 스냅인 목록이 나타납니다.
  6. 인증서 스냅인을 두 번 눌러 내 사용자 계정을 선택한 다음 마침 단추를 누릅니다.
  7. 독립 실행형 스냅인 추가 대화 상자에서 닫기 단추를 누른 다음, 스냅인 추가/제거 대화 상자에서 확인을 누릅니다. MMC에 관리자의 개인 인증서 저장소가 포함됩니다.
  8. 인증서 저장소의 트리 뷰를 누릅니다. 아래 그림 12와 같이 인증서, 현재 사용자, 개인을 차례로 누른 다음 인증서를 누릅니다. 왼쪽의 인증서 폴더를 클릭하면 오른쪽에 관리자 계정의 모든 인증서 목록이 표시됩니다. 저장소에는 기본적으로 두 개의 인증서가 들어 있습니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 12 파일 복구 인증서 사용

  9. 파일 복구에 사용할 인증서를 마우스 오른쪽 단추로 누릅니다. 이 기본 도메인 DRA 인증서의 유효 기간은 3년입니다.
  10. 파일 복구 인증서를 마우스 오른쪽 단추로 누르고 상황에 맞는 메뉴에서 모든 작업을 선택한 다음 내보내기를 선택합니다. 마법사가 실행되면서 내보내기 프로세스를 안내합니다.
    중요    일단 내보내기 프로세스가 끝나면 원래의 개인 키와 인증서는 시스템에서 삭제되므로 프로세스 진행 도중 반드시 정확한 키를 선택해야 합니다. 키를 시스템으로 복원할 수 없으면 해당 DRA 인증서를 이용해 파일을 복구할 수 없습니다.
  11. 아래 그림 13과 같이 예, 개인 키를 내보냅니다를 선택하고 다음을 누릅니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 13 개인 키 내보내기

    중요    마법사에서 예, 개인 키를 내보냅니다 라디오 단추를 선택하여 내보내기 완료한 후에는 시스템에서 해당 개인 키가 제거되어 있는지 반드시 확인합니다.

개인 키를 내보낼 때는 *.PFX 파일 형식을 사용합니다. *.PFX 파일 형식은 PKCS #12 표준을 기반으로 하는데, 이 표준은 사용자의 개인 키, 인증서, 기타 비밀 정보 등을 저장하거나 전송하기 위한 이식 가능한 형식을 지정하는 데 사용됩니다. 자세한 내용은 본 문서의 관련 링크에서 PKCS #12 표준을 참조하십시오.

가장 좋은 방법은 내보내기 프로세스를 성공적으로 끝낸 후 시스템에서 개인 키를 삭제하는 것입니다. 또한 개인 키를 보다 안전하게 처리하려면 강력한 개인 키 보호 기능을 사용해야 합니다.

  • 아래 그림 14와 같이 적절한 확인란을 선택하고 다음을 누릅니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 14 파일 형식 선택

*.PFX 파일 형식(PKCS #12)을 사용하면 암호를 통해 파일에 저장된 개인 키를 보호할 수 있습니다. 강력한 암호를 선택하고 다음을 선택합니다.

마지막 단계는 실제 *.PFX 파일을 저장하는 것입니다. 인증서와 개인 키는 네트워크 드라이브나 플로피를 비롯해 모든 쓰기 가능한 장치로 내보낼 수 있습니다. 파일 이름과 경로를 입력하거나 검색한 후 다음을 누릅니다.

*.PFX 파일과 개인 키를 내보냈으면 조직의 보안 지침 및 방식에 따라 파일을 안정적인 삭제 가능한 미디어에 저장하여 안전한 위치에 보관해야 합니다. 예를 들어, 조직에서 *.PFX 파일을 하나 이상의 CD-ROM에 저장하여 실제 액세스가 엄격하게 통제되는 안전한 보관함, 저장소 등에 보관할 수 있습니다. 파일과 관련 개인 키가 손실되면 특정 DRA 인증서를 데이터 복구 에이전트로 사용한 기존 파일의 암호를 해독할 수 없습니다.

키 가져오기

키를 가져오는 단계는 내보내는 것보다 훨씬 간단합니다. PKCS #12 형식의 파일(*.PFX 파일)로 저장된 키를 가져오려면 해당 파일을 두 번 눌러 인증서 가져오기 마법사를 시작하거나, 다음 단계를 차례로 수행합니다.

  1. 유효한 계정으로 워크스테이션에 로그온합니다.
  2. 시작 메뉴에서 실행을 선택합니다.
  3. mmc.exe를 입력하고 Enter 키를 누르면 비어 있는 MMC 셸이 시작됩니다.
  4. 콘솔 메뉴에서 스냅인 추가/제거를 선택하면 MMC 셸에 추가된 모든 스냅인 목록을 보여 주는 대화 상자가 나타납니다.
  5. 추가 단추를 클릭하면 현재 시스템에 등록된 모든 스냅인 목록이 나타납니다.
  6. 인증서 스냅인을 두 번 누르고 내 사용자 계정을 선택한 다음 마침 단추를 누릅니다.
  7. 독립 실행형 스냅인 추가 대화 상자에서 닫기 단추를 누른 다음 스냅인 추가/제거 대화 상자에서 확인을 누릅니다. MMC에 관리자의 개인 인증서 저장소가 포함됩니다.
  8. 인증서 저장소의 트리 뷰를 확장하고 인증서, 현재 사용자, 개인인증서를 차례로 누릅니다. 해당 폴더를 마우스 오른쪽 단추로 누른 다음 모든 작업을 선택하고 가져오기를 선택합니다. 인증서 가져오기 마법사가 시작됩니다.
  9. 다음을 누릅니다. 마법사가 아래 그림 15와 같이 파일 및 파일의 경로 위치를 지정하도록 요구합니다.


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 15 파일 및 경로 위치 요청

  10. 해당 파일이 PKCS #12 파일이면 가져오는 파일의 암호를 입력합니다
    참고   개인 키는 항상 강력한 암호를 사용하여 저장해야 합니다.
  11. 나중에 현재 시스템에서 다시 해당 키를 내보내려면 이 키를 내보낼 수 있도록 표시 확인란을 선택해야 합니다. 다음을 누릅니다.
  12. 마법사가 인증서와 개인 키를 가져올 저장소를 지정하도록 요구합니다. 개인 키를 개인 저장소에 가져오려면 자동 라디오 단추를 사용하지 않습니다. 모든 인증서를 다음 저장소에 저장을 선택한 후 다음을 누릅니다.
  13. 개인 저장소를 선택하고 확인을 누릅니다.
  14. 아래 그림 16과 같이 다음을 누릅니다.

  15. 브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 16 인증서 저장소 위치 확인

  16. 마침을 눌러 가져오기를 끝냅니다.
중요    도메인 기반 계정은 항상 DRA와 함께 사용해야 합니다. 로컬 워크스테이션 계정은 실제 오프라인 공격을 받기 쉽습니다.

Windows 탐색기 메뉴에서 암호화/해독 사용

파일을 마우스 오른쪽 단추로 누를 때 나타나는 Microsoft Windows 탐색기에서 상황에 맞는 메뉴에 암호화와 해독을 설정하면 EFS를 보다 쉽게 사용할 수 있습니다. 이 기능을 사용하려면 다음 레지스트리 하이브 경로에서 DWORD 값을 생성합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
DWORD Name: EncryptionContextMenu
Value: 1
참고   이 레지스트리 값은 기본값으로 존재하지 않으므로 새로 생성해야 합니다.

Windows Server 2003에서는 다음 정보를 이용해 레지스트리 파일(*.reg)을 생성한 다음 사용자별로 레지스트리 배치 파일을 실행하여 Windows 탐색기 메뉴에 암호화 세부 정보 단추를 추가할 수 있습니다.

[HKEY_CLASSES_ROOT\*\Shell\Encrypt To User...\Command]
@="rundll32 efsadu.dll,AddUserToObject %1"

최상의 데이터 복구 방법Back to Top


일반적으로 조직에서 데이터 복구를 위해 수행해야 할 가장 바람직한 방법은 인증 기관(CA)에서 발급한 인증서를 사용자와 데이터 복구 에이전트에 발급하기 위한 PKI(공개 키 구조)를 배포하는 것입니다. Microsoft 엔터프라이즈 인증 기관을 이용하면 EFS에서 사용할 인증서를 자동으로 보다 쉽게 얻을 수 있습니다.

그 밖에도 다음과 같은 유용한 방법들이 있습니다.

  • DRA에 CA에서 생성한 인증서를 사용합니다. CA에서 발급한 인증서는 자체 서명된 것이 아니며 취소, 갱신 및 만료 등의 작업을 보다 쉽게 관리할 수 있습니다.
  • 도메인 당 두 개 이상의 DRA를 사용하고 DRA에 대한 실제 개인 키는 안전하면서도 적절한 보안 정책 및 방식을 준수해야만 검색할 수 있는 미디어(플로피 디스크, CD-ROM 등)에 저장합니다. DRA는 다른 그룹 정책과 마찬가지로 사이트, 도메인 또는 OU에서 정의할 수 있으며, Active Directory의 조직을 기반으로 하는 집계 정책으로 통합될 수 있습니다.

