Administrator Guide
EnCase와 함께 Dell Data Security 사용
암호화 키 가져오기
EnCase Enterprise 사용자 인터페이스를 사용하여 Dell Remote Management Console에서 암호화 키를 가져오고 이 컴퓨터 또는 증거
파일에 대한 모든 Dell 암호화 데이터를 암호 해독할 수 있습니다.
1 온라인 확인란을 선택합니다.
2 포렌식 관리자의 사용자 이름을 입력합니다.
3 포렌식 관리자의 암호를 입력합니다.
4 EnCase API가 활성화되어 있는 Dell Server의 URL을 입력합니다. 예:
https://cred01.somedomain.com:8443/xapi/(Security Management Server가 v7.7 이상인 경우)
https://cred01.somedomain.com:8081/xapi(Security Management Server가 v7.7 이전 버전인 경우)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\Servlet에서 Dell Server URI를 찾습니다.
노트: Dell Server에서 키를 내보내려면 EnCase API가 활성화되어 있어야 합니다. 필요에 따라 EnCase 통합에만 독점적으
로 사용되는 대체 Dell Device Server를 배포할 수 있습니다.
5 대상 컴퓨터 또는 증거 파일의 시스템 ID(MCID 및 고유 ID라고도 함)를 입력합니다.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield의 대상 컴퓨터 레지스트리에서 MCID를 찾습니
다.
Dell Remote Management Console의 왼쪽 창에서 채우기 > 끝점을 클릭합니다.
• 해당 장치의 세부 정보 아이콘을 클릭합니다.
• 상단 메뉴에서 세부 정보 및 조치를 클릭합니다.
•
끝점
세부
정보
영역에서 고유 ID를 찾습니다.
6 대상 컴퓨터 또는 증거 파일의 Shield ID(장치 ID, DCID, 복구 ID 또는 SCID라고도 함)를 입력합니다.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield의 대상 컴퓨터 레지스트리에서 DCID를 찾습니
다.
Dell Remote Management Console의 왼쪽 창에서 채우기 > 끝점을 클릭합니다.
• 해당 장치의 세부 정보 아이콘을 클릭합니다.
• 상단 메뉴에서 세부 정보 및 조치를 클릭합니다.
• Shield 영역에서 복구 ID를 찾습니다.
노트: MCID나 DCID 또는 두 ID를 모두 지정합니다. 가져온 케이스에는 지정된 시스템 ID나 Shield ID 또는 두 ID의 모든 키
자료가 포함되어 있습니다.
7 확인을 클릭합니다.
암호 해독이 진행 중입니다.
암호 해독이 완료되면 포렌식 검사를 위해 파일에 액세스할 수 있습니다. 암호 해독된 파일은 EnCase 모듈을 통해서만 볼 수 있
으며 원래 소스 파일은 변경되지 않은 채 암호화된 상태로 유지됩니다.
3
6 EnCase 통합 안내서
EnCase와 함께 Dell Data Security 사용