Windows 11 artırılmış hesap muhafazası, parolasız oturum açma ve donanım tabanlı güvenlik sunuyor. Pekala Windows 11’de Windows 10’a kıyasla neler değişti, bu değişiklikler isimli bilgi çıkarma ve tahlili nasıl etkiliyor ve TPM (Trusted Platform Module / Muteber Platform Modülü) tabanlı müdafaanın üstesinden ne ölçüde gelinebilir? Tüm bu soruların yanıtlarını Elcomsoft’un bu hususta hazırladığı makaleden yola çıkarak sizlere aktarmaya çalışacağız.
Eğer bu yazımızı okumadan evvel TPM hakkında daha fazla bilgi edinmek istiyorsanız, Windows 11 ile Duyulan TPM Nedir, Ne İşe Fayda? başlıklı yazımıza da göz atabilirsiniz.
Eskiden Windows kullanıcıları bir parola aracılığıyla bilgisayarlarında oturum açarlardı. Lokal Windows hesabı, Windows 7 ve evvelki Windows sürümlerinde kimlik doğrulamanın tek yoluydu.
Ancak Windows 8’den itibaren Microsoft, kullanıcıların Microsoft hesaplarına ilişkin çevrimiçi kimlik bilgilerini kullanarak oturum açmalarına imkan tanıyan yeni bir tekniği kullanıma sundu. Microsoft, makul Windows sürümlerinin mahallî bir hesapla yüklenemeyeceği ve artık çevrimiçi hesapların zarurî olduğu bir noktaya kadar işletim sistemini güncellemeye devam etti. Bugün artık rastgele bir Microsoft hesabına ilişkin kullanıcı bilgileri, Windows 8, Windows 10 ya da Windows 11 işletim sistemine sahip rastgele bir bilgisayarda oturum açmak için kullanılabiliyor.
Hesaba ilişkin kullanıcı bilgileri kimlik doğrulama emeliyle Microsoft’a gönderildiği için birinci kere Microsoft hesabıyla oturum açma süreci, aktif bir internet irtibatı gerektirir. Microsoft hesabı parolası daha sonra çevrimdışı oturum açma süreçlerini kolaylaştırmak için mahallî bilgisayarda ön belleğe alınır. Bu da rastgele bir bilgisayar korsanının parolayı kaba kuvvet atağıyla ele geçirmesine ve kullanıcının OneDrive hesabında sakladığı fotoğraflar ve evraklar, Skype konuşmaları, tarama geçmişi, Edge tarayıcısı tarafından tutulan tüm parolalar ve çok daha ziyadesiyle birlikte Microsoft hesabının tüm içeriğine erişmesine imkan tanır. Bir bilgisayarın NTLM bilgi tabanına yapılan yüksek süratli bir çevrimdışı hücum, hassas şahsî bilgiler içeren bir çevrimiçi hesabın parolasını kırabilir.
Elbette iki faktörlü kimlik doğrulamanın kullanılması, en berbat senaryonun önüne geçilmesine yardımcı olabilir. Lakin parolanın brute-force hücumuyla ele geçirilmesi, Edge tarayıcısında depolanmış olan parolalar da dahil olmak üzere kullanıcının Windows hesabındaki her şeyin açığa çıkmasına neden olur. Microsoft, PIN ve Windows Hello kimlik doğrulaması üzere usulleri kullanıma sunarak bu sorunun önüne geçmeye çalıştı. Lakin bu kimlik doğrulama prosedürlerini destekleyecek genel donanım eksikliği, bu usullerin nispeten etkisiz hale gelmesine neden oldu.
Bu durum pek kabul edilebilir değildi ve bundan ötürü Microsoft, bir Microsoft hesabını kullanmaya devam edecek, lakin ön belleğe alınmış kullanıcı bilgileriyle bağlantılı güvenlik riskini azaltacak alternatif bir oturum açma yolu üzerinde çalışmaya başladı. Bunun üzerine Eylül 2021’de şirket, parolasız kimlik doğrulama özelliğini duyurdu. Şu anda Windows 11, oturum açmak için parola gerektirmeyen yeni bir hesap tipi ekleyerek her kullanıcıya parolasız oturum açma imkanı tanıyor.
Microsoft, parolasız oturum açma özelliğini parolalara kıyasla daha inançlı bir kimlik doğrulama seçeneği olarak görmekte. Parolasız kimlik doğrulamanın aktifleştirilmesi, yetkisiz bir kişinin, kullanıcının mevcut mahallî yahut bulut tabanlı Microsoft hesabı parolasını bilerek (ya da brute-force saldırısı uygulayarak) lokal bir bilgisayara erişme mümkünlüğünü otomatik olarak devre dışı bırakıyor.
