Windows에서 복구 에이전트 EFS(파일 시스템 암호화) 프라이빗 키 백업

  • 아티클

이 문서에서는 컴퓨터에서 복구 에이전트 EFS(파일 시스템 암호화) 프라이빗 키를 백업하는 방법을 설명합니다.

적용 대상: Windows 7 Service Pack 1, Windows Server 2012 R2
원본 KB 번호: 241201

요약

복구 에이전트의 프라이빗 키를 사용하여 로컬 컴퓨터에 있는 EFS 프라이빗 키의 복사본이 손실되는 상황에서 데이터를 복구합니다. 이 문서에는 인증서 내보내기 마법사를 사용하여 작업 그룹의 구성원인 컴퓨터와 Windows Server 2003 기반 Windows 2000 기반, Windows Server 2008 기반 또는 Windows Server 2008 R2 기반 도메인 컨트롤러에서 복구 에이전트의 프라이빗 키를 내보내는 방법에 대한 정보가 포함되어 있습니다.

소개

이 문서에서는 Windows Server 2003, Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2008 및 Windows Server 2008 R2에서 복구 에이전트 EFS(파일 시스템 암호화) 프라이빗 키를 백업하는 방법을 설명합니다. 복구 에이전트의 프라이빗 키를 사용하여 로컬 컴퓨터에 있는 EFS 프라이빗 키의 복사본이 손실되는 상황에서 데이터를 복구할 수 있습니다.

EFS를 사용하여 데이터 파일을 암호화하여 무단 액세스를 방지할 수 있습니다. EFS는 동적으로 생성되는 암호화 키를 사용하여 파일을 암호화합니다. FEK(파일 암호화 키)는 EFS 공개 키로 암호화되며 파일에 DDF(데이터 암호 해독 필드)라는 EFS 특성으로 추가됩니다. FEK의 암호를 해독하려면 퍼블릭-프라이빗 키 쌍의 해당 EFS 프라이빗 키가 있어야 합니다. FEK의 암호를 해독한 후 FEK를 사용하여 파일의 암호를 해독할 수 있습니다.

EFS 프라이빗 키가 손실된 경우 복구 에이전트를 사용하여 암호화된 파일을 복구할 수 있습니다. 파일이 암호화될 때마다 FEK는 복구 에이전트의 공개 키로 암호화됩니다. 암호화된 FEK는 DRF(데이터 복구 필드)에서 EFS 공개 키로 암호화된 복사본을 사용하여 파일에 연결됩니다. 복구 에이전트의 프라이빗 키를 사용하는 경우 FEK의 암호를 해독한 다음 파일의 암호를 해독할 수 있습니다.

기본적으로 Microsoft Windows 2000 Professional을 실행하는 컴퓨터가 작업 그룹의 구성원이거나 Microsoft Windows NT 4.0 도메인의 구성원인 경우 컴퓨터에 처음 로그온하는 로컬 관리자가 기본 복구 에이전트로 지정됩니다. 기본적으로 Windows XP 또는 Windows 2000을 실행하는 컴퓨터가 Windows Server 2003 도메인 또는 Windows 2000 도메인의 구성원인 경우 도메인의 첫 번째 도메인 컨트롤러에 있는 기본 제공 관리자 계정이 기본 복구 에이전트로 지정됩니다.

Windows XP를 실행하고 작업 그룹의 구성원인 컴퓨터에는 기본 복구 에이전트가 없습니다. 로컬 복구 에이전트를 수동으로 만들어야 합니다.

중요

프라이빗 키를 플로피 디스크 또는 기타 이동식 미디어로 내보낸 후 플로피 디스크 또는 미디어를 안전한 위치에 저장합니다. 누군가가 EFS 프라이빗 키에 대한 액세스 권한을 얻는 경우 해당 사용자는 암호화된 데이터에 액세스할 수 있습니다.

작업 그룹의 구성원인 컴퓨터에서 복구 에이전트의 프라이빗 키 내보내기

작업 그룹의 구성원인 컴퓨터에서 복구 에이전트의 프라이빗 키를 내보내려면 다음 단계를 수행합니다.

  1. 복구 에이전트의 로컬 사용자 계정을 사용하여 컴퓨터에 로그온합니다.

  2. 시작, 실행을 차례로 클릭하고 mmc를 입력한 다음 확인을 클릭합니다.

  3. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다. 그런 다음 Windows Server 2003, Windows XP 또는 Windows 2000에서 추가 를 클릭합니다. 또는 Windows Vista, Windows 7, Windows Server 2008 또는 Windows Server 2008 R2에서 확인을 클릭합니다.

  4. 사용 가능한 독립 실행형 스냅인에서인증서를 클릭한 다음 추가를 클릭합니다.

  5. 내 사용자 계정을 클릭한 다음 마침을 클릭합니다.

  6. 닫기를 클릭한 다음 Windows Server 2003, Windows XP 또는 Windows 2000에서 확인을 클릭합니다. 또는 Windows Vista, Windows 7, Windows Server 2008 또는 Windows Server 2008 R2에서 확인을 클릭합니다.

  7. 인증서 - 현재 사용자를 두 번 클릭하고 개인을 두 번 클릭한 다음 인증서를 두 번 클릭합니다.

  8. 의도된 목적 열에서 "파일 복구"(따옴표 없이)라는 단어를 표시하는 인증서를 찾 습니다 .

