이 문서에서

요약

Microsoft는 관리자 권한이 있는 공격자가 이전 버전을 사용하는 업데이트된 Windows 시스템 파일을 대체하여 공격자가 VBS(가상화 기반 보안)에 취약성을 다시 도입할 수 있는 Windows의 취약성에 대해 알고 있습니다.  이러한 이진 파일을 롤백하면 공격자가 VBS 보안 기능을 우회하고 VBS로 보호되는 데이터를 반출할 수 있습니다. 이 문제는 CVE-2024-21302 | Windows 보안 커널 모드 권한 상승 취약성에 설명되어 있습니다.

당사는 이 문제를 해결하기 위해 업데이트되지 않은 취약한 VBS 시스템 파일을 해지합니다. 차단해야 하는 VBS 관련 파일이 많으므로 업데이트되지 않은 파일 버전을 차단하는 대체 방법을 사용합니다.

영향 범위

VBS를 지원하는 모든 Windows 장치는 이 문제의 영향을 받습니다. 여기에는 온-프레미스 물리적 장치 및 VM(가상 머신)이 포함됩니다. VBS는 Windows 10 이상 Windows 버전 및 Windows Server 2016 이상 Windows Server 버전에서 지원됩니다.

VBS 상태는 Microsoft 시스템 정보 도구(Msinfo32.exe)를 통해 확인할 수 있습니다. 이 도구는 장치에 대한 정보를 수집합니다. Msinfo32.exe를 시작한 후 가상화 기반 보안 행까지 아래로 스크롤합니다. 이 행의 값이 실행 중이면 VBS가 활성화되고 실행되는 중입니다.

‘가상화 기반 보안’ 행이 강조 표시된 시스템 정보 대화 상자

Win32_DeviceGuard WMI 클래스를 사용하여 Windows PowerShell에서 VBS 상태를 확인할 수도 있습니다. PowerShell에서 VBS 상태를 쿼리하려면 관리자 권한 Windows PowerShell 세션을 열고 다음 명령을 실행합니다.

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

위의 PowerShell 명령을 실행한 후 VBS 상태 상태는 다음 중 하나여야 합니다.

필드 이름

상태

VirtualizationBasedSecurityStatus

  • 필드가 0인 경우 VBS를 사용하지 않습니다.

  • 필드가 1인 경우 VBS를 사용하지만 실행하고 있지 않습니다.

  • 필드가 2인 경우 VBS를 사용하며 실행하고 있습니다.

사용 가능한 완화

지원되는 모든 버전의 Windows 10, 버전 1809 이상 Windows 버전 및 Windows Server 2019 이상 Windows Server 버전에 대해 관리자는 Microsoft 서명 해지 정책(SkuSiPolicy.p7b)을 배포할 수 있습니다. 이렇게 하면 업데이트되지 않은 VBS 시스템 파일의 취약한 버전이 운영 체제에서 로드되지 않도록 차단됩니다.

참고 지원되는 모든 버전의 Windows 10, 버전 1507 이전 Windows 버전 및 Windows Server 2016 이전 Windows Server 버전에 대한 추가 완화 및 완화 지원은 향후 업데이트될 예정입니다.

이 정책이 Windows 장치에 적용되면 정책도 UEFI 펌웨어에 변수를 추가하여 장치에 잠깁니다. 시작하는 동안 정책이 로드되고 Windows는 정책을 위반하는 이진 파일의 로드를 차단합니다. UEFI 잠금이 적용되고 정책이 제거되거나 이전 버전으로 대체되면 Windows 부팅 관리자가 시작되지 않으며 장치가 시작되지 않습니다. 이 부팅 실패는 오류를 표시하지 않으며 시스템은 부팅 루프가 발생할 수 있는 다음 사용 가능한 부팅 옵션으로 계속합니다.

정책 완화가 작동하려면 2024년 8월 13일 또는 그 이후에 릴리스된 Windows 업데이트로 장치를 업데이트해야 합니다. 업데이트가 누락된 경우 장치가 적용된 완화로 시작되지 않거나 완화가 예상대로 작동하지 않을 수 있습니다. 또한 KB5025885에 설명된 완화를 장치에 적용해야 합니다.