중앙 복구 워크스테이션

가장 안전하고 바람직한 기업용 데이터 복구 메커니즘은 중앙 워크스테이션을 사용하는 것입니다. 이 방법은 백업 유틸리티를 이용해 암호화된 파일의 원시 백업을 수행한 다음 해당 파일을 중앙 복구 시스템에 복원하는 것입니다. DRA 개인 키는 복구 시스템에 저장한 다음, 필요할 때 가져와서 사용할 수 있습니다. 이 방법은 복구를 위해 단일 DRA를 중앙에서 관리하는 조직에 매우 유용합니다. 중앙 복구 콘솔을 안전하게 유지하면 복구 프로세스 도중 시스템에서 트러스트되지 않은 코드가 실행되었더라도 DRA 개인 키가 노출되거나 손상되지 않습니다.

EFS 및 인증 기관

Windows Server 2003 엔터프라이즈 CA에서는 다음 세 가지 방법 중 하나를 사용해 EFS에서 사용할 수 있는 인증서를 얻을 수 있습니다.

  • 사용자 인증서 자동 등록 기능을 자동으로 사용합니다.
  • 엔터프라이즈 CA와 적절히 구성된 인증서 템플릿을 사용하여 필요 시 등록합니다.
  • 최종 사용자가 수동으로 누릅니다.

엔터프라이즈 CA를 사용하면 EFS에서 사용할 수 있는 인증서를 간단히 얻을 수 있습니다. 또한 다른 기술이나 방법에 비해 훨씬 저렴한 비용으로 인증서를 배포할 수 있습니다.

자동 등록

인트라넷 사용자에게 인증서를 배포하는 가장 쉽고 안정적인 방법은 자동 등록입니다. 자동 등록은 백그라운드에서 수행되어 필요 시 인증서를 사용할 수 있도록 되어 있습니다.

자동 등록의 주요 이점은 다음과 같습니다.

  • 자동 등록 기능을 사용하면 인증서 등록 작업과 데이터 및 키 복구 방법을 함께 수행할 수 있습니다. 두 번째 버전의 인증서 템플릿을 사용하여 백그라운드에서 자동으로 사용자를 등록하는 동시에 개인 키를 보관할 수 있습니다.
  • 자동 등록은 또한 다른 인증서에 의해 서명된 인증서를 요청해야 하는 인증서 템플릿을 사용할 수 있습니다. 즉, 조직에서는 개인별로 보안을 유지하면서 수동으로 스마트 카드를 발행한 다음, 스마트 카드 인증서를 사용하여 자동 등록된 인증서에 대한 요청에 서명할 수 있습니다. 이것을 자체 등록 권한이라고 하며, 자동 등록 프로세스를 통해 안전하게 인증서를 발행하는 매우 강력한 메커니즘입니다.
  • 사용자 저장소 인증서 관리(정리)
  • 자동 인증서 갱신(취소된 인증서, 만료된 인증서 등)
  • 보류된 인증서 요청 자동 검색

기본 도메인 구성 사용

도메인 관리자는 기본적으로 Windows 2000 또는 Windows Server 2003 도메인의 기본 DRA입니다. 도메인 관리자가 해당 계정에 처음 로그인하면 자체 서명된 인증서가 생성되고, 개인 키는 시스템의 프로필에 저장되며 기본 도메인 그룹 정책에는 해당 인증서의 공개 키가 도메인의 기본 DRA로 포함됩니다.

손실 또는 만료된 DRA 개인 키

DRA 인증서가 만료되는 것은 그다지 심각한 문제가 아니지만 DRA의 개인 키가 손실되거나 손상되면 조직에 큰 문제가 발생할 수 있습니다.

만료된 DRA 인증서(개인 키)는 파일 해독에 계속 사용할 수 있지만 새 파일이나 업데이트된 파일에는 만료된 인증서(공개 키)를 사용할 수 없습니다. 조직에서 DRA의 개인 키를 분실하거나 DRA의 인증서가 만료되면, 하나 이상의 새로운 DRA 인증서를 즉시 생성하고 그룹 정책을 업데이트하여 새로운 DRA를 반영하는 것이 가장 좋습니다. 사용자가 새 파일을 암호화하거나 기존의 암호화된 파일을 업데이트하면 해당 파일은 새로운 DRA 공개 키로 자동 업데이트됩니다. 조직에서는 사용자들에게 모든 기존 파일을 업데이트하도록 하여 새로운 DRA를 반영해야 할 수도 있습니다.

Windows XP에서는 로컬 드라이브의 모든 파일에 대해 파일 암호화 키나 복구 에이전트 키를 업데이트하기 위해 명령줄 유틸리티 cipher.exe가 /U 매개 변수로 업데이트되었습니다.

Cipher.exe /U
C:\Temp\test.txt: Encryption updated.
C:\My Documents\wordpad.doc: Encryption updated.
참고   인증 기관이 없이 도메인에서 자체 서명된 기본 인증서를 사용하면 해당 인증서는 99년 동안 유효합니다.

최상의 데이터 보호 방법Back to Top


모바일 사용자의 데이터 도난이나 손실 우려를 걱정하는 조직에서는 다음과 같이 하는 것이 좋습니다.

  • 시스템을 물리적으로 보호합니다. 이는 컴퓨터의 도난이나 물리적인 손실을 막는 가장 확실한 방법이기도 합니다.
  • 모바일 컴퓨터를 항상 Active Directory 도메인의 일부로 사용합니다.
  • 모바일 컴퓨터와 별개의 위치에 사용자의 개인 키를 저장하고 필요할 때 가져와서 사용합니다.
  • 내 문서 및 임시 폴더 같은 공용 저장 폴더는 모든 새 파일과 임시 파일이 암호화되어 생성되도록 해당 폴더를 암호화합니다.
  • 매우 긴밀한 보안을 요하는 데이터는 항상 암호화된 폴더에 새 파일을 만들거나 기존 일반 텍스트 파일을 복사합니다. 이렇게 하면 모든 파일이 일반 텍스트 형식으로 존재하지 않으며, 정교한 디스크 분석 공격을 받은 후에 임시 데이터 파일을 복구할 수 없습니다.
  • 그룹 정책, 로그온 스크립트 및 보안 템플릿을 통해 도메인에 폴더 암호화 기능을 사용하여 내 문서 같은 표준 폴더를 암호화된 폴더로 구성할 수 있습니다.
  • Windows XP 운영 체제는 오프라인 파일의 데이터 암호화를 지원합니다. 로컬로 캐시되는 오프라인 파일과 폴더는 클라이언트측 캐싱 정책을 사용하여 암호화해야 합니다.
  • 악의적인 사용자가 시스템을 부팅할 수 없게 하려면 모바일 컴퓨터에서는 모드 2나 3의 SYSKEY를 사용합니다.
  • 위임이 트러스트되어 강력하게 암호화된 파일에 사용하는 서버의 그룹 정책에는 SMB 서명을 사용합니다.
  • 파일의 암호화가 끝나면 하드 드라이브에서 해독된 데이터가 삭제되었는지 주기적으로 확인합니다.
참고   SYSKEY 모드 1는 Windows 2000 및 Windows XP에서 기본적으로 설정되어 있습니다. SYSKEY를 호출하려면 명령 프롬프트나 시작 메뉴의 실행에서 syskey.exe를 입력합니다. (SYSKEY에 대한 자세한 http://support.microsoft.com/default.aspx?scid=kb;ko;143475를 참조하십시오.)
중요    시스템 TEMP 폴더나 경로를 암호화하면 시스템의 전반적인 성능에 좋지 않은 결과를 가져올 수 있습니다. 모든 임시 파일을 암호화하면 CPU 사용량이 크게 증가하므로 충분히 고려한 후에 적용해야 하며, 반드시 해당 응용 프로그램 벤더와 상의하여 실행하도록 합니다.

일반 텍스트 데이터 삭제

파일 시스템은 NTFS 드라이브에서 새 데이터 파일을 만들 때마다 데이터를 클러스터의 해당 데이터 파일에 할당합니다. 파일이 할당된 클러스터보다 더 크면 NTFS는 추가 클러스터를 할당합니다. 나중에 파일이 줄어들거나 삭제되면 NTFS는 파일에서 불필요한 클러스터의 할당을 취소하고 다른 파일에 할당할 수 있는 상태로 표시합니다. 시간이 지나면 할당 취소된 파일은 새 파일에 의해 덮어 쓰여지고, 데이터는 디스크에 기록됩니다. EFS로 데이터 보호 전략을 구현할 때는 NTFS의 동작 방식을 반드시 이해해야 합니다.

NTFS와 해당 동작 방식에 대한 자세한 내용은 MSDN(Microsoft Developer Network)을 참조하십시오.

일반 텍스트 조각 정리

EFS는 시스템의 작동이 중단되었거나 디스크가 꽉 찼거나 하드웨어에 장애가 발생하는 등의 치명적인 오류가 발생했을 때 데이터가 손실되지 않도록 크래시 복구 스키마 기능을 갖추고 있습니다. 이 기능은 암호화 또는 해독할 원본 파일이 일반 텍스트 백업을 만들어 수행합니다. 원본 파일이 정상적으로 암호화 또는 해독되면 백업은 삭제됩니다. 일반 텍스트 사본을 생성하면 NTFS가 다른 파일을 디스크 블록으로 덮어쓸 때까지 디스크에 파일의 일반 텍스트 버전이 남아 있는 부작용이 발생할 수도 있습니다.

