Windows 11 artırılmış hesap müdafaası, parolasız oturum açma ve donanım tabanlı güvenlik sunuyor. Pekala Windows 11’de Windows 10’a kıyasla neler değişti, bu değişiklikler isimli bilgi çıkarma ve tahlili nasıl etkiliyor ve TPM (Trusted Platform Module / Emniyetli Platform Modülü) tabanlı muhafazanın üstesinden ne ölçüde gelinebilir? Tüm bu soruların karşılıklarını Elcomsoft’un bu hususta hazırladığı makaleden yola çıkarak sizlere aktarmaya çalışacağız.
Eğer bu yazımızı okumadan evvel TPM hakkında daha fazla bilgi edinmek istiyorsanız, Windows 11 ile Duyulan TPM Nedir, Ne İşe Fayda? başlıklı yazımıza da göz atabilirsiniz.
Eskiden Windows kullanıcıları bir parola aracılığıyla bilgisayarlarında oturum açarlardı. Mahallî Windows hesabı, Windows 7 ve evvelki Windows sürümlerinde kimlik doğrulamanın tek yoluydu.
Ancak Windows 8’den itibaren Microsoft, kullanıcıların Microsoft hesaplarına ilişkin çevrimiçi kimlik bilgilerini kullanarak oturum açmalarına imkan tanıyan yeni bir usulü kullanıma sundu. Microsoft, makul Windows sürümlerinin lokal bir hesapla yüklenemeyeceği ve artık çevrimiçi hesapların zarurî olduğu bir noktaya kadar işletim sistemini güncellemeye devam etti. Bugün artık rastgele bir Microsoft hesabına ilişkin kullanıcı bilgileri, Windows 8, Windows 10 ya da Windows 11 işletim sistemine sahip rastgele bir bilgisayarda oturum açmak için kullanılabiliyor.
Hesaba ilişkin kullanıcı bilgileri kimlik doğrulama emeliyle Microsoft’a gönderildiği için birinci defa Microsoft hesabıyla oturum açma süreci, aktif bir internet ilişkisi gerektirir. Microsoft hesabı parolası daha sonra çevrimdışı oturum açma süreçlerini kolaylaştırmak için mahallî bilgisayarda ön belleğe alınır. Bu da rastgele bir bilgisayar korsanının parolayı kaba kuvvet atağıyla ele geçirmesine ve kullanıcının OneDrive hesabında sakladığı fotoğraflar ve dokümanlar, Skype konuşmaları, tarama geçmişi, Edge tarayıcısı tarafından tutulan tüm parolalar ve çok daha ziyadesiyle birlikte Microsoft hesabının tüm içeriğine erişmesine imkan tanır. Bir bilgisayarın NTLM bilgi tabanına yapılan yüksek süratli bir çevrimdışı hücum, hassas şahsî bilgiler içeren bir çevrimiçi hesabın parolasını kırabilir.
Elbette iki faktörlü kimlik doğrulamanın kullanılması, en makûs senaryonun önüne geçilmesine yardımcı olabilir. Lakin parolanın brute-force atağıyla ele geçirilmesi, Edge tarayıcısında depolanmış olan parolalar da dahil olmak üzere kullanıcının Windows hesabındaki her şeyin açığa çıkmasına neden olur. Microsoft, PIN ve Windows Hello kimlik doğrulaması üzere yolları kullanıma sunarak bu sorunun önüne geçmeye çalıştı. Lakin bu kimlik doğrulama prosedürlerini destekleyecek genel donanım eksikliği, bu usullerin nispeten etkisiz hale gelmesine neden oldu.
Bu durum pek kabul edilebilir değildi ve bundan ötürü Microsoft, bir Microsoft hesabını kullanmaya devam edecek, lakin ön belleğe alınmış kullanıcı bilgileriyle alakalı güvenlik riskini azaltacak alternatif bir oturum açma formülü üzerinde çalışmaya başladı. Bunun üzerine Eylül 2021’de şirket, parolasız kimlik doğrulama özelliğini duyurdu. Şu anda Windows 11, oturum açmak için parola gerektirmeyen yeni bir hesap tipi ekleyerek her kullanıcıya parolasız oturum açma imkanı tanıyor.