중요 이 완화 기능은 Windows 10, 버전 1809 이전의 Windows 버전 또는 Windows Server 2019 이전 버전의 Windows Server 버전에는 적용하지 마세요. 완화를 지원되지 않는 장치에 적용하는 경우 장치가 시작되지 않으며 오류 0xc0000428가 발생합니다. 복구하려면 정책 제거 및 복구 절차 섹션의 지침을 따라야 합니다.

디바이스를 복구해야 함을 나타내는 복구 대화 상자

완화 위험 이해

Microsoft 서명 해지 정책을 적용하기 전에 어떤 잠재적인 위험이 있는지 알아야 합니다. 완화를 적용하기 전에 이러한 위험을 검토하고 복구 미디어에 필요한 업데이트를 수행하세요.

  • UMCI(사용자 모드 코드 무결성) Microsoft 서명 해지 정책을 사용하면 정책의 규칙이 사용자 모드 이진 파일에 적용되도록 사용자 모드 코드 무결성을 사용할 수 있습니다. UMCI는 또한 기본적으로 동적 코드 보안을 사용하도록 설정합니다. 이러한 기능을 적용하면 애플리케이션 및 스크립트와의 호환성 문제가 발생할 수 있으며, 실행이 차단되고, 시작 시간 성능에 영향을 줄 수 있습니다. 완화를 배포하기 전에 지침에 따라 감사 모드 정책을 배포하여 잠재적인 문제를 테스트하세요.

  • UEFI 잠금 및 업데이트 제거. 장치에서 Microsoft 서명 해지 정책을 사용하여 UEFI 잠금을 적용한 후 보안 부팅을 계속 적용하는 경우 Windows 업데이트를 제거하거나 복원 지점을 사용하거나 다른 방법을 사용하여 장치를 되돌릴 수 없습니다. 디스크를 다시 포맷해도 이미 적용된 경우 완화의 UEFI 잠금이 제거되지 않습니다. 즉, Windows OS를 적용된 완화가 없는 이전 상태로 되돌리려고 하면 장치가 시작되지 않고 오류 메시지가 표시되지 않으며 UEFI가 사용 가능한 다음 부팅 옵션으로 계속합니다. 이로 인해 부팅 루프가 발생할 수 있습니다. UEFI 잠금을 제거하려면 보안 부팅을 사용하지 않도록 설정해야 합니다. 이 문서에 설명된 해지를 장치에 적용하기 전에 모든 가능성을 인지하고 철저히 테스트하세요.

  • 외부 부팅 미디어. 장치에 UEFI 잠금 완화를 적용한 후에는 Microsoft 서명 해지 정책(SkuSiPolicy.p7b)을 사용하여 2024년 8월 13일 또는 그 이후의 Windows 업데이트로 외부 부팅 미디어를 업데이트해야 합니다. 외부 부팅 미디어를 업데이트하지 않으면 장치가 해당 미디어에서 부팅되지 않을 수 있습니다. 완화를 적용하기 전에 외부 부팅 미디어 업데이트 섹션의 지침을 참조하세요. Microsoft 서명 해지 정책으로 업데이트한 부팅 미디어는 완화를 이미 적용한 장치를 부팅하는 데만 사용해야 합니다.  완화가 없는 장치에 사용하는 경우 부팅 미디어에서 시작하는 동안 UEFI 잠금이 적용됩니다. 장치를 완화로 업데이트하거나 UEFI 잠금을 제거하지 않는 한 디스크에서 후속 시작이 실패합니다.

  • Windows 복구 환경. SkuSipolicy.p7b를 장치에 적용하기 전에 장치의 WinRE(Windows 복구 환경)를 2024년 8월 13일 또는 그 이후의 Windows 업데이트로 업데이트해야 합니다. 이 단계를 생략하면 WinRE에서 PC 초기화 기능을 실행하지 못할 수 있습니다.  자세한 내용은 Windows RE에 업데이트 패키지 추가를 참조하세요.

