암호화 및 데이터 보호
사람들이 PC와 함께 여행하면 기밀 정보가 함께 이동합니다. 기밀 데이터는 어디에 저장되어 있든 물리적 디바이스 도난 또는 악의적인 애플리케이션을 통한 무단 액세스로부터 보호되어야 합니다.
BitLocker
BitLocker는 데이터 도난 또는 분실, 도난 또는 부적절하게 서비스 해제된 디바이스의 노출 위협을 해결하기 위해 운영 체제와 통합되는 데이터 보호 기능입니다. 128비트 또는 256비트 키 길이가 있는 XTS 또는 CBC 모드의 AES 알고리즘을 사용하여 볼륨의 데이터를 암호화합니다. 초기 설정 중에 OOBE 중에 BitLocker를 사용하도록 설정하고 사용자가 처음으로 Microsoft 계정에 로그인하면 BitLocker는 필요한 경우 검색을 위해 자동으로 복구 암호를 Microsoft 계정에 저장합니다. 또한 사용자는 BitLocker를 수동으로 사용하도록 설정하는 경우 복구 암호를 내보낼 수 있습니다. 복구 키 콘텐츠는 OneDrive 또는 Azure[4]의 클라우드 스토리지에 저장할 수 있습니다.
조직의 경우 BitLocker는 그룹 정책 또는 Microsoft Intune[3]과 같은 디바이스 관리 솔루션을 통해 관리할 수 있습니다. HSTI(하드웨어 보안 테스트 인터페이스), 최신 대기, UEFI 보안 부팅 및 TPM과 같은 기술을 사용하여 OS, 고정 데이터 및 이동식 데이터 드라이브(BitLocker To Go)에 대한 암호화를 제공합니다.
Windows 11 버전 24H2의 새로운 기능
복구 암호가 MSA에 저장된 경우 BitLocker 미리 부팅 복구 화면에는 MSA(Microsoft 계정) 힌트가 포함됩니다. 이 힌트는 사용자가 복구 키 정보를 저장하는 데 사용된 MSA 계정을 이해하는 데 도움이 됩니다.
더 알아보세요
BitLocker To Go
BitLocker To Go는 이동식 데이터 드라이브의 BitLocker를 나타냅니다. BitLocker To Go에는 USB 플래시 드라이브, SD 카드 및 외부 하드 디스크 드라이브의 암호화가 포함됩니다. 드라이브는 암호, 스마트 카드 인증서 또는 복구 암호를 사용하여 잠금을 해제할 수 있습니다.
더 알아보세요
디바이스 암호화
디바이스 암호화는 특정 디바이스에서 BitLocker 암호화를 사용하도록 설정하는 프로세스를 간소화하는 Windows 기능입니다. OS 드라이브와 고정 드라이브만 암호화되고 외부/USB 드라이브는 암호화되지 않은 상태로 유지됩니다. 또한 DMA 액세스를 허용하는 외부에서 액세스할 수 있는 포트가 있는 디바이스는 디바이스 암호화에 적합하지 않습니다. 표준 BitLocker 구현과 달리 디바이스 암호화는 지속적인 보호를 보장하기 위해 자동으로 사용하도록 설정됩니다. Windows의 클린 설치가 완료되고 기본 제공 환경이 완료되면 디바이스가 이미 준비되어 있는 암호화와 함께 처음 사용할 수 있습니다.
조직은 전체 BitLocker 구현을 위해 디바이스 암호화를 사용하지 않도록 설정하는 옵션이 있습니다. 이렇게 하면 암호화 정책 및 설정을 보다 세부적으로 제어하여 organization 특정 보안 요구 사항을 충족할 수 있습니다.
Windows 11 버전 24H2의 새로운 기능
DMA 및 HSTI/최신 대기의 디바이스 암호화 필수 구성 요소가 제거됩니다. 이 변경으로 인해 더 많은 디바이스가 자동 및 수동 디바이스 암호화에 적합합니다.
더 알아보세요
암호화된 하드 드라이브
암호화된 하드 드라이브는 하드웨어 수준에서 자체 암호화되는 하드 드라이브 클래스입니다. 전체 디스크 하드웨어 암호화를 허용하며 사용자에게 투명합니다. 이러한 드라이브는 BitLocker에서 제공하는 보안 및 관리 이점을 자체 암호화 드라이브의 기능과 결합합니다.