Microsoft, parolasız oturum açma özelliğini parolalara kıyasla daha inançlı bir kimlik doğrulama seçeneği olarak görmekte. Parolasız kimlik doğrulamanın aktifleştirilmesi, yetkisiz bir kişinin, kullanıcının mevcut mahallî yahut bulut tabanlı Microsoft hesabı parolasını bilerek (ya da brute-force saldırısı uygulayarak) mahallî bir bilgisayara erişme mümkünlüğünü otomatik olarak devre dışı bırakıyor.
Windows Hello, Microsoft Authenticator uygulaması, SMS ya da e-posta kodları ve fizikî güvenlik anahtarları üzere parolasız tahliller, daha inançlı ve kullanışlı bir oturum açma tekniği sağlıyor. Parolalar iddia edilebilir ve çalınabilirken, parmak izi doğrulamasını sadece siz sağlayabilirsiniz yahut yanlışsız vakitte cep telefonunuzdan yanlışsız cevabı sırf siz verebilirsiniz.
Genel (etki alanı dışındaki) kullanıcılar için şu anda Windows 11’de kullanılabilen üç tıp hesap vardır:
- [Varsayılan] Parolasız Microsoft Hesabı: Oturum açmak için parola kullanılamaz. Kullanıcılar; PIN (TPM’e bağlı), Windows Hello ya da Microsoft Authenticator uygulaması aracılığıyla online olarak kimlik doğrulaması yaparlar.
- Microsoft Hesabı (Şifre Etkin): Kullanıcılar; PIN (TPM), Windows Hello yahut Microsoft hesabı parolalarını kullanarak kimlik doğrulaması yapabilirler.
- Yerel Windows Hesabı (Şifre Etkin): Kullanıcılar; parola, PIN (TPM) ya da Windows Hello aracılığıyla kimlik doğrulaması yapabilirler.
Windows 11 kullanıcıları parola tabanlı ya da parolasız oturum açmayı manuel olarak seçebilirler ve buradaki varsayılan ayarlar şu formdadır:
- Yeni Windows 11 Kurulumları: Microsoft hesabı ve parolasız oturum açma.
- Windows 10’dan Windows 11’e Geçiş: Parola tabanlı oturum açma süreci taşınır ve mevcut kimlik doğrulama sistemini tekrar kullanılır.
- Windows 10’dan Geçiş Yaptıktan Sonra Windows 11’de Oluşturulan Yeni Hesaplar: Microsoft hesabı ve parolasız oturum açma.
Bununla birlikte kullanıcılar “Kayıt Defteri”ndeki bir girişi değiştirerek de parolalı ve parolasız oturum açma seçenekleri ortasında geçiş yapabilirler.
İlginç bir biçimde Windows 10 da TPM (Güvenilir Platform Modülü) tabanlı oturum açma müdafaasını kullanabilir ve kullanıyor da. Bilgisayarın UEFI BIOS’unda sağlanan ve aktifleştirilen bir TPM modülü ya da TPM emülasyonu bulunuyorsa, Windows 10, PIN tabanlı kimlik doğrulaması için donanım muhafazasından yararlanır. Lakin olayın tümü bu kadarla hudutlu değil.
Modül sisteme heyetiyse ya da emülasyonu yapılmışsa Windows 10, TPM 2.0’ın özelliklerini kullanabilir. Microsoft’un internet sitesinde Windows güvenliği ile ilgili olarak yer alan “PIN, Neden Çevrimiçi Bir Paroladan Daha Uygundur?” isimli makalede, PIN tabanlı hesap müdafaasının parola tabanlı kimlik doğrulamasından daha âlâ olduğu tez ediliyor. Bunun sebepleri ise şu iki halde açıklanıyor:
PIN, Donanıma Bağlıdır: Bir çevrimiçi parola ile Hello PIN’i ortasındaki kıymetli farklardan biri, PIN’in ayarlandığı belli bir donanıma bağlı olmasıdır. Bu PIN, o spesifik donanıma sahip olmayan hiç kimse için işe yaramaz.