EFS를 이용해 중요한 데이터를 암호화하는 가장 바람직한 방법은 폴더를 생성하고, 해당 폴더에 암호화 특성을 설정한 후 폴더 내에 파일을 생성하는 것입니다. 이렇게 하면 처음부터 파일이 암호화됩니다. EFS는 일반 텍스트가 들어 있는 백업 파일을 생성하지 않으므로 드라이브에는 일반 텍스트 조각이 존재하지 않게 됩니다.

Cipher.exe 명령줄 유틸리티

Cipher.exe 명령줄 유틸리티를 이용하면 할당 취소된 파일 클러스터를 NTFS 디스크에서 제거하여 파일 변환으로 인해 일반 텍스트 조각이 남아 있게 되는 위험을 줄일 수 있습니다. Cipher.exe /W은 디스크의 사용하지 않은 모든 클러스터에 디스크 쓰기 동작을 세 번 시도하는데, 첫 번째 시도에서는 0, 두 번째는 0Xf 그리고 세 번째는 의사 난수 데이터를 각각 시도합니다.

CIPHER /W:directory
 /W  
Removes data from available unused disk space on the entire volume. If this 
option is chosen, all other options are ignored. The directory specified can be 
anywhere in a local volume. If it is a mount point, or points to a directory in 
another volume, the data on that volume will be removed.
참고   cipher.exe는 이름이 지정된 특정 폴더라 하더라도 지정된 디스크에 있는 모든 할당 취소된 파일들을 지웁니다. 크기가 4K 이하인 파일은 디스크의 개별 클러스터가 아닌 MFT(Master File table)에 들어 있으므로 지울 수 없습니다.

cipher.exe 실행

  1. 로컬 시스템 관리자로 로그온합니다.
  2. 모든 응용 프로그램을 닫습니다.
  3. 시작, 실행을 선택하여 명령 프롬프트를 열고 CMD 명령을 입력합니다.
  4. "Cipher /W:<'directory'>"(따옴표 제외)를 입력합니다. 여기서 <'directory'>는 정리할 드라이브의 디렉터리입니다. 예를 들어, "Cipher /W:c:\ "라고 입력하면 C: 드라이브의 할당 취소된 공간을 덮어쓰게 됩니다.
  5. cipher.exe의 실행이 시작되고 실행이 끝나면 메시지가 표시됩니다.
중요    cipher.exe /W은 볼륨이 클수록 실행 시간이 오래 걸릴 수 있습니다. 일단 시작하면 중지할 수 없으므로 완료될 때까지 계속 기다려야 합니다. 가장 좋은 방법은 완료 후에 해당 볼륨에 cipher.exe 명령을 실행하는 것입니다. 또한 cipher.exe /W을 여러 번 실행하는 것은 바람직하지 않은데 이는 이 프로세스가 디스크를 한번만 정리하기 위한 것이기 때문입니다.
참고   NTFS 드라이브는 디렉터리로 마운트할 수 있습니다. 예를 들어, 드라이브를 C:\folder1\D_Drive로 마운트하는 것입니다. 이렇게 하면 해당 유형의 드라이브를 제거할 수 있습니다.

다음 Microsoft 웹 사이트에 들어가면 Windows 2000에서 사용할 수 있는 새로운 cipher 도구를 다운로드할 수 있습니다. http://support.microsoft.com/default.aspx?scid=kb;ko;298009

오프라인 파일 암호화

Windows 2000에서는 오프라인 파일을 캐시할 수 있는 기능을 제공합니다(클라이언트측 캐싱이라고도 함). 네트워크 사용자는 이러한 IntelliMirror 관리 기능을 통해 클라이언트 시스템의 네트워크 연결이 해제된 경우에도 네트워크 공유 폴더의 파일에 액세스할 수 있습니다.

예를 들어, 모바일 사용자가 연결이 해제된 상태에서 공유 폴더를 보는 경우에도 해당 파일이 클라이언트 시스템에 캐시되어 있으므로 파일을 찾아보거나 읽고 편집하는 것이 가능합니다. 사용자가 나중에 서버에 연결하면 시스템은 서버에 변경된 사항을 조정합니다.

Windows XP 클라이언트는 파일 시스템 암호화를 이용해 오프라인 파일과 폴더를 암호화할 수 있습니다. 이 기능은 데이터의 보안을 유지하면서 주기적으로 오프라인 상태에서 작업을 수행해야 하는 이동이 잦은 전문가에게 특히 유용합니다. 하지만 WebDAV 공유에서는 오프라인 폴더와 캐싱이 불가능합니다.

로컬 시스템의 공용 데이터베이스를 사용하면 모든 사용자 파일을 저장하고 명시적인 ACL(액세스 제어 목록)을 통해 해당 파일에 대한 액세스를 제한할 수 있습니다. 해당 데이터베이스는 데이터베이스 구조와 형식을 숨기고 파일을 표시하므로 일반 폴더와 같아 보입니다. 다른 사용자의 파일과 폴더는 표시되지 않으며 다른 사용자가 사용할 수도 없습니다. 오프라인 파일을 암호화하면 전체 데이터베이스는 EFS 시스템 인증서를 사용하여 암호화됩니다. 개별 파일과 폴더를 선택하여 암호를 해독할 수는 없습니다. 따라서 이 기능을 활성화하면 기본적으로 전체 오프라인 파일 데이터베이스는 기본 EFS를 이용해 공격을 방어합니다. 하지만, 암호화된 오프라인 파일 데이터베이스에서 나타나는 한 가지 제한 사항은 오프라인으로 작업 시 파일과 폴더가 컬러로 표시되지 않는다는 것입니다. 또한 원격 서버는 온라인일 때 선택적으로 파일 및 폴더의 암호화를 사용할 수 있으므로 암호화된 파일을 온라인 및 오프라인 상태에서 표시할 때 일관되지 못한 결과가 나타날 수 있습니다.

중요    CSC는 SYSTEM 프로세스로 실행되므로 모든 사용자 또는 SYSTEM으로 실행되거나 SYSTEM 프로세스 역할을 수행할 수 있는 프로세스에서 액세스할 수 있습니다. 여기에는 또한 로컬 시스템 관리자도 포함됩니다. 따라서 중요한 데이터를 오프라인 폴더에 저장할 때는 관리자 액세스를 사용자로 제한하고 항상 SYSKEY를 항상 사용해야 합니다.

오프라인 파일 암호화

오프라인 파일 암호화 기능은 Windows 탐색기 명령 메뉴에서 도구를 선택한 다음 명령 메뉴에서 폴더 옵션을 선택하여 설정할 수 있습니다.

  1. 1. 아래 그림 17과 같이 오프라인 파일 탭을 선택합니다.
    참고   이 옵션은 Windows XP Professional에서만 사용 가능하며, 원격 데스크톱인 경우의 Windows Server 2003에서는 사용할 수 없습니다.

    crypt22

    F그림 17 오프라인 파일 탭 선택

  2. 오프라인 파일 사용 가능데이터 보호를 위해 오프라인 파일을 암호화를 선택합니다.
    참고   도메인의 그룹 정책을 통해 정책이 설정되면 이 옵션을 사용할 수 없습니다.
  3. 확인을 누릅니다.

오프라인 파일은 클라이언트 시스템의 SYSTEM 계정에 대한 개인 키와 인증서를 사용해 로컬로 캐시될 때 암호화됩니다.

중요    로밍 사용자 프로필에 저장된 파일을 암호화하면 로그온 시 프로필이 로드될 때 시스템에서 프로필의 파일을 열 수 없으므로 절대 암호화하지 않습니다.

영구 오프라인 사용자

대개 주기적으로 도메인이나 네트워크에 연결되어 있지 않은 EFS의 오프라인 사용자는 EFS 작업을 별도로 수행할 필요가 없습니다. 그러나 어떤 조직에서는 사용자가 출장 중이거나 오프라인 상태에 있을 때 긴급 상황에 대처하기 위해 플로피 디스크에 DRA 개인 키 및 인증서 사본을 유지해야 할 수도 있습니다. 이 방법은 일반적으로 권장되지 않으며 반드시 특수한 상황에서만 사용해야 합니다. 개인 키 파일(*.PFX)을 사용할 때는 강력한 암호로 보호해야 하며 플로피 디스크도 노트북 컴퓨터와는 별도로 보관해야 합니다.

WebDAV 폴더를 이용한 EFS

WebDAV 폴더로 EFS 기능을 운용하면 개인이나 기업 사용자가 보안이 유지되지 않은 네트워크에서 중요한 데이터를 쉽고 안전하게 공유할 수 있습니다. 또한 사용자, 기업 또는 조직 간에 암호화된 파일을 안전하게 공유하는 데 필요한 특수 소프트웨어를 구입할 필요도 없습니다. EFS의 강력한 암호화 기능을 Windows XP에 제공된 파일 공유 기능과 함께 사용하면 중요한 데이터를 보다 편리하게 공유할 수 있습니다. 파일은 공용 파일 서버나 Microsoft Network(www.msn.co.kr)같은 인터넷 커뮤니티에 저장하여 쉽게 액세스할 뿐 아니라 EFS를 통해 강력한 보안 기능을 유지할 수 있습니다.

