기술 자료 ID | : | 241201 |
마지막 검토 | : | 2006년 6월 22일 목요일 |
수정 | : | 11.0 |
이 문서는 이전에 다음 ID로 출판되었음: KR241201
요약
이 문서에서는 Microsoft Windows Server 2003, Microsoft Windows 2000 또는 Microsoft Windows XP를 실행하는 컴퓨터에서 복구 에이전트 EFS(파일 시스템 암호화)를 백업하는 방법에 대해 설명합니다. 로컬 컴퓨터에 있는 EFS 개인 키의 복사본이 손실된 경우 복구 에이전트의 개인 키를 사용하여 데이터를 복구합니다. 이 문서에는 인증서 내보내기 마법사를 사용하여 작업 그룹의 구성원인 컴퓨터와 Windows Server 2003 기반 또는 Windows 2000 기반 도메인 컨트롤러에서 복구 에이전트의 개인 키를 내보내는 방법에 대한 정보가 포함되어 있습니다.
소개
이 문서에서는 Windows Server 2003, Windows 2000 및 Windows XP에서 복구 에이전트 EFS(파일 시스템 암호화) 개인 키를 백업하는 방법에 대해 설명합니다. 로컬 컴퓨터에 있는 EFS 개인 키의 복사본이 손실된 경우 복구 에이전트의 개인 키를 사용하여 데이터를 복구할 수 있습니다.
EFS를 사용하여 데이터 파일을 암호화하면 무단 액세스를 막을 수 있습니다. EFS에서는 동적으로 생성되는 암호화 키를 사용하여 파일을 암호화합니다. FEK(파일 암호화 키)는 EFS 공개 키를 사용하여 암호화되고 DDF(Data Decryption Field)라고 하는 EFS 특성으로 파일에 추가됩니다. FEK를 해독하려면 공개-개인 키 쌍의 해당 EFS 개인 키가 있어야 합니다. FEK를 해독한 후에 FEK를 사용하여 파일을 해독할 수 있습니다.
EFS 개인 키가 손실된 경우 복구 에이전트를 사용하여 암호화된 파일을 복구할 수 있습니다. 파일을 암호화할 때마다 FEK도 복구 에이전트의 공개 키를 사용하여 암호화됩니다. DRF(Data Recovery Field)에서 EFS 공개 키를 사용하여 암호화된 복사본과 함께 암호화된 FEK가 파일에 첨부됩니다. 복구 에이전트의 개인 키를 사용하는 경우 FEK를 해독한 다음 파일을 해독할 수 있습니다.
기본적으로 Microsoft Windows 2000 Professional이 실행되는 컴퓨터가 작업 그룹의 구성원이거나 Microsoft Windows NT 4.0 도메인의 구성원인 경우 컴퓨터에 처음 로그온하는 로컬 관리자가 기본 복구 에이전트로 지정됩니다. 기본적으로 Windows XP 또는 Windows 2000이 실행되는 컴퓨터가 Windows Server 2003 도메인이나 Windows 2000 도메인의 구성원인 경우 도메인의 첫 번째 도메인 컨트롤러에 기본 제공되는 관리자 계정이 기본 복구 에이전트로 지정됩니다.
Windows XP가 실행되며 작업 그룹의 구성원인 컴퓨터에는 기본 복구 에이전트가 없습니다. 로컬 복구 에이전트를 수동으로 만들어야 합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
중요 개인 키를 플로피 디스크나 다른 이동식 미디어로 내보낸 후에는 플로피 디스크나 미디어를 안전한 위치에 보관하십시오. 다른 사람이 EFS 개인 키에 대한 액세스 권한을 얻어 암호화된 사용자 데이터에 액세스할 수 있습니다.
암호화된 데이터 복구 정책을 찾으려면 그룹 정책 개체 편집기 스냅인에서 기본 도메인 정책을 열고 컴퓨터 구성, Windows 설정, 보안 설정, 공개 키 정책을 차례로 확장합니다.
도메인 복구 에이전트의 개인 키를 내보내려면 다음과 같이 하십시오.
EFS를 사용하여 데이터 파일을 암호화하면 무단 액세스를 막을 수 있습니다. EFS에서는 동적으로 생성되는 암호화 키를 사용하여 파일을 암호화합니다. FEK(파일 암호화 키)는 EFS 공개 키를 사용하여 암호화되고 DDF(Data Decryption Field)라고 하는 EFS 특성으로 파일에 추가됩니다. FEK를 해독하려면 공개-개인 키 쌍의 해당 EFS 개인 키가 있어야 합니다. FEK를 해독한 후에 FEK를 사용하여 파일을 해독할 수 있습니다.
