미분류 windows hardware encrypt ssd

2024.01.23 16:01

엘카 조회 수:600

최근에 윈도우 11 시스템 드라이브인 삼성 980 프로 1TB에서 비트록커 하드웨어 암호화를 활성화하는 데 거의 하루 종일을 보냈습니다. 이 과정에서 제가 수행한 단계와 배운 것들을 기록하여, 세계적인 웹에서 다른 누군가에게 도움이 되기를 바랍니다.

  1. 목표 컴퓨터에 암호화하고자 하는 미래 시스템/윈도우 드라이브(SSD)를 설치하세요.
  2. 바이오스에서 호환성 지원 모듈(CSM)을 비활성화해야 합니다. 대부분의 바이오스에서는 이 옵션을 부팅 설정에서 찾을 수 있습니다. 일부 바이오스는 빠른 부팅이 활성화되어 있으면 이 옵션을 숨깁니다.
  3. 윈도우 설치 환경으로 부팅하세요. 이상적으로는 윈도우 2 고(Windows 2 Go)가 설치된 USB 스틱이 될 것입니다. 윈도우 설치는 암호화하려는 SSD에 있으면 안됩니다.
  4. SSD 소프트웨어 구성 요소를 설치하고 드라이브를 암호화 준비 상태로 만들 수 있는 옵션을 찾으세요. 삼성 매지션(Samsung Magician)에서는 "데이터 관리 - 암호화 드라이브" 아래에서 이 옵션을 찾을 수 있습니다. 킹스턴(Kingston)의 SSD 매니저에서는 이 옵션이 "IEEE 1667 활성화"로 불립니다.
  5. 드라이브가 "활성화됨" 또는 "활성화 준비됨"으로 표시되면 드라이브를 안전하게 지우는 작업이 필요합니다. 이 작업은 도구에서 직접 수행하거나, 바이오스의 "도구" 섹션에 이 옵션이 있습니다. 그렇지 않으면, 이 작업을 위해 리눅스에서는 hdparm을, 윈도우에서는 diskpart를 사용할 수 있습니다.
  6. 이제 메인보드의 바이오스에서 "블록 SID"를 비활성화해야 합니다. 여기서 TPM 설정도 찾을 수 있습니다. 바이오스에 이 옵션이 없다면(저처럼), 윈도우 2 고 설치에서 이 작업을 수행하는 방법이 있습니다:
    • open Powershell as admin in Windows 2 Go
    • Run: `$tpm = gwmi -n root\cimv2\security\microsofttpm win32_tpm`
    • Run: `$tpm.SetPhysicalPresenceRequest(97)`
    • Reboot
    다음 부팅 시 POST 화면에서 "블록 SID 명령을 발행하여 구성 변경이 요청됨"이라는 경고가 표시됩니다. 이제 윈도우 설치 USB를 연결하고 윈도우 2 고 USB를 제거해야 합니다.
  7. "F10"을 눌러 명령을 수락하면 컴퓨터가 재부팅됩니다. 다음 부팅에서는 바이오스나 부팅 메뉴에 접근하지 않고 목표 SSD에 윈도우를 설치해야 합니다.
  8. 윈도우 설치가 성공적으로 완료되면, 그룹 정책을 통해 비트록커가 하드웨어 암호화를 사용하도록 강제해야 합니다.
    • open "group policies" via start
    • Computer configuration > administrative templates > Windows components > Bitlocker > system drive > administrative Configure use of hardware-based encryption for fixed data drives
    • activatethe policy and disable fallback to software encryption in the lower left.
    이제 비트록커(Bitlocker)를 열고 시스템 드라이브를 암호화하세요.
  9. 선택 사항: 7단계에서 POST 화면이 "블록 SID" 설정 비활성화가 지속적임(단 한 번의 부팅을 위한 것이 아님)을 알려줬다면, 다시 활성화해야 합니다. 이전에 비활성화했던 바이오스에서, 또는 윈도우 파워셸(Windows Powershell)을 통해 다시 활성화할 수 있습니다.
    • open Powershell as admin in Windows 2 Go
    • Run: `$tpm = gwmi -n root\cimv2\security\microsofttpm win32_tpm`
    • Run: `$tpm.SetPhysicalPresenceRequest(96)`
    • Reboot

유용한 자료:

https://media.kingston.com/kingston/articles/enabling-and-disabling-edrive-to-utilize-hardware-encryption-us.pdf

https://eu.community.samsung.com/t5/computers-it/samsung-ssd-970-evo-plus-drive-encryption-won-t-change-from/td-p/1352406