  • PXE(Preboot Execution Environment) 부팅. 완화를 장치에 배포하고 PXE 부팅을 사용하려고 하면 완화가 네트워크 부팅 원본(bootmgfw.efi가 있는 루트)에 적용되지 않는 한 장치가 시작되지 않습니다. 완화가 적용된 네트워크 부팅 원본에서 장치를 시작하면 UEFI 잠금이 장치에 적용되고 후속 시작에 영향을 줍니다. 환경의 모든 장치에 완화를 배포하지 않는 한 네트워크 부팅 원본에 완화를 배포하지 않는 것이 좋습니다.  

완화 배포 지침

이 문서에 설명된 문제를 해결하려면 Microsoft 서명 해지 정책(SkuSiPolicy.p7b)을 배포할 수 있습니다. 이 완화는 Windows 10, 버전 1809 이상 Windows 버전 및 Windows Server 2019 이상 Windows Server 버전에서만 지원됩니다. Microsoft 서명 해지 정책(SkuSiPolicy.p7b)을 배포하기 전에 감사 모드 정책을 사용하여 호환성 문제를 테스트해야 합니다.

참고 BitLocker를 사용하는 경우 BitLocker 복구 키를 백업했는지 확인하세요. 관리자 명령 프롬프트에서 다음 명령을 실행하고 48자리 숫자 암호를 기록해 둘 수 있습니다.

manage-bde -protectors -get %systemdrive%​​​​​​​

감사 모드 정책 배포

Microsoft 서명 해지 정책(SkuSiPolicy.p7b)은 UMCI(사용자 모드 코드 무결성) 및 동적 코드 보안을 적용합니다. 이러한 기능에는 고객 애플리케이션과의 호환성 문제가 있을 수 있습니다. 완화를 배포하기 전에 감사 정책을 배포하여 호환성 문제를 감지해야 합니다.

다음과 같은 두 가지 감사 정책 옵션이 있습니다.

  • 제공된 SiPolicy.p7b 감사 정책을 사용합니다.

  • 또는 제공된 XML 파일에서 자체 감사 정책 이진 파일을 컴파일합니다.

기존 WDAC(Windows Defender Application Guard) 정책을 이미 배포하지 않은 경우 제공된 SiPolicy.p7b 감사 정책 이진 파일을 사용하는 것이 좋습니다. 제공된 감사 정책 이진 파일은 UEFI 잠금되지 않습니다. 감사 정책을 적용하기 전에 외부 부팅 미디어와 복구 미디어를 업데이트할 필요가 없습니다.

Windows 코드 무결성은 감사 정책의 규칙에 따라 사용자와 커널 모드 이진 파일을 평가합니다. 코드 무결성이 정책을 위반하는 애플리케이션 또는 스크립트를 식별하는 경우 차단된 애플리케이션 또는 스크립트에 대한 정보와 적용된 정책에 대한 정보와 함께 Windows 이벤트 로그 이벤트가 생성됩니다. 이러한 이벤트를 사용하여 장치에서 호환되지 않는 애플리케이션 또는 스크립트가 사용되는지 확인할 수 있습니다. 자세한 내용은 Windows 이벤트 로그 섹션을 참조하세요.

SiPolicy.p7b 감사 정책은 Windows 10, 버전 1809 이상 Windows 버전 및 Windows Server 2019 이상 버전의 지원되는 모든 Windows 운영 체제에 대해 2024년 8월 13일 또는 그 이후에 나온 Windows 업데이트에 포함되어 있습니다. 이 감사 정책은 2024년 8월 13일 또는 그 이후의 Windows 업데이트가 설치되어 있거나 감사 정책이 예상대로 작동하지 않을 수 있는 장치에만 적용해야 합니다.

제공된 SiPolicy.p7b 감사 정책을 배포하려면 다음 단계를 수행합니다.

  1. 관리자 권한 Windows PowerShell 프롬프트에서 다음 명령을 실행합니다.

    # 정책 위치 및 대상 초기화

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # 감사 정책 이진 파일 복사

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. 디바이스를 다시 시작합니다.

  3. 정책 활성화 이벤트 섹션의 정보를 사용하여 정책이 이벤트 뷰어에 로드되어 있는지 확인합니다.

  4. 호환성 문제를 식별하기 위해 정책이 적용되는 동안 애플리케이션과 스크립트를 사용하여 테스트합니다.