Windows Hello, Microsoft Authenticator uygulaması, SMS ya da e-posta kodları ve fizikî güvenlik anahtarları üzere parolasız tahliller, daha inançlı ve kullanışlı bir oturum açma yolu sağlıyor. Parolalar kestirim edilebilir ve çalınabilirken, parmak izi doğrulamasını sırf siz sağlayabilirsiniz yahut gerçek vakitte cep telefonunuzdan hakikat cevabı sadece siz verebilirsiniz.
Genel (etki alanı dışındaki) kullanıcılar için şu anda Windows 11’de kullanılabilen üç çeşit hesap vardır:
- [Varsayılan] Parolasız Microsoft Hesabı: Oturum açmak için parola kullanılamaz. Kullanıcılar; PIN (TPM’e bağlı), Windows Hello ya da Microsoft Authenticator uygulaması aracılığıyla online olarak kimlik doğrulaması yaparlar.
- Microsoft Hesabı (Şifre Etkin): Kullanıcılar; PIN (TPM), Windows Hello yahut Microsoft hesabı parolalarını kullanarak kimlik doğrulaması yapabilirler.
- Yerel Windows Hesabı (Şifre Etkin): Kullanıcılar; parola, PIN (TPM) ya da Windows Hello aracılığıyla kimlik doğrulaması yapabilirler.
Windows 11, hem parolalı hem de parolasız oturum açmaya müsaade veriyor. Parolasız mod, yeni bir Windows 11 sistemi yapılandırırken yahut mevcut Windows 11 kurulumuna yeni bir hesap eklerken yeni varsayılandır. Windows 10’dan Windows 11’e yükseltme sırasında taşınan kullanıcı hesapları ise mevcut kimlik doğrulama özelliklerini korur.
Windows 11 kullanıcıları parola tabanlı ya da parolasız oturum açmayı manuel olarak seçebilirler ve buradaki varsayılan ayarlar şu biçimdedir:
- Yeni Windows 11 Kurulumları: Microsoft hesabı ve parolasız oturum açma.
- Windows 10’dan Windows 11’e Geçiş: Parola tabanlı oturum açma süreci taşınır ve mevcut kimlik doğrulama yolunu tekrar kullanılır.
- Windows 10’dan Geçiş Yaptıktan Sonra Windows 11’de Oluşturulan Yeni Hesaplar: Microsoft hesabı ve parolasız oturum açma.
Kullanıcıların rastgele bir vakitte sadece bir ayarı değiştirerek parolalı ve parolasız oturum açma ortasında kolay kolay geçiş yapabileceklerini de hatırlatalım.
Bununla birlikte kullanıcılar “Kayıt Defteri”ndeki bir girişi değiştirerek de parolalı ve parolasız oturum açma seçenekleri ortasında geçiş yapabilirler.
İlginç bir formda Windows 10 da TPM (Güvenilir Platform Modülü) tabanlı oturum açma muhafazasını kullanabilir ve kullanıyor da. Bilgisayarın UEFI BIOS’unda sağlanan ve aktifleştirilen bir TPM modülü ya da TPM emülasyonu bulunuyorsa, Windows 10, PIN tabanlı kimlik doğrulaması için donanım müdafaasından yararlanır. Lakin olayın tümü bu kadarla sonlu değil.
Modül sisteme heyetiyse ya da emülasyonu yapılmışsa Windows 10, TPM 2.0’ın özelliklerini kullanabilir. Microsoft’un internet sitesinde Windows güvenliği ile ilgili olarak yer alan “PIN, Neden Çevrimiçi Bir Paroladan Daha Düzgündür?” isimli makalede, PIN tabanlı hesap müdafaasının parola tabanlı kimlik doğrulamasından daha yeterli olduğu sav ediliyor. Bunun sebepleri ise şu iki formda açıklanıyor:
PIN, Donanıma Bağlıdır: Bir çevrimiçi parola ile Hello PIN’i ortasındaki kıymetli farklardan biri, PIN’in ayarlandığı makul bir donanıma bağlı olmasıdır. Bu PIN, o spesifik donanıma sahip olmayan hiç kimse için işe yaramaz.