PIN, Donanım Tarafından Desteklenir: Windows Hello PIN’i, şifreleme süreçlerini gerçekleştirmek için tasarlanmış inançlı bir şifreleme işlemcisi olan TPM (Güvenilir Platform Modülü) yongası tarafından desteklenir. Bu yonga, istenmeyen müdahalelere karşı sağlam olması için birden fazla fizikî güvenlik düzeneği içerir ve makus maksatlı yazılımlar, TPM’in güvenlik fonksiyonlarına müdahale edemezler. Pek çok çağdaş aygıtta TPM bulunur. Öbür bir yandan Windows 10 ise lokal parolaları TPM’e bağlamama kusuruna sahiptir. İşte Microsoft tarafından PIN’lerin mahallî şifrelerden daha inançlı kabul edilmesinin nedeni budur.
Windows 10, TPM modülü heyeti olmayan bilgisayarlarda çalışabilir. Üstelik Firmware tabanlı TPM emülasyonu özelliğine sahip olan, lakin bu özelliğin UEFI BIOS’larında devre dışı bırakıldığı bilgisayarlarda da çok güzel bir formda ve tek bir ihtar olmadan çalışır. Örnek olarak 9. jenerasyon Gigabyte Z390 anakartı “Intel Platform Trust Technology” özelliğini dayanaklar, lakin bu özellik için varsayılan ayar “kapalı”dır. Bu özellikten yararlanmak için BIOS ayarları içerisinde, “Settings” sekmesindeki “Diğer” (Miscellaneous) kısmında yer alan “Intel Platform Trust Technology (PTT)” ayarını manuel olarak etkin hale getirmeniz gerekiyor.
TPM eksik yahut devre dışıyken de Windows, PIN tabanlı oturum açmayı kullanmaya devam edebilir. Microsoft bunun parola tabanlı kimlik doğrulamasından daha inançlı olduğunu argüman ediyor.
Bir TPM olmadan ya da TPM bilgisayarın UEFI BIOS’unda açıkça etkinleştirilmemiş ve Windows işletim sistemine sağlanmamış ise, hesap PIN kodu, Microsoft’un “PIN, Neden Çevrimiçi Bir Paroladan Daha Uygundur?” isimli makalesinde tez ettiği üzere aygıta bağlı değildir. Buna ek olarak bilgisayarın UEFI BIOS’unda bilgisayarın TPM’i, Intel Platform Trust Technology yahut AMD fTPM’i (firmware Trusted Platform Module) etkinleştirilmemişse ve bu modülü devre dışı bırakmak için mantıklı nedenler varsa, PIN kodu mahallî kullanıcı bilgileri veri tabanında ön belleğe alınır ve çabucak hemen kullanıcı parolasıyla birebir biçimde, brute-force (kaba kuvvet) saldırısı yapılarak ele geçirilebilir.
Elcomsoft, Windows kurulumunu bilgisayarlar ortasında taşıyarak ve bir PIN aracılığıyla oturum açmaya çalışarak PIN tabanlı kimlik doğrulamasının güvenilirliğini teyit etmek için birkaç test gerçekleştirdi. Bu testlerin sonuçlarını aşağıda sizlerle paylaşıyoruz.
1. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, fizikî disk takası usulüyle TPM’siz bir sistemden diğer bir TPM’siz sisteme (i7-4700S) taşındı. Bilgisayarın tekrar başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
2. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, disk klonlaması prosedürüyle TPM’siz bir sistemden öteki bir TPM’siz sisteme (i7-4700S) taşındı. Özgün sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın yine başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
3. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 suramı, disk klonlaması sistemiyle TPM’siz bir sistemden TPM’in aktifleştirildiği bir sisteme (i7-9700K) taşındı. Özgün sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın yine başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
4. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 heyetimi, disk klonlaması tekniğiyle TPM’in faal olduğu bir sistemden TPM’in faal olduğu öbür bir sisteme (i9-12900K) taşındı. Yeni sistemde PIN ile kimlik doğrulaması başarısız oldu, parola tabanlı oturum açma gerekliydi ve PIN ile oturum açmayı tekrar aktifleştirmek için PIN kodunun kaldırılması ve yine girilmesi gerekiyordu.
Bu testler gösteriyor ki, şayet kaynak sistem bir TPM’e sahip değilse, PIN kodu donanıma bağlı değildir. Şayet kaynak sistemde TPM sağlanmış ve etkinleştirilmişse, PIN kodu nitekim de donanıma bağlıdır.
8. jenerasyon ya da daha yeni bir Intel işlemci yahut AMD Zen ya da daha yeni bir AMD işlemci barındıran pek çok taşınabilir bilgisayar (Windows dizüstü bilgisayarlar, tabletler ve 2’si1 ortada aygıtlar), birçok donanım üreticisi üretici tarafından varsayılan olarak aktifleştirilmiş olan Firmware tabanlı muteber platformla donatılmıştır. Bu, birçok taşınabilir bilgisayarın ek muhafaza için TPM’i kullanabileceği manasına gelir.
Masaüstü bilgisayarlar için de tıpkı dizüstü bilgisayarlar için olduğu üzere, 8. kuşak Intel ve AMD Zen’den beri Firmware tabanlı sağlam platform mevcuttur. Lakin birden fazla AMD anakartı ve 12. jenerasyon Alder Lake’den evvelki Intel yonga setleri için varsayılan olarak devre dışı bırakılmıştır. Bu şekil anakartlara sahip kullanıcıların TPM özelliğini kullanabilmeleri için bilgisayarlarının UEFI BIOS’unda fTPM (AMD) ya da Intel Platform Trust Technology’yi (PTT) manuel olarak etkinleştirmeleri gerekir.
8. ila 11. jenerasyon Intel işlemcilere sahip birçok masaüstü bilgisayar, TPM emülasyonu ile donatılmıştır. Bu masaüstü bilgisayarların birçoğunda Intel Platform Trust Technology (PTT) varsayılan olarak devre dışı bırakılmıştır. En yeni AMD anakartları da fTPM teknolojisine sahiptir, fakat bu özellik de varsayılan olarak devre dışı bırakılmıştır.
Not: Yepyeni donanım üreticileri (OEM’ler), Windows 11 yeterince BIOS güncellemelerinde donanım yazılımı tabanlı TPM’i etkinleştirmeye başladı.
Windows 10 kullanıcıları da Windows 11 kullanıcıları üzere parolasız kimlik doğrulaması özelliğini kullanabilirler. Lakin bu özellik, bulut tabanlı, hesap çapında bir ayar haline gelecek ve kullanıcıların çevrimiçi Microsoft hesaplarında oturum açarlarken parola kullanma gerekliliğini ortadan kaldıracaktır.
Parolasız kimlik doğrulamalarını kullanabilmeleri için Windows 10 kullanıcılarının Microsoft hesaplarında çevrimiçi olarak ek güvenlik ayarlarını düzenlemeleri gerekiyor. Bunun için Microsoft hesabınız açıkken profil fotoğrafınıza tıkladığınızda karşınıza çıkan “Microsoft hesabım” seçeneğine tıklayarak hesap ayarlarına gitmeniz ve buradaki “Güvenlik” kısmının altındaki “Ek Güvenlik Seçenekleri”ne tıklamanız gerekiyor. Daha sonrasında karşınıza aşağıda paylaşmış olduğumuz görseldeki “Ek Güvenlik” kısmının bulunduğu sayfa gelecek. Buradaki “Parolasız Hesabı” kısmından parolasız oturum açma özelliğini etkin hale getirebilirsiniz.