SiPolicy.p7b 감사 정책을 제거하려면 다음 단계를 수행합니다.

  1. 관리자 권한 Windows PowerShell 프롬프트에서 다음 명령을 실행합니다.

    # 정책 위치 초기화

    ​​​​​​​$PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # SiPolicy.p7b 제거

    Remove-Item -Path $PolicyBinary -force

  2. 디바이스를 다시 시작합니다.

  3. 정책 활성화 이벤트 섹션의 정보를 사용하여 감사 정책이 이벤트 뷰어에 로드되지 않는지 확인합니다.

WDAC를 사용하여 장치에서 실행할 수 있는 애플리케이션과 드라이버를 관리하는 경우 이미 "SiPolicy.p7b"라는 정책을 사용하고 있을 수 있습니다. Windows 10, 버전 1903 이상 Windows 버전 및 Windows Server 2022 이상 버전의 지원되는 모든 Windows 운영 체제의 경우 제공된 XML 파일으로 WDAC 여러 정책 형식을 사용하여 감사 정책을 빌드하고 배포할 수 있습니다. 감사 정책 이진 파일을 빌드하고 배포하는 지침은 WDAC(Windows Defender Application Control) 정책 배포를 참조하세요.

감사 정책 규칙이 있는 XML 파일은 2024년 8월 13일 또는 그 이후에 나온 Windows 업데이트가 설치된 장치에서 사용할 수 있습니다. XML 파일은 "%systemroot%\schemas\CodeIntegrity\ExamplePolicies\VbsSI_Audit.xml"에 있습니다.

Windows 10, 버전 1809 이상 Windows 버전 또는 Windows Server 2016 이하 Windows Server 버전에서 WDAC 정책을 사용하는 경우 기존 WDAC 정책을 감사 정책으로 바꾸어 완화와 호환성 문제를 테스트해야 합니다.

Microsoft 서명 해지 정책(SkuSiPolicy.p7b) 배포

Microsoft 서명 해지 정책은 2024년 8월 13일 또는 그 이후에 나온 Windows 업데이트의 일부로 포함됩니다. 이 정책은 2024년 8월 13일 또는 그 이후 업데이트가 설치된 장치에만 적용해야 합니다. 업데이트가 누락된 경우 장치가 적용된 완화로 시작되지 않거나 완화가 예상대로 작동하지 않을 수 있습니다.

Microsoft 서명 해지 정책(SkuSiPolicy.p7b)을 배포하려면 다음 단계를 수행합니다.

  1. 관리자 권한 Windows PowerShell 프롬프트에서 다음 명령을 실행합니다.

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

    $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

    Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force

    mountvol $MountPoint /D

  2. 장치를 다시 시작합니다.

  3. Windows 이벤트 로그 섹션의 정보를 사용하여 정책이 이벤트 뷰어에 로드되어 있는지 확인합니다.

참고

  • SKUSiPolicy.p7b 해지(정책) 파일을 배포한 후에는 제거해서는 안 됩니다. 파일이 제거되면 디바이스가 더 이상 시작되지 않을 수 있습니다.

  • 장치가 시작되지 않으면 복구 절차 섹션을 참조하세요.

외부 부팅 미디어 업데이트

Microsoft 서명 해지 정책이 적용된 장치에서 외부 부팅 미디어를 사용하려면 외부 부팅 미디어를 적용된 정책 파일로 업데이트해야 합니다. 또한 2024년 8월 13일 또는 그 이후에 나온 Windows 업데이트를 포함해야 합니다. 미디어가 업데이트를 포함하지 않으면 미디어가 시작되지 않습니다.

Microsoft 서명 해지 정책으로 업데이트한 부팅 미디어는 완화를 이미 적용한 장치를 부팅하는 데만 사용해야 합니다.  완화가 없는 장치에 사용하는 경우 부팅 미디어에서 시작하는 동안 UEFI 잠금이 적용됩니다. 장치를 완화로 업데이트하거나 UEFI 잠금을 제거하지 않는 한 디스크에서 후속 시작이 실패합니다.

중요 계속하기 전에 복구 드라이브를 만드는 것이 좋습니다. 이 미디어를 사용하여 주요 문제가 있는 경우 장치를 다시 설치할 수 있습니다.