  9. 8단계에서 찾은 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 내보내기를 클릭합니다. 인증서 내보내기 마법사가 시작됩니다.

  10. 다음을 클릭합니다.

  11. 예를 클릭하고 프라이빗 키를 내보낸 다음 다음을 클릭합니다.

  12. 개인 정보 교환 - PKCS #12(를 클릭합니다. PFX).

    참고

    개인 키를 무단 액세스로부터 보호하려면 강력한 보호 사용(IE 5.0, NT 4.0 SP4 이상 검사 상자 필요)을 클릭하여 선택하는 것이 좋습니다.

    내보내기 검사 성공하면 프라이빗 키 삭제 상자를 클릭하여 선택하면 프라이빗 키가 컴퓨터에서 제거되고 암호화된 파일의 암호를 해독할 수 없습니다.

  13. 다음을 클릭합니다.

  14. 암호를 지정하고 다음을 클릭합니다.

  15. 인증서와 프라이빗 키를 내보낼 파일 이름과 위치를 지정하고 다음을 클릭합니다.

    참고

    디스크 또는 이동식 미디어 디바이스에 파일을 백업한 다음 백업의 물리적 보안을 확인할 수 있는 위치에 백업을 저장하는 것이 좋습니다.

  16. 인증서 내보내기 마법사 완료 페이지에 표시되는 설정을 확인한 다음 마침을 클릭합니다.

도메인 복구 에이전트의 프라이빗 키 내보내기

도메인의 첫 번째 도메인 컨트롤러에는 공용 인증서와 도메인의 기본 복구 에이전트에 대한 프라이빗 키가 포함된 기본 제공 관리자 프로필이 포함되어 있습니다. 공용 인증서는 기본 도메인 정책으로 가져오고 그룹 정책 사용하여 도메인 클라이언트에 적용됩니다. 관리자 프로필 또는 첫 번째 도메인 컨트롤러를 더 이상 사용할 수 없는 경우 암호화된 파일의 암호를 해독하는 데 사용되는 프라이빗 키가 손실되고 해당 복구 에이전트를 통해 파일을 복구할 수 없습니다.

암호화된 데이터 복구 정책을 찾으려면 그룹 정책 개체 편집기 스냅인에서 기본 도메인 정책을 열고, 컴퓨터 구성을 확장하고, Windows 설정을 확장하고, 보안 설정을 확장한 다음, 공개 키 정책을 확장합니다.

도메인 복구 에이전트의 프라이빗 키를 내보내려면 다음 단계를 수행합니다.

  1. 도메인에서 승격된 첫 번째 도메인 컨트롤러를 찾습니다.

  2. 기본 제공 관리자 계정을 사용하여 도메인 컨트롤러에 로그온합니다.

  3. 시작, 실행을 차례로 클릭하고 mmc를 입력한 다음 확인을 클릭합니다.

  4. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다. 그런 다음 Windows Server 2003 또는 Windows 2000에서 추가 를 클릭합니다. 또는 Windows Server 2008 또는 Windows Server 2008 R2에서 확인을 클릭합니다.

  5. 사용 가능한 독립 실행형 스냅인에서인증서를 클릭한 다음 추가를 클릭합니다.

  6. 내 사용자 계정을 클릭한 다음 마침을 클릭합니다.

  7. 닫기를 클릭한 다음 Windows Server 2003 또는 Windows 2000에서 확인을 클릭합니다. 또는 Windows Server 2008 또는 Windows Server 2008 R2에서 확인을 클릭합니다.

  8. 인증서 - 현재 사용자를 두 번 클릭하고 개인을 두 번 클릭한 다음 인증서를 두 번 클릭합니다.

  9. 의도된 목적 열에서 "파일 복구"(따옴표 없이)라는 단어를 표시하는 인증서를 찾 습니다 .

  10. 9단계에서 찾은 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 내보내기를 클릭합니다. 인증서 내보내기 마법사가 시작됩니다.

  11. 다음을 클릭합니다.

  12. 예를 클릭하고 프라이빗 키를 내보낸 다음 다음을 클릭합니다.

  13. 개인 정보 교환 - PKCS #12(를 클릭합니다. PFX).

    참고

    개인 키를 무단 액세스로부터 보호하려면 강력한 보호 사용(IE 5.0, NT 4.0 SP4 이상 검사 상자를 클릭하여 선택하는 것이 좋습니다.

    내보내기 검사 성공하면 프라이빗 키 삭제 상자를 클릭하여 선택하면 프라이빗 키가 도메인 컨트롤러에서 제거됩니다. 모범 사례로 이 옵션을 사용하는 것이 좋습니다. 복구 에이전트의 프라이빗 키는 파일을 복구해야 하는 경우에만 설치합니다. 다른 시간에는 복구 에이전트의 프라이빗 키를 오프라인으로 내보내서 저장하여 보안을 유지합니다.

  14. 다음을 클릭합니다.

  15. 암호를 지정하고 다음을 클릭합니다.

  16. 인증서와 프라이빗 키를 내보낼 파일 이름과 위치를 지정하고 다음을 클릭합니다.

    참고

    디스크 또는 이동식 미디어 디바이스에 파일을 백업한 다음 백업의 물리적 보안을 확인할 수 있는 위치에 백업을 저장하는 것이 좋습니다.

  17. 인증서 내보내기 마법사 완료 페이지에 표시되는 설정을 확인한 다음 마침을 클릭합니다.