또한 WebDAV 폴더를 이용해 EFS 기능을 운용하면 복잡한 인프라나 비용이 많이 드는 생산 기술을 배포하지 않으면서 간단한 보안 솔루션을 구축하려는 조직에 방대한 B2B 및 협업 시나리오를 제공할 수 있습니다. WebDAV 폴더를 이용한 EFS 기능에 대한 자세한 내용은 아래 소개할 '서버의 파일 암호화'를 참조하십시오.

시스템 종료 시 페이지 파일 지우기

시스템 페이지 파일은 시스템 종료 전에 지워야 하는데, 이렇게 해야만 시스템 종료 시 메모리 데이터 조각이 일반 텍스트 형식으로 디스크에 페이지되지 않습니다. 이 작업은 로컬 또는 도메인 그룹 정책을 통해 수행합니다.

시스템 종료 시 페이지 파일 지우기

  1. 그룹 정책 MMC 스냅인을 이용해 다음 경로를 차례로 누릅니다.
    • 컴퓨터 구성
    • Windows 설정
    • 보안 설정
    • 로컬 정책
    • 보안 옵션
  2. 시스템 종료: 가상 메모리 페이지 파일 지움 개체를 엽니다.
  3. 아래 그림 18과 같이 사용 라디오 단추를 선택한 다음 확인을 누릅니다.
  4. 그룹 정책 MMC 스냅인을 닫습니다.

  5. 브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 18 시스템 종료: 가상 메모리 페이지 파일 지움 정책 설정 정의

기본 암호화 알고리즘

Windows 2000의 모든 버전은 128 비트 암호화 팩을 적용하지 않는 한 기본적으로 56 비트의 키 크기를 사용합니다. 128 비트 암호화 팩이 설치된 워크스테이션은 키 길이가 56 비트인 파일의 암호를 해독할 수 있으며, 128 비트의 모든 새로운 파일을 암호화합니다.하지만, 56 비트만 처리할 수 있는 시스템은 128 비트로 암호화된 파일을 열 수 없습니다. 이 시나리오는 사용자가 로밍 사용자 프로필을 갖고 있고 암호화 기능이 다른 서로 다른 시스템을 사용할 경우 중요하게 적용됩니다.

Windows XP 운영 체제는 Windows 2000의 기본 DESX 알고리즘보다 훨씬 더 강력한 대칭형 알고리즘을 사용합니다. Windows 2000과 Windows XP의 기본 알고리즘은 DESX이며, Windows XP Service Pack 1과 Windows Server 2003의 기본 알고리즘은 256 비트의 키를 사용하는 AES(Advanced Encryption Standard)입니다. FIPS 140-1 호환 알고리즘을 이용한 보다 강력한 대칭 키 성능이 필요한 사용자는 3DES 알고리즘을 사용해야 합니다.

Windows XP에서 3DES 알고리즘 사용

Windows XP에서 3DES 알고리즘을 사용하려면 대상 컴퓨터의 사이트, 도메인 또는 OU에서 로컬 컴퓨터 정책이나 적절한 그룹 정책을 설정합니다.

  1. 다음 경로를 차례로 누릅니다.
    • 컴퓨터 구성
    • Windows 설정
    • 보안 설정
    • 로컬 정책
    • 보안 옵션
  2. 시스템 암호화: 암호화, 해시, 서명에 FIPS 호환 알고리즘 사용 개체를 엽니다.
    중요    시스템 암호화는 EFS와 IPsec에 모두 적용됩니다.
  3. 아래 그림 19와 같이 사용 라디오 단추를 선택한 다음 확인을 누릅니다.

해당 항목이 설정되면 Windows XP 클라이언트는 DESX 및 3DES 알고리즘을 모두 사용해 암호화된 파일을 열 수 있습니다. 그러나 새 파일은 모두 새로운 알고리즘인 3DES로 암호화됩니다.


브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

그림 19 시스템 암호화: FIPS 호환 알고리즘 사용 정책 설정 정의

참고   사용자가 Windows 2000과 Windows XP에서 암호화된 파일에 액세스하야 하는 경우에는 AES 256이나 3DES 알고리즘을 사용할 수 없습니다. Windows 2000 운영 체제는 AES나 3DES 알고리즘을 지원하지 않습니다.

또한 Windows Server 2003은 EFS용으로 생성된 키에 보다 큰 크기의 기본 RSA 키를 지정할 수 있습니다. Windows XP와 Windows 2003의 기본 키 크기는 Microsoft Base Provider의 1024 비트입니다. Windows Server 2003에서는 DWORD 값으로 다음 레지스트리 키를 설정하여 기본 키 크기를 변경할 수 있습니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\RSAKeyLength 
Range: 1024 to 16384.

숫자가 16384보다 크면 시스템은 이를 무시하게 됩니다. 또한 숫자가 8의 배수가 아니면 그 다음 8의 배수로 줄어듭니다. 길이가 1024를 넘으면 키를 생성하기 위해 Microsoft Enhanced Provider CSP가 사용됩니다.

Important   파일 시스템 암호화에는 Microsoft Base, Enhanced 및 Strong CSP만 사용할 수 있습니다. 또한 키 컨테이너의 스마트 카드 및 강력한 개인 키 보호 장소는 EFS를 지원하지 않습니다.

다른 유용한 EFS 실행 방법에 대해서는 다음 Microsoft 기술 자료를 참조하십시오. http://support.microsoft.com/default.aspx?scid=kb;en-us;223316&sd=tech 

암호화된 파일의 컬러 표시

Windows XP 클라이언트는 Windows 탐색기에 암호화된 파일과 압축된 파일을 컬러로 표시할 수 있습니다. 이 기능은 Windows 탐색기 명령 메뉴의 도구를 선택한 다음 폴더 옵션을 선택하여 설정할 수 있습니다.

암호화된 파일의 컬러 표시

  1. 폴더 옵션 대화 상자에서 보기 탭을 선택합니다.
  2. 아래 그림 20과 같이 암호화되거나 압축된 NTFS 파일을 컬러로 표시 확인란을 선택합니다. 이 설정이 폴더에 적용되면 Windows 탐색기의 암호화된 모든 파일이 녹색으로 표시됩니다.
  3. 이 설정을 시스템의 모든 폴더에 적용하려면 모든 폴더에 적용 단추를 선택하고 확인 메시지가 표시되면 를 선택합니다.
  4. 확인을 눌러 대화 상자를 닫습니다.

    crypt25

    그림 20 암호화된 파일을 컬러로 표시하기 위한 옵션 선택

독립 실행형 시스템 또는 NT 4.0 도메인에서 EFS 사용

EFS는 독립 실행형 시스템에 동일한 기능이나 이점을 제공하지 않지만 작업 그룹 모드나 NT 4.0 도메인에 속해 사용하는 것은 가능합니다.

참고   Windows 2000이나 Windows XP 시스템에서만 EFS를 사용할 수 있습니다. EFS 기능은 사용자 계정이 아니라 시스템에 속해 있습니다. 즉, NT4.0/Windows 2000이 혼합된 환경에서 본인의 프로필에 적절한 EFS 키를 보유하고 있는 로밍 사용자는 Windows NT 4.0 Workstation에서 EFS 암호화 파일을 열거나 읽을 수 없습니다.

Active Directory 이외의 환경에서 EFS 관리

Active Directory 이외의 환경에서 EFS를 사용할 때 나타나는 가장 큰 문제점은 관리의 효율성 문제입니다.

다음과 같은 사항을 고려해야 합니다.

  • Windows 2000의 기본 설정을 사용하면 워크스테이션이나 서버에 로컬 관리자 계정으로 로그온할 수 있는 사람은 누구나 해당 시스템에서 모든 사용자의 암호화된 파일을 해독할 수 있습니다. 이렇게 되면 작업 그룹 모드의 시스템은 특히 오프라인 상태의 디스크 편집 공격을 받기 쉽습니다. 하지만 Windows XP와 Windows Server 2003 시스템은 이러한 공격에 취약하지 않습니다.
  • 사용자가 파일을 암호화했는데 이 사용자의 로컬 DRA의 인증서 저장소가 손상 또는 삭제되면 파일을 복구하거나 해독할 수 없습니다.
  • 인증서 기간이 만료되었거나 법률 집행 기관의 소환에 의해 사용자 권한이 없는 상황에서 파일을 복구해야 하는 경우 사용자가 인증서 저장소를 훼손하고 실수나 불순한 의도로 DRA 인증서를 삭제하면 파일을 복구할 수 없습니다.
  • 복구에 필요한 중앙 데이터베이스가 없습니다.

Active Directory 이외의 환경에서 EFS를 사용할 경우에는 일부 키를 다음과 같이 최적화해야 합니다.