Parolasız oturum açma seçeneğiyle alakalı daha fazla bilgi edinmek için Microsoft’un internet sitesinde yer alan “Microsoft Hesabınızla Parola Kullanımı Nasıl Olur?” isimli yazıya göz atabilirsiniz.
Microsoft’un internet sitesindeki “Dokümantasyon” kısmında yer alan “Windows, Emniyetli Platform Modülü’nü (TPM) Nasıl Kullanır?” başlıklı makalede belirtildiğine nazaran Windows, anahtar muhafazasından aygıt şifrelemesine kadar çeşitli misyonlar için güvenlik yardımcı işlemcisini kullanabilir. Buna karşın Elcomsoft’un yapmış olduğu testlerden elde ettiği izlenimlere nazaran, Windows’taki TPM teknolojisinin pratikte kullanımı, Microsoft’un argüman etmiş olduğu kadar yaygın değil.
Örneğin Microsoft Edge parolaları, DPAPI (Data Protection Application Programming Interface / Data Müdafaa Uygulama Programlama Arayüzü) aracılığıyla yönetilen bir anahtarla korunur. Şayet bu anahtar TPM ile korunsaydı, davetsiz bir konuk, disk manzarası şifrelenmemiş olsa bile, disk imajını tahlil ederek internet tarayıcısındaki parolaları ele geçiremezdi. Lakin Windows 11’de bile bu DPAPI anahtarı TPM muhafazalı değildir ve rastgele bir saldırgan, bir kullanıcının Windows hesabı parolasını kullanarak o kullanıcının Microsoft Edge tarafından depolanmış olan bütün parolalarını ele geçirebilir.
Microsoft, bütün DPAPI anahtarlarını TPM’e taşımak yerine, parola kullanmayan yeni bir Windows kimlik doğrulaması seçeneği sunarak bu sorunu çözmeye çalışıyor. TPM muhafazalı parolasız kimlik doğrulaması ile, parolalar ya da PIN kodları, hash işlevi (karma fonksiyonu yahut özet işlevi: değişken uzunluklu dataları, sabit uzunluklu datalara eşlemek için kullanılan fonksiyon) uygulanmış olsun yahut olmasın bilgisayarın sabit şoföründe depolanmaz. Bunun yerine anahtarlar, TPM modülü -ya da bildiğimizden daha az inançlı olmayan donanım yazılımı emülasyonu- tarafından korunur.
Bu durum, birkaç kıymetli sonuca yol açar. Birinci olarak bariz olan şey şudur: Windows 11 işletim sistemine sahip olan bir bilgisayar parolasız oturum açma özelliği etkinleştirilirse, çevrim dışı brute-force (kaba kuvvet) saldırısı, irtibatlı hesapların parolaları ve PIN’leri için uygulanamaz hale gelir.
Parolasız bir hesabı, mahallî bir Windows hesabına dönüştürmek ve bu hesaba bilinen bir parola atamak teknik olarak mümkündür. Lakin bu süreç gerçekleştirildikten sonra, DPAPI anahtarları kaybolur ve bu durum, pek çok korunan bilginin (Edge parolaları ve NTFS ile şifrelenmiş evraklar da dahil olmak üzere) bu tıp bir dönüştürmeden sonra kalıcı olarak kullanılamaz hale geleceği manasına gelir. Lakin yeniden de bu sorunun üstesinden gelmek için bir araç mevcut ve bir sonraki kısımda sizlere bu araçtan kelam edeceğiz.
Hem evet hem de hayır. Bu soruyu tam olarak yanıtlamadan evvel, Windows 11 işletim sistemindeki TPM ihtiyacının, sistem kısmının otomatik BitLocker şifrelemesine dayandığına dair yaygın bir yanılgıyı ortadan kaldırmamız gerek. Gerçekte durum hiç de bu türlü değil.