PIN, Donanım Tarafından Desteklenir: Windows Hello PIN’i, şifreleme süreçlerini gerçekleştirmek için tasarlanmış inançlı bir şifreleme işlemcisi olan TPM (Güvenilir Platform Modülü) yongası tarafından desteklenir. Bu yonga, istenmeyen müdahalelere karşı güçlü olması için birden fazla fizikî güvenlik düzeneği içerir ve makûs maksatlı yazılımlar, TPM’in güvenlik fonksiyonlarına müdahale edemezler. Pek çok çağdaş aygıtta TPM bulunur. Başka bir yandan Windows 10 ise mahallî parolaları TPM’e bağlamama kusuruna sahiptir. İşte Microsoft tarafından PIN’lerin lokal şifrelerden daha inançlı kabul edilmesinin nedeni budur.
Windows 10, TPM modülü şurası olmayan bilgisayarlarda çalışabilir. Üstelik Firmware tabanlı TPM emülasyonu özelliğine sahip olan, fakat bu özelliğin UEFI BIOS’larında devre dışı bırakıldığı bilgisayarlarda da pek yeterli bir formda ve tek bir ikaz olmadan çalışır. Örnek olarak 9. jenerasyon Gigabyte Z390 anakartı “Intel Platform Trust Technology” özelliğini dayanaklar, lakin bu özellik için varsayılan ayar “kapalı”dır. Bu özellikten yararlanmak için BIOS ayarları içerisinde, “Settings” sekmesindeki “Diğer” (Miscellaneous) kısmında yer alan “Intel Platform Trust Technology (PTT)” ayarını manuel olarak etkin hale getirmeniz gerekiyor.
TPM eksik yahut devre dışıyken de Windows, PIN tabanlı oturum açmayı kullanmaya devam edebilir. Microsoft bunun parola tabanlı kimlik doğrulamasından daha inançlı olduğunu sav ediyor.
Bir TPM olmadan ya da TPM bilgisayarın UEFI BIOS’unda açıkça etkinleştirilmemiş ve Windows işletim sistemine sağlanmamış ise, hesap PIN kodu, Microsoft’un “PIN, Neden Çevrimiçi Bir Paroladan Daha Düzgündür?” isimli makalesinde argüman ettiği üzere aygıta bağlı değildir. Buna ek olarak bilgisayarın UEFI BIOS’unda bilgisayarın TPM’i, Intel Platform Trust Technology yahut AMD fTPM’i (firmware Trusted Platform Module) etkinleştirilmemişse ve bu modülü devre dışı bırakmak için mantıklı nedenler varsa, PIN kodu lokal kullanıcı bilgileri veri tabanında ön belleğe alınır ve çabucak hemen kullanıcı parolasıyla tıpkı halde, brute-force (kaba kuvvet) saldırısı yapılarak ele geçirilebilir.
Elcomsoft, Windows kurulumunu bilgisayarlar ortasında taşıyarak ve bir PIN aracılığıyla oturum açmaya çalışarak PIN tabanlı kimlik doğrulamasının güvenilirliğini teyit etmek için birkaç test gerçekleştirdi. Bu testlerin sonuçlarını aşağıda sizlerle paylaşıyoruz.
1. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 suramı, fizikî disk takası prosedürüyle TPM’siz bir sistemden öteki bir TPM’siz sisteme (i7-4700S) taşındı. Bilgisayarın yine başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
2. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, disk klonlaması sistemiyle TPM’siz bir sistemden öbür bir TPM’siz sisteme (i7-4700S) taşındı. Özgün sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın yine başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
3. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 suramı, disk klonlaması tekniğiyle TPM’siz bir sistemden TPM’in aktifleştirildiği bir sisteme (i7-9700K) taşındı. Orjinal sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın tekrar başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
4. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, disk klonlaması sistemiyle TPM’in faal olduğu bir sistemden TPM’in aktif olduğu öteki bir sisteme (i9-12900K) taşındı. Yeni sistemde PIN ile kimlik doğrulaması başarısız oldu, parola tabanlı oturum açma gerekliydi ve PIN ile oturum açmayı yine aktifleştirmek için PIN kodunun kaldırılması ve yine girilmesi gerekiyordu.
Bu testler gösteriyor ki, şayet kaynak sistem bir TPM’e sahip değilse, PIN kodu donanıma bağlı değildir. Şayet kaynak sistemde TPM sağlanmış ve etkinleştirilmişse, PIN kodu sahiden de donanıma bağlıdır.