  • Windows 2000 시스템의 기본 DRA 개인 키는 작업 그룹 모드에서 실행되는 시스템에서 제거하여 이 시스템과 별도로 저장해야 합니다. 작업 그룹 모드의 시스템은 특히 오프라인 상태의 디스크 편집 공격을 받기 쉽습니다. Windows XP와 Windows Server 2003 시스템은 이러한 공격에 취약하지 않습니다.
  • 부팅 플로피나 시스템 부팅 전에 입력하는 마스터 암호를 통해 SYSKEY 모드를 사용합니다. 플로피나 마스터 암호는 시스템과 별도로 저장해야 합니다.
  • sysprep 및 사용자 지정 스크립트를 사용해 시스템을 설치하여 중앙 복구 에이전트를 활성화합니다. 이 작업은 기존의 로컬 DRA를 삭제하고 조직의 중앙 관리식 DRA를 삽입하는 단일 실행 레지스트리 키를 통해 수행할 수 있습니다. 변경 작업은 기본 DRA를 생성하는 sysprep의 최소 설치가 끝난 후에 수행해야 합니다. 이 방법은 특히 NT 4.0 도메인의 시스템에 유용합니다. 가장 좋은 방법은 Microsoft CA를 사용해 중앙 복구 에이전트에 대한 DRA 인증서를 발급하는 것입니다.
  • 엔터프라이즈 CA를 사용하여 나중에 시스템이나 사용자를 Windows 2000이나 Windows NT Active Directory 환경으로 마이그레이션할 경우, 클라이언트는 자체 서명한 인증서를 계속 사용하며, Active Directory 도메인에 참여한 후 새 인증서에 자동으로 등록되지 않습니다. 그러나 기본 도메인 복구 에이전트는 모든 새 파일과 이전에 암호화된 파일이 수정될 때 이러한 파일에 자동으로 적용됩니다.

독립 실행형 시스템 또는 NT 4.0 도메인의 시스템의 최신 DRA 인증서 보기

  1. 로컬 컴퓨터의 그룹 정책 MMC 스냅인을 엽니다. 아래 그림 21처럼 차례로 눌러 로컬 컴퓨터 정책에서 로컬 DRA를 찾습니다.
    • 컴퓨터 구성
    • Windows 설정
    • 보안 설정
    • 공개 키 정책
    • 암호화된 파일 시스템


    브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

    그림 21 로컬 암호화 데이터 복구 에이전트 찾기

Windows XP 로컬 암호 재설정

Windows XP는 로컬로 변경된 암호 및 EFS와 관련해서 새롭게 동작합니다. Windows 2000에서는 관리자가 로컬 사용자 암호를 재설정할 때 관리자나 제 3자는 이론적으로 새롭게 변경된 계정을 사용하여 해당 사용자로 로그온한 다음 암호화된 파일을 해독할 수 있었습니다. Windows XP에서는 관리자가 직접 로컬 사용자 암호를 변경하거나 해당 사용자를 거치지 않는 다른 방식을 통해 변경하면 해당 사용자가 이전에 암호화한 모든 파일에 액세스할 수 없습니다.

즉, 사용자의 프로필과 키가 손실되므로 재설정한 암호를 사용하여 해당 계정에서 이를 사용할 수 없게 됩니다. Windows XP는 사용자 계정 암호를 재설정하려고 할 때 다음과 같은 경고 메시지를 표시합니다.

경고    이 암호를 다시 설정하면 해당 사용자 계정 정보가 영구적으로 손실될 수 있습니다. Windows는 보안상의 이유로 사용자의 암호가 다시 설정된 경우 특정 정보에 액세스할 수 없도록 하여 해당 정보를 보호합니다.

이 기능은 오프라인 공격으로부터 보호해 주며, 불순한 의도를 갖고 있는 관리자가 다른 사용자의 암호화된 파일에 액세스하지 못하게 합니다.

서버의 파일 암호화

Windows XP는 원격 서버에서 다음과 같은 두 가지 유형의 암호화된 파일을 지원합니다.

  • 위임된 서버 모드
  • WebDAV를 통한 EFS
참고   Windows 2000 운영 체제는 위임된 서버 모드만 지원합니다.

위임된 서버 모드

Windows 2000, Windows XP 및 Windows Server 2003에서는 서버에 NTFS 파티션이 있고 Active Directory에서 위임할 수 있도록 트러스트된 경우, 사용자가 해당 서버에서 원격으로 파일을 암호화할 수 있습니다. 또한 사용자 계정을 중요하다고 표시해선 되며, Active Directory에 위임할 수 없습니다.

원격 암호화를 위해서는 서버의 로컬 프로필에 사용자의 인증서와 개인 키를 로드하여 암호화 및 암호 해독 작업을 수행해야 합니다. 서버는 Kerberos 위임을 통해 해당 프로필에 액세스합니다. 원격으로 파일을 암호화하려면 이 프로필에 저장된 개인 키를 사용해야 합니다. 로밍 프로필을 사용할 수 있으면 해당 프로필이 로컬로 복사됩니다.

참고   사용자가 서버에 대화형으로 로그온하지 않은 경우에도 해당 사용자의 프로필과 개인 키가 서버에 저장됩니다.

스마트 카드 기반의 인증서와 키는 현재 파일 시스템 암호화에서 지원되지 않습니다. 또한 원격 서버의 포리스트 간 파일 암호화도 원격 암호화의 위임된 서버 모드에서는 지원되지 않습니다. Windows Server 2003 기반 서버에 제한된 위임을 사용할 경우, 서버와 사용자 계정은 반드시 동일한 Active Directory에 있어야 합니다. 이 항목에 대한 자세한 내용은 Windows Server 2003의 도움말 파일을 참조합니다. 포리스트 경계를 넘어 원격 서버의 파일을 암호화하려면 WebDAV를 통한 EFS 방법을 사용해야 합니다.

사용자 프로필은 다음 두 가지 방법으로 얻을 수 있습니다.

  • 사용자는 서버가 해당 사용자를 가장할 때 다운로드되는 RUP(로밍 사용자 프로필)을 보유합니다.
  • 서버는 사용자 대신 새로운 로컬 프로필을 생성하고, 나중에 자체 서명된 EFS 인증서를 요청하거나 생성합니다.
중요    Microsoft 클러스터 서버를 사용하는 위임된 서버 모드에서 EFS를 사용하는 경우에는 모든 사용자가 로밍 사용자 프로필을 보유해야 합니다. 사용자 프로필에 존재하는 사용자 키 정보의 특성으로 인해 장애 조치 시 두 클러스터 노드에서 동일한 키를 사용하려면 로밍 프로필이 필요합니다. 로밍 사용자 프로필을 사용하지 않는 경우, 장애 조치가 발생하면 두 번째 노드에서 사용자 데이터의 암호를 해독할 수 없습니다. 클러스터에 대한 EFS는 Windows Server 2003에서만 지원됩니다. Windows Server 2003에서 Kerberos 인증 및 EFS를 지원하도록 구성하는 방법에 대한 자세한 내용은 Windows Server 2003 도움말 파일의 검사 목록을 참조하십시오.

원격 서버에서의 파일 공유

위임을 위해 트러스트된 원격 서버에서 파일을 공유하면 다른 사용자의 인증서 공유와 관련된 매우 독특한 문제가 발생합니다. 사용자가 로밍 사용자 프로필을 사용하지 않으면 서버는 서버의 암호화된 파일에 해당 사용자의 고유 인증서를 사용합니다. 사용자가 EFS 인증서에 이미 등록되어 해당 인증서를 Active Directory에 게시한 경우에도 이러한 문제가 발생합니다. 따라서, 사용자는 다른 사용자를 암호화된 파일에 추가할 때 Active Directory에서 어떤 인증서를 선택해야 할지 알지 못하게 되는데, 이는 서버가 암호화에 사용한 인증서를 확인할 방법이 없기 때문입니다.

이 시나리오는 사용자가 서버의 다른 사람이나 신뢰된 사용자 저장소가 아닌 로컬 시스템 저장소나 Active Directory에서 인증서를 선택할 경우 더욱 악화됩니다. 서버에 암호화된 파일을 공유하려면 다음 해결 방법 중 하나를 사용하는 것이 좋습니다.

  • 사용자는 로밍 사용자 프로필을 보유합니다.
  • WebDAV 파일 공유를 통해 EFS를 사용합니다.
  • 올바른 인증서를 식별하는 다른 방법을 규정합니다(예: 게시 서버에서만 Active Directory에 인증서를 생성함).

성능

Windows Server 2003은 서버가 원격 서버 암호화에 사용될 때 서버에서의 사용자 키 캐싱을 최적화하도록 조정되어 있습니다. 기본적으로 서버는 메모리에 최고 15개의 사용자 키를 캐시하여 서버의 암호화 성능을 향상시킵니다. 그러나 관리자는 다음 레지스트리 값을 편집하여 기본값을 변경할 수 있습니다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\UserCacheSize DWORD

이 레지스트리에 허용되는 값은 5~30입니다.

참고   개인 키는 캐시된 메모리에 저장되지 않으며 CryptoAPI 키 컨테이너에 핸들로만 저장됩니다. 서버 캐시는 메모리에 있다가 컴퓨터를 재부팅할 때만 지워집니다.