EFS 개인 키가 손실된 경우 복구 에이전트를 사용하여 암호화된 파일을 복구할 수 있습니다. 파일을 암호화할 때마다 FEK도 복구 에이전트의 공개 키를 사용하여 암호화됩니다. DRF(Data Recovery Field)에서 EFS 공개 키를 사용하여 암호화된 복사본과 함께 암호화된 FEK가 파일에 첨부됩니다. 복구 에이전트의 개인 키를 사용하는 경우 FEK를 해독한 다음 파일을 해독할 수 있습니다.
기본적으로 Microsoft Windows 2000 Professional이 실행되는 컴퓨터가 작업 그룹의 구성원이거나 Microsoft Windows NT 4.0 도메인의 구성원인 경우 컴퓨터에 처음 로그온하는 로컬 관리자가 기본 복구 에이전트로 지정됩니다. 기본적으로 Windows XP 또는 Windows 2000이 실행되는 컴퓨터가 Windows Server 2003 도메인이나 Windows 2000 도메인의 구성원인 경우 도메인의 첫 번째 도메인 컨트롤러에 기본 제공되는 관리자 계정이 기본 복구 에이전트로 지정됩니다.
Windows XP가 실행되며 작업 그룹의 구성원인 컴퓨터에는 기본 복구 에이전트가 없습니다. 로컬 복구 에이전트를 수동으로 만들어야 합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
255026 (http://support.microsoft.com/kb/255026/) 로컬 관리자가 항상 기본 파일 시스템 암호화 복구 에이전트는 아니다
중요 개인 키를 플로피 디스크나 다른 이동식 미디어로 내보낸 후에는 플로피 디스크나 미디어를 안전한 위치에 보관하십시오. 다른 사람이 EFS 개인 키에 대한 액세스 권한을 얻어 암호화된 사용자 데이터에 액세스할 수 있습니다.
작업 그룹의 구성원인 컴퓨터에서 복구 에이전트의 개인 키 내보내기
작업 그룹의 구성원인 컴퓨터에서 복구 에이전트의 개인 키를 내보내려면 다음과 같이 하십시오.1. | 복구 에이전트의 로컬 사용자 계정을 사용하여 컴퓨터에 로그온합니다. |
2. | 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다. |
3. | 파일 메뉴에서 스냅인 추가/제거를 누른 다음 추가를 누릅니다. |
4. | 사용 가능한 독립 실행형 스냅인에서 인증서를 누른 다음 추가를 누릅니다. |
5. | 내 사용자 계정을 누른 다음 마침을 누릅니다. |
6. | 닫기를 누른 다음 확인을 누릅니다. |
7. | 인증서 - 현재 사용자, 개인, 인증서를 차례로 두 번 누릅니다. |
8. | 용도 열에서 "파일 복구"(따옴표 제외)라고 표시된 인증서를 찾습니다. |
9. | 8단계에서 찾은 인증서를 마우스 오른쪽 단추로 누르고 모든 작업을 가리킨 다음 내보내기를 누릅니다. 인증서 내보내기 마법사가 시작됩니다. |
10. | 다음을 누릅니다. |
11. | 예, 개인 키를 내보냅니다.를 누르고 다음을 누릅니다. |
12. | 개인 정보 교환 – PKCS #12(.PFX)를 누릅니다. 참고 무단 액세스로부터 개인 키를 보호하려면 강력한 보호 사용(Internet Explorer 5.0, NT 4.0 SP4 이상 필요) 확인란도 선택하는 것이 좋습니다. 내보내기가 완료되면 개인 키 삭제 확인란을 선택하면 개인 키가 컴퓨터에서 삭제되며 암호화된 파일을 해독할 수 없게 됩니다. |
13. | 다음을 누릅니다. |
14. | 암호를 지정하고 다음을 누릅니다. |
15. | 인증서와 개인 키를 내보낼 파일의 이름과 위치를 지정하고 다음을 누릅니다. 참고 파일을 디스크나 이동식 미디어 장치에 백업한 후 물리적으로 안전한 장소에 보관하는 것이 좋습니다. |
16. | 인증서 내보내기 마법사 완료 페이지에 표시된 설정을 확인한 다음 마침을 누릅니다. |
도메인 복구 에이전트의 개인 키 내보내기
도메인의 첫 번째 도메인 컨트롤러에는 도메인의 기본 복구 에이전트에 대한 공용 인증서와 개인 키가 들어 있는 기본 제공 관리자 프로필이 포함되어 있습니다. 공용 인증서는 기본 도메인 정책으로 가져오게 되며 그룹 정책을 통해 도메인 클라이언트에 적용됩니다. 관리자 프로필이나 첫 번째 도메인 컨트롤러를 더 이상 사용할 수 없으면 암호화된 파일을 해독하는 데 사용되는 개인 키가 손실되며 해당 복구 에이전트를 통해 파일을 복구할 수 없게 됩니다.암호화된 데이터 복구 정책을 찾으려면 그룹 정책 개체 편집기 스냅인에서 기본 도메인 정책을 열고 컴퓨터 구성, Windows 설정, 보안 설정, 공개 키 정책을 차례로 확장합니다.