다음 단계를 사용하여 외부 부팅 미디어를 업데이트하세요.

  1. 2024년 8월 13일 또는 그 이후에 릴리스된 Windows 업데이트를 설치한 장치로 이동합니다.

  2. 외부 부팅 미디어를 드라이브 문자로 탑재합니다. 예를 들어 썸 드라이브를 D:로 탑재합니다.

  3. 시작을 클릭하고 검색 상자에 복구 드라이브 만들기를 입력한 다음 복구 드라이브 제어판 만들기를 클릭합니다. 지침에 따라 탑재한 썸 드라이브를 사용하여 복구 드라이브를 만듭니다.

  4. 새로 만든 미디어를 탑재한 상태에서 SkuSiPolicy.p7b 파일을 <MediaRoot>\EFI\Microsoft\Boot(예: D:\EFI\Microsoft\Boot)에 복사합니다.

  5. 탑재한 썸 드라이브를 안전하게 제거합니다.

동적 업데이트를 사용하여 Windows 설치 미디어 업데이트 지침을 사용하여 사용자 환경에서 설치 가능한 미디어를 관리하는 경우 다음 단계를 수행합니다.

  1. 2024년 8월 13일 또는 그 이후에 릴리스된 Windows 업데이트를 설치한 장치로 이동합니다.

  2. 동적 업데이트를 사용하여 Windows 설치 미디어 업데이트의 단계에 따라 2024년 8월 13일 또는 그 이후에 릴리스된 Windows 업데이트가 설치된 미디어를 만듭니다.

  3. 미디어의 내용을 USB 썸 드라이브에 놓고 썸 드라이브를 드라이브 문자로 탑재합니다. 예를 들어 썸 드라이브를 D:로 탑재합니다.

  4. SkuSiPolicy.p7b<MediaRoot>\EFI\Microsoft\Boot(예: D:\EFI\Microsoft\Boot)에 복사합니다.

  5. 탑재한 썸 드라이브를 안전하게 제거합니다.

Windows 이벤트 로그

Windows는 SkuSiPolicy.p7b를 비롯한 코드 무결성 정책이 로드되고 정책 적용으로 인해 파일 로드가 차단될 때 이벤트를 기록합니다. 이러한 이벤트를 사용하여 완화가 적용되었는지 확인할 수 있습니다.

코드 무결성 로그는 애플리케이션 및 서비스 로그 > Microsoft > Windows > CodeIntegrity > 운영 > 애플리케이션 및 서비스 로그 > 서비스 로그 > Microsoft > Windows > AppLocker > MSI 및 Script의 Windows 이벤트 뷰어에서 사용할 수 있습니다.

코드 무결성 이벤트에 관한 자세한 내용은 Windows Defender Application Control 운영 가이드를 참조하세요.

정책 활성화 이벤트

정책 활성화 이벤트는 애플리케이션 및 서비스 로그 > Microsoft > Windows > CodeIntegrity > 운영의 Windows 이벤트 뷰어에서 사용할 수 있습니다.

CodeIntegrity 이벤트 3099는 정책이 로드되었음을 나타내며 로드된 정책에 대한 세부 정보를 포함합니다. 이벤트의 정보에는 정책의 식별 이름, GUID(Globally Unique Identifier) 및 정책의 해시가 포함됩니다. 장치에 여러 코드 무결성 정책이 적용되는 경우 여러 CodeIntegrity 이벤트 3099 이벤트가 존재합니다.

제공된 감사 정책이 적용되면 다음 정보가 포함된 이벤트가 발생합니다.

  • PolicyNameBuffer – Microsoft Windows 가상화 기반 보안 감사 정책

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Microsoft 가상화 기반 보안 감사 정책

Microsoft 서명 해지 정책(SkuSiPolicy.p7b)이 적용되면 다음 정보가 포함된 이벤트가 발생합니다(아래 CodeIntegrity 이벤트 3099 스크린샷 참조).

  • PolicyNameBuffer – Microsoft Windows SKU SI 정책

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Microsoft Windows SKU SI 정책

적용된 정책에 대해 감사 정책 또는 완화를 장치에 적용하고 CodeIntegrity 이벤트 3099가 없는 경우 정책이 적용되지 않습니다. 정책이 올바르게 설치되었는지 확인하려면 배포 지침을 참조하세요.