재해 복구

서버에서 원격으로 파일을 암호화하면 재해 복구 시 새로운 난제가 발생합니다. 즉, 관리자는 사용자가 이전에 암호화된 파일을 해독할 수 있는 권한을 유지하도록 조치를 취해야 합니다. 재해 복구 상황에서 데이터 파일을 백업했더라도 사용자의 개인 키가 들어 있는 사용자 보안 프로필이 백업되지 않고 RUP가 사용되지 않으면, 사용자는 이전에 암호화된 파일을 해독하거나 이 파일에 액세스할 수 없게 됩니다. 이 경우 이전에 암호화된 파일은 데이터 복구 에이전트로만 해독할 수 있습니다.

어떤 조직에서는 이러한 작업을 수행하는 것이 바람직하지 못할 수도 있는데 이러한 상황을 피하려면 다음과 같은 방법을 사용해야 합니다.

  • 데이터 파일 뿐 아니라 전체 운영 체제와 프로필 하이브를 백업합니다. 로밍 사용자 프로필을 사용합니다. 그룹 정책을 통해 파일 서버로 리디렉션된 "내 문서" 폴더의 경우, "내 문서" 폴더를 대체 서버로 리디렉션하도록 GPO(그룹 정책 개체)를 변경합니다. (예를 들어, "내 문서" 폴더의 파일을 암호화하고 그룹 정책을 통해 "내 문서"를 리디렉션하는 경우, 그룹 정책의 서버 경로를 변경하면 위와 같은 문제를 어느 정도 줄일 수 있습니다.) 그룹 정책에 대한 자세한 내용은 http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp에서 그룹 정책 문서를 참조하십시오.

이 항목에 대한 자세한 내용은 Microsoft 기술 자료 Q283223 - 서버의 암호화된 파일 복구  를 참조하십시오.

WebDAV 폴더를 이용한 EFS

Windows XP 클라이언트는 WebDAV 프로토콜을 통해 원격 서버에서 파일을 암호화하는 새로운 방법을 지원합니다. Windows XP 클라이언트가 드라이브를 원격 서버의 WebDAV 액세스 지점에 매핑하면, 파일은 클라이언트에서 로컬로 암호화된 다음 HTTP PUT 명령을 사용해 암호화된 원시 파일 형식으로 WebDAV 서버에 전송됩니다. 마찬가지로 Windows XP 클라이언트로 다운로드된 암호화된 파일은 HTTP GET 명령을 사용하여 암호화된 원시 파일 형식으로 전송된 다음, 클라이언트에서 로컬로 해독됩니다. 임시 인터넷 파일 위치는 HTTP를 사용하여 파일을 전달하기 위한 중간 매개 장소로서 WebDAV proppatch 및 propfind 동사를 사용하여 Windows XP의 암호화된 파일 특성을 검색하고 설정합니다. 따라서 파일 암호화에는 클라이언트의 공개 및 개인 키 쌍만 사용됩니다.

WebDAV 리디렉터는 HTTP를 이용해 원격 문서 공유용 WebDAV 프로토콜을 지원하는 새로운 소형 리디렉터입니다. WebDAV 리디렉터에서는 기존 응용 프로그램을 사용할 수 있으며 방화벽, 라우터 등을 통과하여 인터넷에서 HTTP 서버와 파일을 공유할 수 있습니다. IIS 5.0(Windows 2000)과 IIS 6.0(Windows Server 2003)은 모두 웹 폴더로 알려진 WebDAV 폴더를 지원합니다. WebDAV 리디렉터는 WebDAV 프로토콜을 사용하여 전송할 수 있는 파일에 대한 몇 가지 일반적인 제한을 두고 있습니다. 실질적인 제한은 사용할 수 있는 가상 메모리의 양에 따라 달라지지만, 대개 Windows XP에서 WebDAV를 통해 EFS를 사용할 경우 사용 가능한 최대 파일 크기는 400MB입니다.

WebDAV 프로토콜이 WebDAV 공유(게시 지점)에서 사용할 수 있는 파일에서 리치 파일 ACL을 반드시 지원하는 것은 아닙니다. WebDAV는 파일 당 기반의 ACL이 없는 FAT 파일 시스템처럼 파일을 요약합니다. 서버의 폴더에 웹 공유 기능을 활성화하면 Windows 2000이나 Windows XP 서버에서 WebDAV 폴더를 만들 수 있습니다.

웹 공유 기능 사용

  1. 서버의 폴더를 마우스 오른쪽 단추로 누른 다음 속성을 선택합니다.
  2. 아래 그림 22처럼 웹 공유 탭을 선택합니다.

    crypt27

    그림 22 속성-웹 공유

  3. 그런 다음, 이 폴더를 공유함 라디오 단추를 누른 다음 확인을 누릅니다. 이제 폴더를 통해 서버에서 WebDAV를 사용할 수 있습니다.

WebDAV 공유를 사용해 암호화된 파일과 폴더는 사용자나 관리자가 서버에 로컬로 로그온하면 암호화되지 않은 것으로 나타납니다. WebDAV를 사용하여 암호화된 파일은 WebDAV를 사용해야만 액세스 및 해독될 수 있습니다. 그러나 이러한 동작은 NTBACKUP.exe 또는 NT 백업 API 세트를 사용하여 서버를 백업하고 복원하는 기능에는 아무런 영향을 주지 않습니다.

관리자와 사용자는 WebDAV 공유를 호스팅하는 볼륨에서 로컬로 파일을 암호화하거나 암호화 특성을 설정하지 않도록 해야 합니다. 즉, 모든 관리 작업은 WebDAV 공유를 통해서만 수행되어야 합니다. 또한 사용자가 WebDAV 공유 파일을 해독할 키를 갖고 있지 않으면 파일을 해독할 수 있는 사용자처럼 파일의 고급 EFS 세부 정보를 지정할 수 없으며, 대신 액세스 거부 오류 메시지를 받게 됩니다.

참고   WebDAV 서버는 DFS(분산 파일 시스템) 루트로 사용할 수 없습니다. 그러나 WebDAV 폴더(공유)는 DFS 경로의 리프 링크로 사용할 수 있습니다.

새 인증서로 마이그레이션

여러 가지 이유로 인해 사용자는 일정 기간이 경과된 후 새로운 인증서나 새로운 키를 사용할 수 있도록 마이그레이션하려 할 것입니다. 이러한 작업은 비도메인 환경이나 Microsoft 인증 기관이 없는 환경에서 EFS를 사용하는 사용자에게 특히 중요합니다. 로컬 파일 암호화를 위해 EFS가 사용하는 인증서는 다음 두 단계를 수행해 교체할 수 있습니다.

  1. 현재 사용자의 로컬 시스템에서 다음 레지스트리 값을 사용할 새 인증서의 손도장으로 교체합니다.
  2. HKCU\Software\Microsoft\Windows NT\EFS\CurrentKeys\CertificateHash

  3. 2. 다음과 같은 /K 옵션으로 cipher.exe 유틸리티를 실행합니다.
  4. C:\>cipher /?

    NTFS 파티션의 디렉터리 [파일]에 대한 암호화를 표시하거나 변경합니다.

     CIPHER [/E | /D] [/S:directory] [/A] [/I] [/F] [/Q] [/H] [pathname [...]]
     CIPHER /K
     /K  

    Cipher를 실행해 사용자의 새로운 파일 암호화 키를 만듭니다. 이 옵션을 선택하면 다른 모든 옵션은 무시됩니다.

외부 인증 기관

외부 인증 기관을 이용해 EFS 및 데이터 복구 에이전트에 대한 인증서를 발행할 수도 있습니다. 자세한 내용은 아래 Microsoft 기술 자료 Q273856을 참조하십시오. http://support.microsoft.com/default.aspx?scid=kb;en-us;273856&sd=tech 

EFS 및 시스템 복원

Windows XP에는 시스템 복원이라는 새 기능이 추가되었습니다. 시스템 복원 기능을 사용하면 시스템 파일을 자동으로 모니터링하고 기록하여 운영 체제를 이전 상태로 복원할 수 있습니다. 대개, 암호화된 일반 사용자 파일은 모니터링되지 않으므로 시스템 복원 기능은 EFS에 영향을 주지 않습니다. 또한 시스템 파일은 EFS로 암호화되지 않으므로 해당 영역에 미치는 영향도 없습니다. 그러나 응용 프로그램이 암호화될 수도 있으므로 시스템 복원 기능을 사용할 때는 암호화된 파일의 보안에 미치는 영향에 대해 정확히 이해해야 합니다.

