Apple Business에서 FileVault 설정 생성
FileVault는 보관 시 모든 데이터를 보호하는 내장 암호화 기능이며, FileVault 사용을 적용하여 Mac에서 정보를 보호할 수 있습니다.
FileVault는 승인되지 않은 사용자가 사용자의 암호 없이는 정보에 접근할 수 없도록 Mac의 데이터를 암호화합니다. 사용자가 암호를 잊어버리거나 암호를 사용할 수 없어 Mac에 대한 접근 권한이 필요한 경우, 사용자의 암호 대신에 복구 키라는 특별한 키를 사용할 수 있습니다. Mac 컴퓨터에 FileVault 설정을 적용하려면 각 Mac에 대해 저장된 복구 키를 암호화하는 데 사용된 인증서를 업로드해야 합니다. 암호화된 복구 키는 Apple Business에서 “조직 책임자” 역할의 모든 사용자가 저장하고 액세스할 수 있습니다.
Mac에서 FileVault가 켜지면 시작 절차에서 사용자의 자격 증명이 필요합니다. Mac 컴퓨터의 하드웨어 보안과 더불어 FileVault는 네 가지 주요 목표를 달성하는 데 도움이 됩니다.
암호화 해제를 위해 사용자의 암호를 요구
Mac에서 분리된 저장 공간 미디어에 대한 무차별 대입 공격으로부터 운영 체제를 보호
필수 암호화 자료의 삭제를 통한 신속하고 안전한 콘텐츠 삭제 방법 제공
전체 볼륨의 재암호화를 요구하지 않고 사용자가 암호를 변경(그리고 파일을 보호하기 위해 사용되는 암호화 키를 변경)하도록 허용
Apple Business은 비대칭 암호화를 사용하여 FileVault 복구 키의 개인 정보를 보호하며, 사용자가 생성하는 암호화 인증서를 사용하여 각 기기의 복구 키를 암호화합니다. 사용자는 인증서를 생성한 후 Apple Business에 업로드해야 합니다.
암호화 인증서와 개인 키는 한 쌍을 이룹니다. 새 암호화 인증서가 생성되면 함께 생성된 개인 키로만 암호화하는 데 사용된 복구 키의 암호화를 해제할 수 있습니다. Apple Business에 저장된 복구 키에 대한 접근 권한을 필요로 하는 “조직 책임자” 역할을 가진 다른 사용자가 팀에 있는 경우, 암호 관리자를 사용하여 암호화를 해제하는 데 필요한 개인 키를 안전하게 저장 및 공유해 보십시오. 새 쌍을 생성하고 암호화 인증서를 업로드하면 이전 쌍은 새 복구 키를 암호화하는 데 더 이상 사용되지 않습니다. 하지만, 한 쌍을 이루는 인증서와 함께 암호화된 복구 키의 암호화를 해제하려면 기존의 개인 키가 필요합니다.
참고: 아래 작업을 사용하여 인증서를 생성하는 대신 자체 암호화 인증서를 생성하도록 선택하는 경우, 파일은 최소 2048비트의 RSA 공개 키가 있는 PEM 인코딩 인증서여야 합니다.
암호화 인증서 생성
생성된 ID는 이름이 일치하며, 이를 통해 어떤 개인 키가 어떤 인증서와 짝을 이루는지 구별할 수 있습니다.
참고: 두 개 이상을 생성할 수 있습니다.
Mac에서 터미널 앱
을 실행하고 아래 텍스트를 붙여넣은 다음 return 키를 누릅니다.(ID=$(LC_ALL=C tr -dc A-Z0-9 </dev/urandom | head -c 8)openssl req -newkey rsa:2048 -nodes \-keyout ~/Documents/FileVaultKeyEncryptionPrivateKey_$ID.pem \-x509 -days 36500 \-subj "/CN=FileVault Key Encryption Cert ($ID)" \-out ~/Documents/FileVaultKeyEncryptionCert_$ID.pem)이러한 명령은 문서 폴더에 두 개의 파일을 생성합니다. 폴더를 열고 다음이 있는지 확인합니다.