이벤트 감사 및 차단

코드 무결성 감사 및 차단 이벤트는 애플리케이션 및 서비스 로그 > Microsoft > Windows > CodeIntegrity > 운영 > 애플리케이션 및 서비스 로그 > 서비스 로그 > Microsoft > AppLocker > MSI 및 Script의 Windows 이벤트 뷰어에서 사용할 수 있습니다.

이전 로깅 위치에는 실행 파일, dll 및 드라이버 제어에 대한 이벤트가 포함됩니다. 후자의 로깅 위치에는 MSI 설치 관리자, 스크립트 및 COM 개체의 제어에 대한 이벤트가 포함됩니다.

"CodeIntegrity – Operational" 로그의 CodeIntegrity 이벤트 3076은 감사 모드 정책의 주요 블록 이벤트이며 정책이 적용된 경우 파일이 차단되었을 것임을 나타냅니다. 이 이벤트에는 차단된 파일 및 적용된 정책에 관한 정보가 포함됩니다. 완화에서 차단하는 파일의 경우 이벤트 3077의 정책 정보는 이벤트 3099의 감사 정책의 정책 정보와 일치합니다.

"CodeIntegrity – Operational" 로그의 CodeIntegrity 이벤트 3077은 실행 파일, .dll 또는 드라이버의 로드가 차단되었음을 나타냅니다. 이 이벤트에는 차단된 파일 및 적용된 정책에 관한 정보가 포함됩니다. 완화에서 차단한 파일의 경우 CodeIntegrity 이벤트 3077의 정책 정보는 CodeIntegrity 이벤트 3099의 SkuSiPolicy.p7b 정책 정보와 일치합니다. 장치에 코드 무결성 정책을 위반하는 실행 파일, .dll 또는 드라이버가 없는 경우 CodeIntegrity 이벤트 3077은 존재하지 않습니다.

다른 코드 무결성 감사 및 차단 이벤트는 애플리케이션 제어 이벤트 이해를 참조하세요.

정책 제거 및 복구 절차

완화를 적용한 후 문제가 발생하는 경우 다음 단계를 사용하여 완화를 제거할 수 있습니다.

  1. BitLocker가 사용하도록 설정된 경우 일시 중단합니다. 관리자 권한 명령 프롬프트 창에서 다음 명령을 실행합니다.

    Manager-bde -protectors -disable c: -rebootcount 3

  2. UEFI BIOS 메뉴에서 보안 부팅을 끕니다. 보안 부팅을 해제하는 절차는 장치 제조업체와 모델에 따라 다릅니다. 보안 부팅을 해제할 위치를 찾는 데 도움이 필요한 경우 장치 제조업체의 설명서를 참조하세요. 자세한 내용은 보안 부팅 사용 안 함에서 확인할 수 있습니다.

  3. SkuSiPolicy.p7b 정책을 제거합니다.

    1. 평소처럼 Windows를 시작한 다음 로그인합니다. SkuSiPolicy.p7b 정책은 다음 위치에서 제거해야 합니다.

      • <EFI 시스템 파티션>\Microsoft\Boot\SKUSiPolicy.p7b

    2. 관리자 권한 Windows PowerShell 세션에서 다음 스크립트를 실행하여 해당 위치에서 정책을 정리합니다.

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 'C:\EFIMount'

      $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b"

      $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" $EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }

      if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force }

      mountvol $MountPoint /D

  4. BIOS에서 보안 부팅을 켭니다. 보안 부팅을 켤 위치를 찾으려면 장치 제조업체의 설명서를 참조하세요. 1단계에서 보안 부팅을 해제했고, BitLocker가 드라이브를 보호하고 있다면 BitLocker 보호를 일시 중단한 다음 UEFI BIOS 메뉴에서 보안 부팅을 켭니다.

  5. BitLocker를 켭니다. 관리자 권한 명령 프롬프트 창에서 다음 명령을 실행합니다.

    Manager-bde -protectors -enable c:

  6. 장치를 다시 시작합니다.

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.