  • 이전에 암호화된 모니터링 대상 파일을 해독한 다음, 파일을 해독하기 전 시점으로 복원하면 시스템 복원 기능은 파일을 암호화 상태로 되돌리지 않으므로 파일은 복원 이후에 해독된 상태로 남아 있습니다. 복원 작업을 실행 취소하면 파일은 해독된 상태로 남아 있습니다.
  • 모니터링 대상 파일을 암호화한 다음, 이 파일을 암호화하기 전 상태로 복원하면 시스템 복원 기능은 암호화하기 전 상태로 파일을 되돌립니다. 복원 작업을 실행 취소하면 파일은 암호화되지 않은 상태로 남아 있습니다.
  • 여러 사용자용으로 암호화된 모니터링 대상 파일을 수정한 다음, 수정하기 전 시점으로 복원하면 시스템 복원 기능은 파일 수정 내용을 원래 상태로 되돌리지만, 복원 지점이 형성된 후에 해당 파일을 수정한 첫 번째 사용자만 해당 파일에 액세스할 수 있습니다.
  • 복원을 실행 취소하면 해당 필터는 복원 작업을 실행하는 사용자의 컨텍스트에 복원 중인 파일을 백업하므로 해당 복원을 실행한 사용자만 파일에 액세스할 수 있습니다.
  • 디렉터리를 암호화한 다음 암호화 이전 시점으로 복원하면 디렉터리는 암호화된 상태로 남아 있습니다. 이 복원 시점 동안 해당 디렉터리에 만들어진 모니터링 대상 파일은 디렉터리의 암호화 특성을 상속 받지만 복원에 의해 삭제됩니다. 이 디렉터리로 이동된 모니터링 대상/비대상 파일은 해당 파일이 만들어진 디렉터리의 암호화 상태를 그대로 유지합니다. 복원이 끝나면 모니터링 대상 파일은 원래 디렉터리로 다시 옮겨지며 해당 파일이 다시 생성된 디렉터리의 암호화 상태를 그대로 유지합니다. 복원을 실행 취소하면 디렉터리는 암호화된 상태로 남아 있으며 해당 디렉터리에 만들어진 파일은 이전의 암호화 키를 사용하여 복원됩니다. 또한 해당 디렉터리로 이동된 모든 파일은 올바른 암호화 상태(암호화되지 않은 상태)로 복원됩니다.
  • 모니터링 대상 암호화 파일을 삭제한 다음 삭제 이전 시점으로 복원하면 시스템 복원 기능은 삭제를 취소하며 삭제된 파일은 암호화 특성이 그대로 유지된 상태로 복원됩니다. 이러한 복원 작업을 실행 취소하면 해당 파일이 다시 삭제됩니다.
  • 암호화된 디렉터리를 삭제하고 삭제 이전 시점으로 복원하면 시스템 복원 기능은 암호화 특성을 그대로 유지한 상태로 디렉터리를 복원합니다. 이러한 복원 작업을 실행 취소하면 해당 디렉터리가 다시 삭제됩니다.
  • 암호화된 디렉터리를 수정하고(이름 변경) 수정 이전 시점으로 복원하면 시스템 복원 기능은 수정 사항을 되돌리고 디렉터리의 암호화 특성을 그대로 유지합니다. 복원을 실행 취소하면 변경했거나 수정한 내용이 취소되고 암호화 특성은 원래 상태로 남아 있습니다.

최적화 방법

다음은 모니터링 대상 파일 형식(예: .dll, .exe, .ini 등)에 암호화를 사용할 때 최상의 보안 효과를 얻기 위해 권장되는 작업 방법입니다.

  • 시스템 복원 기능을 해제합니다(이점의 모든 복원 지점 손실)
  • 암호화 설정을 완료한 다음, 시스템이 암호화 이전 상태로 되돌아갈 수 없도록 시스템 복원 기능을 다시 설정합니다.
  • 시스템 복원 기능에 의해 모니터링 되는 파일의 유형에 암호화를 사용하는 경우에는 시스템 복원 보호 대상에서 제외된 파티션/드라이버의 해당 파일에 암호화를 적용하는 것이 좋습니다. 이렇게 하면 암호화 이전 상태로 복원될 위험을 줄일 수 있습니다.

데이터 복구 및 키 복구Back to Top


Windows XP 및 Windows Server 2003 운영 체제는 키 복구와 데이터 복구를 모두 지원합니다. 두 솔루션은 각각 나름대로의 장단점이 있습니다. 키 복구 옵션과 데이터 복구 옵션 중 어느 것이 더 나은가?라는 질문에는 명확하게 답변하기는 어려우며, 각각 기술적인 장단점이 있으므로 한 가지 솔루션을 사용할지 두 가지를 모두 사용할지 결정하는 일은 다분히 주관적인 판단에 맡겨야 할 것입니다. 이 두 솔루션은 따로 사용하거나 함께 사용하는 방법을 통해 유용한 결과를 얻을 수 있습니다. 이 섹션은 이러한 복구 옵션과 관련된 주요 장단점들을 설명함으로써 조직에서 보다 나은 의사 결정을 내리는 데 도움을 주기 위한 것입니다.

데이터 복구 기능은 조직에서 사용자의 개별적인 개인 키에 액세스하려는 것이 아니라 데이터 자체를 복구하려고 할 때 사용해야 합니다. 조직에서는 먼저 도메인에서 데이터 복구 에이전트를 활성화한 후 DRA와 연관된 개인 키를 소멸함으로써 Windows 2000 환경에서 데이터 복구 수행 기능을 해제할 수 있습니다. 이렇게 하면 EFS는 활성화되지만 데이터 복구 기능은 비활성화됩니다. 클라이언트가 Windows XP이고 도메인이 Windows Server 2003인 환경에서는 복구 에이전트를 비활성화할 수 있습니다.

조직에서 원래 사용자를 제외한 다른 모든 사람으로부터 데이터를 보호하려고 할 경우에는 데이터 복구 및 키 복구 기능을 사용하면 안 됩니다. 작성자/소유자 이외에는 누구도 데이터를 액세스하거나 복구하지 못하게 하려면 데이터 복구 및 키 복구 프로세스를 모두 구현하지 않아야 합니다.

데이터 복구의 장점

  • 인증 기관이나 PKI 구조가 필요하지 않습니다.
  • 데이터 복구 정책은 Active Directory를 사용하여 중앙에서 관리할 수 있습니다.
  • 사용자는 인증서나 개인 키를 관리할 필요가 없습니다.
  • 암호 해독을 해당 사용자로만 제한할 수 있습니다(정책을 유지하면서 DRA 키를 삭제해야 함).

데이터 복구의 단점

  • 관리자 프로세스에 따라 사용자 데이터를 복구해야 하며 사용자가 본인의 데이터를 복구할 수 없습니다.
  • 데이터 복구가 파일 단위로 수동으로 진행됩니다.
  • 사용자는 새 인증서를 받기 위해 다시 등록해야 합니다. 그렇지 않으면 데이터만 복구되고 사용자 키는 복구되지 않습니다.
  • 관리자는 기존의 인증서를 취소해야 합니다. 그렇지 않을 경우 키가 손실되면 손상된 것으로 간주됩니다.
  • 독립 실행형 워크스테이션이나 Active Directory 이외의 환경에 있는 워크스테이션은 중앙에서 관리할 수 없습니다.
  • 데이터 복구는 EFS 응용 프로그램에만 해당됩니다.

키 복구의 장점

  • 사용자는 인증서를 다시 등록하거나 보안 설정을 변경하는 등의 작업을 수행할 필요가 없습니다.
  • 기존 인증서를 취소할 필요가 없습니다.
  • 사용자는 개인 키의 손실로 인해 데이터나 전자 메일을 복구할 필요가 없습니다.
  • 인증서에서 공개키로 암호화된 모든 데이터는 개인 키를 복구한 후에 복구할 수 있습니다.

키 복구의 단점

  • 사용자 키 복구 작업은 관리자 및 사용자가 수행하는 수동 프로세스입니다.
  • 키 복구 작업에서는 관리 액세스 권한으로 사용자의 개인 키에 액세스할 수 있습니다.
  • 키 기록 및 복구 작업에서 거부 없음을 보장할 수 없습니다

문제 해결Back to Top


EFS 사용 시에 나타나는 가장 일반적인 문제점은 파일과 파일 암호화에 사용되는 인증서를 연결하는 것입니다. 사용자나 DRA에게 파일의 상세 정보에서 식별되는 인증서와 연관된 개인 키가 없으면 파일을 열 수 없습니다.

가장 일반적으로 발생하는 오류는 액세스 거부입니다. 이는 대개 사용자에게 파일을 암호화한 인증서와 연관된 개인 키에 대한 액세스 권한이 없음으로 인해 발생합니다. 또한 사용자가 EFS와 연관된 로컬 사용자 키와 인증서를 백업하지 않고 작업 그룹 시스템을 다시 설치할 경우 빈번하게 발생하는 문제입니다. 파일 암호화에 사용한 인증서를 쉽게 확인하려면 파일 등록 정보에서 고급 정보 단추를 선택합니다. 아래의 그림 23에 표시되는 것처럼 파일의 세션 키를 암호화하는 데 사용되는 인증서의 손도장과 함께 파일을 해독할 수 있는 사용자와 파일을 복구할 수 있는 DRA가 모두 나열됩니다. 인증서 손도장은 지정된 사용자의 세션 키를 암호화하는 데 실제로 사용되는 인증서의 해시입니다.


브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

그림 23 암호화 정보

그림 24에서처럼 해당 사용자의 인증서 MMC 스냅인에서 인증서를 열면 인증서 해시나 인증서 손도장을 볼 수 있습니다


브라우저가 인라인 프레임을 지원하지 않으면 여기를 눌러 새로운 페이지로 보십시오.