Windows 11’in varsayılan şifreleme unsurları, Windows 10’da (ve ondan evvelki Windows 8.1’de) gördüklerimizden biraz farklı. Rastgele bir Windows sürümüne sahip olan dizüstü bilgisayarlar ve 2’si1 ortada aygıtlar üzere birden fazla taşınabilir aygıt, BitLocker Aygıt Şifrelemesi ile otomatik olarak şifrelenirken, TPM’den yahut Windows 11’in yükseltme ya da yeni yükleme olmasından bağımsız olarak masaüstü bilgisayarlar için bu durum geçerli değil. Windows 11 Pro, Enterprise ve Education sürümlerinin kullanıcıları; sistem kısmını manuel olarak şifreleyebilirlerken Windows 11 Home sürümüne sahip olan kullanıcılar, bu seçeneğe sahip olmayacak.
Eğer Windows sistem kısmında BitLocker şifrelemesi etkinleştirilmişse, gerekli hesabın data tabanı evraklarına erişmek için evvel BitLocker ünitesinin kilidini açmanız gerekecektir. Windows 11 işletim sistemi varsayılan olarak TPM gerektirdiği için TPM modülünün heyeti olduğunu (atanmış ve entegre TPM aygıtları ya da işlemci emülasyonu ortasında pratikte bir fark yoktur) ve şifreleme anahtarının TPM’de depolandığını varsayabiliriz. Bilgisayarı farklı bir işletim sistemi ile başlattığınızda TPM şifreleme anahtarı ortaya çıkmaz. TPM tabanlı sistem şoförü şifrelemesi için parola koruyucusu kullanılmadığından da parolayı ele geçirmek gayesiyle rastgele bir akın yapılamaz.
Bu cins BitLocker ünitelerinin kilidini açmanın tek yolu “BitLocker Kurtarma Anahtarı”nı kullanmaktır. BitLocker Aygıt Şifrelemeli taşınabilir aygıtlar için Windows, sistem kısmını şifrelerken otomatik olarak bir kurtarma anahtarı oluşturur. Bu kurtarma anahtarı, o bilgisayarda yönetici ayrıcalıklarıyla oturum açan ve -yerel bir Windows hesabı yerine- Microsoft hesabı kullanıcı bilgilerini kullanan birinci kullanıcının Microsoft hesabına otomatik olarak yüklenir. Bu anahtarı Microsoft’tan isteyebilir ya da kelam konusu kullanıcının Microsoft hesabında oturum açtıktan sonra, burada paylaşmış olduğumuz temasta yer alan sayfayı ziyaret ederek indirebilirsiniz.
Bununla birlikte masaüstü bilgisayarlar için kurtarma anahtarı tekrar de kullanıcının Microsoft Hesabında bulunabilir. Değilse, etkilenen üniteye erişebilmek için o anahtarı bulmanız gerekir. Kullanıcının bir yahut daha fazla ek koruyucuyu (“parola” gibi) aktifleştirmiş olması çok küçük bir ihtimaldir; Etkilenen üniteden şifreleme meta bilgilerini çıkarmak için Elcomsoft System Recovery kullanarak bunu denetim edebilirsiniz.
Windows 11 işletim sisteminin yüksek sistem ihtiyaçlarıyla ilgili tartışmalara karşın Microsoft gerçek olanı yaptı. TPM muhafazasıyla birlikte parolasız kimlik doğrulamasının kullanılması, Windows hesaplarının güvenliğini sağlamak için çok büyük yarar sağlayacaktır.
Bununla birlikte varsayılan şifreleme prensiplerinde rastgele bir değişiklik görülmedi. BitLocker Aygıt Şifrelemesi, sadece taşınabilir aygıtlarda hâlâ geçerlidir. Masaüstü bilgisayarlarda BitLocker şifrelemesi uygulanmaz ve otomatik olarak etkinleştirilmez. Şayet BitLocker şifrelemesi bir sistem kısmında etkinleştirilirse, ünitenin kilidini açmak ve şifresini çözmek için Windows 10’da olduğu üzere tekrar yanlışsız BitLocker Kurtarma Anahtarı’na gereksiniminiz olacaktır.