암호화 인증서:
FileVaultKeyEncryptionCert_[id].pem라는 이름의 파일에 인증서가 포함됨을 확인.RSA 비공개 키:
FileVaultKeyEncryptionPrivateKey_[id].pem라는 이름의 파일에 비공개 키가 포함됨을 확인.
중요사항: 각 RSA 개인 키를 안전하게 보관하십시오. 개인 키 파일을 분실하면 개인 키 파일의 인증서를 통해 암호화된 복구 키를 암호화 해제할 수 없으며, 따라서 사용자가 암호를 분실하는 경우 해당 복구 키를 사용하여 해당 기기를 잠금 해제할 수 없습니다.
암호화 인증서 업로드
암호화 인증서 대치
하나의 기기에 대한 FileVault 복구 키 다운로드
최대한의 보안을 제공하기 위해, FileVault 복구 키는 Apple Business에 표시되지 않습니다. 복구 키를 보려면 먼저 암호화된 복구 키를 다운로드해야 합니다.
Apple Business를 통해 FileVault로 암호화된 하나의 기기의 복구 키를 다운로드하려면 다음과 같이 진행하십시오.
Apple Business 에서 “조직 책임자” 역할의 사용자로 로그인합니다.
필요한 경우, 검색 필드에서 기기를 검색합니다. 검색하는 방법을 참고하십시오.
기기를 선택하고 FileVault 섹션으로 스크롤한 다음 키 다운로드를 선택합니다.
쉼표로 구분된 값(
.csv)FileVaultRecoveryKeysEncrypted.csv파일이 컴퓨터에 다운로드됩니다. 이는 암호화된 키와 해당 기기 및 암호화 인증서를 포함하고 있습니다.참고: Apple Business에서 FileVault를 할당하기 전에 기기가 이미 FileVault로 암호화된 경우, 복구 키가 회전될 때까지 기기 페이지에 복구 키가 표시되지 않습니다.
복구 키 회전 및 표시
Apple Business 에서 “조직 책임자” 역할의 사용자로 로그인합니다.
Mac에서 터미널 앱
을 실행한 후 다음을 붙여넣습니다.sudo /usr/bin/fdesetup changerecovery -personal메시지가 표시되면 로컬로 로그인한 관리자의 암호를 입력하여 명령을 실행합니다(암호는 표시되지 않음).
다시 메시지가 표시되면 로컬로 로그인한 관리자 사용자 이름과 암호를 한 번 더 입력합니다.
절차가 완료되면 Mac의 Apple Business에서 새로운 복구 키를 사용할 수 있습니다.
모든 기기에 대한 FileVault 복구 키 다운로드
FileVault 복구 키 보기
다운로드한 쉼표로 구분된 값(.csv) 파일에서 암호화를 해제하여 FileVault 복구 키를 확인할 수 있습니다.
FileVaultRecoveryKeysEncrypted.csv파일을 엽니다.복구 키를 보려는 기기의 일련 번호가 있는 행을 찾습니다. “암호화된 복구 키(Encrypted Recovery Key)”라는 이름의 열에 있는 해당 행의 두 번째 셀을 복사합니다. 셀에는 임의의 텍스트처럼 보이는 콘텐츠가 포함되어 있습니다.
TextEdit을 열고 새 일반 텍스트 파일을 생성합니다.
TextEdit이 리치 텍스트 파일로 기본 설정되어 있는 경우 shift-command-T 키를 눌러야 할 수 있습니다. 위에서 복사한 셀을 붙여넣고 암호화 인증서와 쌍을 이루는 개인 키가 포함된 폴더에 파일을 저장합니다.
Mac에서 “터미널” 앱
을 실행하고, 새로운 텍스트 파일 및 개인 키가 포함된 폴더로 이동합니다. 다음 명령을 붙여 넣습니다. YourTextFile및YourPrivateKey을 각각의 파일 이름으로 교체한 다음, “return” 키를 누릅니다.base64 --decode -i YourTextFile.txt |\openssl smime -decrypt -inform der -inkey YourPrivateKey.pem \-out FileVaultRecoveryKey.txt암호화 해제된 복구 키는 개인 키와 같은 폴더에 있는
FileVaultRecoveryKey.txt라는 이름의 파일에 작성되어 있습니다.