도메인 복구 에이전트의 개인 키를 내보내려면 다음과 같이 하십시오.
1. | 도메인에서 수준을 올린 첫 번째 도메인 컨트롤러를 찾습니다. |
2. | 기본 제공 관리자 계정을 사용하여 도메인 컨트롤러에 로그온합니다. |
3. | 시작, 실행을 차례로 누르고 mmc를 입력한 다음 확인을 누릅니다. |
4. | 파일 메뉴에서 스냅인 추가/제거를 누른 다음 추가를 누릅니다. |
5. | 사용 가능한 독립 실행형 스냅인에서 인증서를 누른 다음 추가를 누릅니다. |
6. | 내 사용자 계정을 누른 다음 마침을 누릅니다. |
7. | 닫기를 누른 다음 확인을 누릅니다. |
8. | 인증서 - 현재 사용자, 개인, 인증서를 차례로 두 번 누릅니다. |
9. | 용도 열에서 "파일 복구"(따옴표 제외)라고 표시된 인증서를 찾습니다. |
10. | 9단계에서 찾은 인증서를 마우스 오른쪽 단추로 누르고 모든 작업을 가리킨 다음 내보내기를 누릅니다. 인증서 내보내기 마법사가 시작됩니다. |
11. | 다음을 누릅니다. |
12. | 예, 개인 키를 내보냅니다.를 누르고 다음을 누릅니다. |
13. | 개인 정보 교환 – PKCS #12(.PFX)를 누릅니다. 참고 무단 액세스로부터 개인 키를 보호하려면 강력한 보호 사용(Internet Explorer 5.0, NT 4.0 SP4 이상 필요) 확인란도 선택하는 것이 좋습니다. 내보내기가 완료되면 개인 키 삭제 확인란을 선택하면 개인 키가 도메인 컨트롤러에서 삭제됩니다. 이 옵션을 사용하는 것이 좋습니다. 파일 복구가 필요할 때만 복구 에이전트 개인 키를 설치하십시오. 그 외에는 복구 에이전트의 개인 키를 내보낸 다음 오프라인으로 저장하여 보안을 유지하십시오. |
14. | 다음을 누릅니다. |
15. | 암호를 지정하고 다음을 누릅니다. |
16. | 인증서와 개인 키를 내보낼 파일의 이름과 위치를 지정하고 다음을 누릅니다. 참고 파일을 디스크나 이동식 미디어 장치에 백업한 후 물리적으로 안전한 장소에 보관하는 것이 좋습니다. |
17. | 인증서 내보내기 마법사 완료 페이지에 표시된 설정을 확인한 다음 마침을 누릅니다. |
참조
암호화된 파일을 위한 복구 에이전트가 필요한 사용자를 확인하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx)에 참여하시기 바랍니다.
243026 (http://support.microsoft.com/kb/243026/) Efsinfo.exe를 사용하여 암호화된 파일에 대한 정보 확인
EFS에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
223316 (http://support.microsoft.com/kb/223316/) 파일 시스템을 암호화하는 최선의 방법
Windows Server의 EFS에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx (http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx)(영문)
Windows Server 2003에서 EFS를 사용하는 방법에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/windowsserver/en/library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx (http://technet2.microsoft.com/windowsserver/en/library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781033.mspx)(영문)
관련 항목에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/windowsserver/en/library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx (http://technet2.microsoft.com/windowsserver/en/library/A3AA1B1F-98C9-41B3-BA05-9424E316A0781033.mspx)(영문)
Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx)에 참여하시기 바랍니다.
본 문서의 정보는 다음의 제품에 적용됩니다.
• | Microsoft Windows Server 2003, Standard Edition (32-bit x86) |
• | Microsoft Windows Server 2003, Enterprise Edition |
• | Microsoft Windows Server 2003, Datacenter Edition (32-bit x86) |
• | Microsoft Windows XP Professional |
• | Microsoft Windows XP Home Edition |
• | Microsoft Windows 2000 Server |
• | Microsoft Windows 2000 Advanced Server |
• | Microsoft Windows 2000 Datacenter Server |
• | Microsoft Windows 2000 Professional Edition |
키워드: |
kbhowtomaster kbactivedirectory kbenv kbefs kbwinservds KB241201 |
'Windows 공통' 카테고리의 다른 글
오른쪽 버튼의 보내기 메뉴 복구방법 (0) | 2007.12.06 |
---|---|
한영키 대신 Shift+Space로 한영 전환을 해보자 (0) | 2007.12.03 |
하드 디스크를 암호화하여 보안을 강화하자 - EFS (0) | 2007.11.28 |
바탕화면을 아이콘 없이 깨끗하게 (0) | 2007.11.23 |
공용 파일 열기 창의 바로가기 버튼을 내맘대로 (0) | 2007.11.23 |