암호화된 하드 드라이브는 암호화 작업을 하드웨어로 오프로드하여 BitLocker 성능을 높이고 CPU 사용량과 전력 소비를 줄입니다. 암호화된 하드 드라이브는 데이터를 빠르게 암호화하므로 생산성에 거의 영향을 주지 않고 엔터프라이즈 장치 전체에서 BitLocker 배포를 확장할 수 있습니다.
암호화된 하드 드라이브는 다음을 사용하도록 설정합니다.
- 원활한 성능: 드라이브 컨트롤러에 통합된 암호화 하드웨어를 사용하면 성능 저하 없이 드라이브가 전체 데이터 속도로 작동할 수 있습니다.
- 하드웨어 기반의 강력한 보안: 암호화는 항상 사용되며 암호화 키는 하드 드라이브를 벗어나지 않습니다. 드라이브는 잠금을 해제하기 전에 운영 체제에서 독립적으로 사용자를 인증합니다.
- 사용 편의성: 암호화는 사용자에게 투명하며 사용자는 암호화를 사용하도록 설정할 필요가 없습니다. 암호화된 하드 드라이브는 온보드 암호화 키를 사용하여 쉽게 지워집니다. 드라이브에서 데이터를 다시 암호화할 필요가 없습니다.
- 낮은 소유 비용: BitLocker는 기존 인프라를 사용하여 복구 정보를 저장하기 때문에 암호화 키를 관리하는 새 인프라가 필요하지 않습니다. 프로세서 주기를 암호화 프로세스에 사용할 필요가 없으므로 디바이스가 더 효율적으로 작동합니다.
더 알아보세요
개인 데이터 암호화
개인 데이터 암호화는 사용자의 콘텐츠를 보호하도록 설계된 사용자 인증 암호화 메커니즘입니다. 개인 데이터 암호화는 PIN 또는 생체 인식 인증 방법을 사용하여 최신 인증 체계로 비즈니스용 Windows Hello 사용합니다. 개인 데이터 암호화에서 사용하는 암호화 키는 Windows Hello 컨테이너 내에 안전하게 저장됩니다. 사용자가 Windows Hello 사용하여 로그인하면 컨테이너가 잠금 해제되어 사용자의 콘텐츠를 해독할 수 있는 키를 사용할 수 있습니다.
Windows 11 버전 22H2의 개인 데이터 암호화의 초기 릴리스에는 애플리케이션이 콘텐츠를 보호하기 위해 채택할 수 있는 공용 API 집합이 도입되었습니다.
Windows 11 버전 24H2의 새로운 기능
개인 데이터 암호화는 알려진 폴더에 대한 개인 데이터 암호화를 사용하여 더욱 향상되어 Windows 폴더(문서, 사진 및 데스크톱)로 보호를 확장합니다.
더 알아보세요
Email 암호화
Email 암호화를 사용하면 디지털 ID(ID) 또는 인증서를 가진 받는 사람만 전자 메일 메시지 및 첨부 파일을 읽을 수 있습니다.[8]. 사용자는 보낸 사람의 ID를 확인하고 메시지가 변조되지 않았는지 확인하는 메시지에 디지털 서명할 수도 있습니다.
Windows 11 포함된 새 Outlook 앱은 Microsoft Purview 메시지 암호화, S/MIME 및 IRM(정보 권한 관리)을 비롯한 다양한 유형의 전자 메일 암호화를 지원합니다.
S/MIME(보안/다목적 인터넷 메일 확장)를 사용하는 경우 사용자는 organization 내의 사용자와 적절한 암호화 인증서가 있는 외부 연락처에 암호화된 메시지를 보낼 수 있습니다. 받는 사람은 해당 암호 해독 키가 있는 경우에만 암호화된 메시지를 읽을 수 있습니다. 암호화된 메시지를 암호화 인증서를 사용할 수 없는 받는 사람에게 보내면 전자 메일을 보내기 전에 이러한 받는 사람을 제거하도록 Outlook에서 요청합니다.
더 알아보세요