그림 24 인증서 정보

두 번째로 자주 나타나는 문제점은 원격 서버의 파일을 암호화 또는 해독하려고 할 때 서버가 위임할 수 있도록 트러스트되지 않는 현상입니다. 이러한 문제는 항상 아래 그림 25와 같은 대화 상자로 나타납니다.

crypt30

그림 25 특성 적용 오류

이외에도 EFS에 부적절한 CSP나 유효하지 않은 인증서 확장자를 사용했을 경우 문제가 발생할 수 있습니다. 비MS CSP를 사용해 EFS 키를 생성하면 시스템은 인증서를 거부한 다음, 사용자에게 아무런 경고 메시지도 내보내지 않고 새로운 키와 인증서를 자동으로 생성해 사용합니다. EFS는 또한 인증서가 강력한 개인 키 보호 세트가 있는 키 컨테이너와 일치할 경우 이를 거부합니다.

자세한 내용은 http://support.microsoft.com/?ln=ko에서 Microsoft 기술 자료를 참조하십시오.

데이터 보호 API

사용자가 EFS를 사용하면서 세 번째로 자주 부딪히는 문제점을 이해하려면 Windows 운영 체제가 데이터 보호 API를 이용해 개인 키, 암호 및 사용자 기밀을 보호하는 방법을 먼저 이해해야 합니다.

DPAPI(데이터 보호 API)는 사용자 암호를 보호하기 위해 암호 자체에서 파생된 마스터 암호화 키를 생성하며 이는 Active Directory나 로컬 시스템에 저장되어 있다가 사용자 로그온을 성공적으로 수행한 후에 사용할 수 있습니다. DPAPI에 대한 자세한 내용은 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnsecure/html/windataprotection-dpapi.asp 를 참조하십시오.

Windows XP에서 가장 흔하게 발생하는 문제는 작업 그룹 컴퓨터의 로컬 사용자가 자신의 암호를 로컬 관리자로 다시 설정할 때 발생합니다. 로컬 암호를 다시 설정하면 DPAPI 마스터 키가 손실되며 사용자는 암호화된 파일과 연관된 각자의 개인 키에 액세스할 수 없게 됩니다. 이러한 동작은 오프라인 공격에 대해 보안 기능을 수행하기 위한 것이며, 도메인 기반의 사용자 계정으로 도메인에 참여한 시스템에는 아무런 영향을 주지 않습니다.

도메인 기반 사용자 계정에서 흔하게 발생하는 문제는 RAS(전화 접속 연결이나 VPN)에서 사용자 암호를 변경할 때 나타날 수 있습니다. 이 경우 사용자 암호는 도메인 컨트롤러와 업데이트된 DPAPI 마스터 키를 이용해 변경되지만 바로 복제되지 않습니다. 사용자가 접속을 중단한 다음 로컬로 암호화된 파일에 액세스를 시도하면 액세스 거부 오류 메시지가 나타날 수 있습니다. 이 문제를 해결하려면 사용자는 네트워크에 정상적으로 접속하여 로그온한 다음 DPAPI를 업데이트하거나 레지스트리에서 다음 레지스트리 DWORD 값을 설정해야 합니다.

HKLM\SOFTWARE\\Microsoft\\Cryptography\\Protect\\Providers\\df9d8cd0-1501-
11d1-8c7a-00c04fc297eb

Name: ProtectionPolicy

Value: 0x1
경고    이 레지스트리 키를 사용하면 사용자 계정이 오프라인 공격을 받을 수 있어 로컬 암호를 재설정해도 DPAPI 마스터 키는 더 이상 무효로 되지 않게 됩니다.

요약Back to Top


Windows XP와 Windows Server 2003은 데이터 복구 및 보호, 그리고 개인 키 복구 기능이 크게 향상되었습니다. 본 기술 자료는 Windows XP와 Windows Server 2003을 이용해 데이터 복구 및 데이터 보호 전략을 구축하기 위한 최적화 요령을 개발하는 시스템 설계자와 관리자들을 위한 것입니다.

또한 본 자료는 Windows XP에서의 데이터 복구 및 데이터 보호 전략에 대한 설명 외에도 사용자가 Windows XP의 데이터 복구 및 보호 솔루션을 배포할 때 사용할 데이터 복구 및 데이터 보호 기능의 설정 방법을 보여 주는 여러 가지 단계별 예제도 다루고 있습니다.

관련 링크Back to Top


자세한 정보는 다음 자료를 참조하십시오.

Windows XP Professional에 대한 최신 정보는 Windows XP 웹 사이트를 참조하십시오.

Windows Server 2003에 대한 최신 정보는 Windows Server 2003 웹 사이트를 참조하십시오.

EFS 관련 기술 자료Back to Top


다음 문서는 Microsoft 제품 지원 기술 자료에 포함되어 있습니다.

243756 HOWTO: IIS에서 파일 시스템 암호화(EFS) 사용 

222022 Windows 2000 기반 도메인의 모든 시스템에 대해 EFS 비활성화 

223338 파일 서비스 암호화를 위해 인증 기관 사용 

241201 파일 시스템 암호화 개인 키 백업 방법

242296 암호화 데이터 복구 위한 EFS 개인 키 복원 방법

243026 Efsinfo.exe 이용한 암호화 파일 정보 식별 

243035 독립 실행형 Windows 2000 시스템에서의 EFS 활성화/비활성화 방법

255742 암호화 데이터 파일 복구 방법 

259732 EFS 복구 에이전트에서 개인 키를 내보낼 수 없는 경우 

264178 Windows 2000 리소스 키트 보안 도구 설명 

272412 프로그램 시작 시 "액세스 거부" 오류 메시지 표시 

273856 EFS에 대한 외부 인증 기관 지원 

230520 Windows 2000에서 EFS를 사용한 데이터 암호화 방법

222054 Windows 2000의 파일 암호화 

221997 Windows 2000에서 이전에 암호화한 파일에 액세스할 수 없는 경우 

227825 백업 도구를 이용해 읽기 권한이 없는 파일 백업 

227369 느린 연결을 사용하는 그룹 정책 확장의 기본 동작 

230490 파일 시스템 암호화 기능의 암호화된 데이터 복구 정책 

243850 Microsoft 파일 암호화 파일 시스템에 액세스할 수 없는 경우 

250581 Microsoft 기술 자료를 검색하기 위한 Windows 2000 키워드 

256168 여러 버전의 Windows가 설치된 경우에 암호화된 파일을 열 수 없는 경우 

257705 작업 그룹 컴퓨터에서 EDRP를 다시 초기화하는 방법 

216899 Windows 2000 도메인 컨트롤러 설정을 위한 최상의 방법

223093 암호화된 파일을 압축할 수 없는 경우 

223178 복구할 암호화 파일의 전송 

223316 최상의 파일 시스템 암호화 방법 

223448 Windows 2000에서 공유 암호화 파일을 사용할 수 없는 경우 

245044 복원 중에 "경고: 복원 대상 장치…" 메시지 표시 

250494 파일 또는 폴더의 암호화/해동 시 "액세스 거부" 메시지 표시 

254156 오프라인에서 사용할 수 암호화된 파일이 클라이언트에서 암호화되지 않는 경우 

255554 네트워크를 통해 암호화된 파일을 선택할 때 클라이언트 창이 중단되는 경우 

264064 파일 또는 폴더의 암호화/해독 시 "액세스 거부" 메시지 표시 

263419 암호화된 볼륨에서 소프트웨어 인벤터리를 실행하는 동안 시스템 성능이 저하되는 경우

269397 Windows 2000에서 파일 암호화 후에 중단되는 로그온 프로세스 

272279 FRS 및 DFS 관련 문제 해결 방법 

283223 서버의 암호화된 파일 복구 

248723 INFO: 디렉터리 암호화 이해 

이 문서에 포함된 정보는 문서 발행 시에 논의된 문제들에 대한 Microsoft Corporation의 당시 관점을 나타냅니다. \r\nMicrosoft는 변화하는 시장 상황에 부응해야 하므로 이를 Microsoft측의 공약으로 해석해서는 안 되며 발행일 이후 소개된 어떠한 정보에 대해서도 Microsoft는 그 정확성을 보증하지 않습니다.

이 문서는 오직 정보를 제공하기 위한 것입니다. Microsoft는 명시적이든 묵시적이든 막론하고 여하한 보증도 하지 않습니다.

해당 저작권법을 준수하는 것은 사용자의 책임입니다. 저작권에서의 권리와는 별도로 이 설명서의 어떠한 부분도 Microsoft의 명시적인 서면 승인 없이는 어떠한 형식이나 수단(전기적, 기계적, 복사기에 의한 복사, 디스크 복사 또는 다른 방법) 또는 목적으로도 복제되거나, 검색 시스템에 저장 또는 도입되거나, 전송될 수 없습니다.

Microsoft가 이 설명서 본안에 관련된 특허권, 상표권, 저작권, 또는 기타 지적 재산권 등을 보유할 수도 있습니다. 서면 사용권 계약에 따라 Microsoft로부터 귀하에게 명시적으로 제공된 권리 이외에, 이 설명서의 제공은 귀하에게 이러한 특허권, 상표권, 저작권, 또는 기타 지적 재산권 등에 대한 어떠한 사용권도 허여하지 않습니다.

Microsoft, Windows 및 Windows NT는 미국 및/또는 다른 국가에서의 Microsoft의 등록 상표 또는 상표입니다.

본 문서에 언급된 다른 제품 및 회사 이름은 각 개별 소유주의 상표일 수 있습니다.

Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA


 

최종 수정일 : 2003년 10월 13일



Microsoft