8. jenerasyon ya da daha yeni bir Intel işlemci yahut AMD Zen ya da daha yeni bir AMD işlemci barındıran pek çok taşınabilir bilgisayar (Windows dizüstü bilgisayarlar, tabletler ve 2’si1 ortada aygıtlar), birden fazla donanım üreticisi üretici tarafından varsayılan olarak aktifleştirilmiş olan Firmware tabanlı emniyetli platformla donatılmıştır. Bu, birden fazla taşınabilir bilgisayarın ek muhafaza için TPM’i kullanabileceği manasına gelir.
Masaüstü bilgisayarlar için de birebir dizüstü bilgisayarlar için olduğu üzere, 8. jenerasyon Intel ve AMD Zen’den beri Firmware tabanlı emniyetli platform mevcuttur. Fakat birden fazla AMD anakartı ve 12. jenerasyon Alder Lake’den evvelki Intel yonga setleri için varsayılan olarak devre dışı bırakılmıştır. Bu biçim anakartlara sahip kullanıcıların TPM özelliğini kullanabilmeleri için bilgisayarlarının UEFI BIOS’unda fTPM (AMD) ya da Intel Platform Trust Technology’yi (PTT) manuel olarak etkinleştirmeleri gerekir.
8. ila 11. jenerasyon Intel işlemcilere sahip birçok masaüstü bilgisayar, TPM emülasyonu ile donatılmıştır. Bu masaüstü bilgisayarların birçoğunda Intel Platform Trust Technology (PTT) varsayılan olarak devre dışı bırakılmıştır. En yeni AMD anakartları da fTPM teknolojisine sahiptir, lakin bu özellik de varsayılan olarak devre dışı bırakılmıştır.
Not: Özgün donanım üreticileri (OEM’ler), Windows 11 yeterince BIOS güncellemelerinde donanım yazılımı tabanlı TPM’i etkinleştirmeye başladı.
Windows 10 kullanıcıları da Windows 11 kullanıcıları üzere parolasız kimlik doğrulaması özelliğini kullanabilirler. Fakat bu özellik, bulut tabanlı, hesap çapında bir ayar haline gelecek ve kullanıcıların çevrimiçi Microsoft hesaplarında oturum açarlarken parola kullanma gerekliliğini ortadan kaldıracaktır.
Parolasız kimlik doğrulamalarını kullanabilmeleri için Windows 10 kullanıcılarının Microsoft hesaplarında çevrimiçi olarak ek güvenlik ayarlarını düzenlemeleri gerekiyor. Bunun için Microsoft hesabınız açıkken profil fotoğrafınıza tıkladığınızda karşınıza çıkan “Microsoft hesabım” seçeneğine tıklayarak hesap ayarlarına gitmeniz ve buradaki “Güvenlik” kısmının altındaki “Ek Güvenlik Seçenekleri”ne tıklamanız gerekiyor. Daha sonrasında karşınıza aşağıda paylaşmış olduğumuz görseldeki “Ek Güvenlik” kısmının bulunduğu sayfa gelecek. Buradaki “Parolasız Hesabı” kısmından parolasız oturum açma özelliğini etkin hale getirebilirsiniz.
Parolasız oturum açma seçeneğiyle alakalı daha fazla bilgi edinmek için Microsoft’un internet sitesinde yer alan “Microsoft Hesabınızla Parola Kullanımı Nasıl Olur?” isimli yazıya göz atabilirsiniz.
Microsoft’un internet sitesindeki “Dokümantasyon” kısmında yer alan “Windows, Sağlam Platform Modülü’nü (TPM) Nasıl Kullanır?” başlıklı makalede belirtildiğine nazaran Windows, anahtar muhafazasından aygıt şifrelemesine kadar çeşitli vazifeler için güvenlik yardımcı işlemcisini kullanabilir. Buna karşın Elcomsoft’un yapmış olduğu testlerden elde ettiği izlenimlere nazaran, Windows’taki TPM teknolojisinin pratikte kullanımı, Microsoft’un argüman etmiş olduğu kadar yaygın değil.
Örneğin Microsoft Edge parolaları, DPAPI (Data Protection Application Programming Interface / Bilgi Müdafaa Uygulama Programlama Arayüzü) aracılığıyla yönetilen bir anahtarla korunur. Şayet bu anahtar TPM ile korunsaydı, davetsiz bir konuk, disk manzarası şifrelenmemiş olsa bile, disk imajını tahlil ederek internet tarayıcısındaki parolaları ele geçiremezdi. Lakin Windows 11’de bile bu DPAPI anahtarı TPM muhafazalı değildir ve rastgele bir saldırgan, bir kullanıcının Windows hesabı parolasını kullanarak o kullanıcının Microsoft Edge tarafından depolanmış olan bütün parolalarını ele geçirebilir.
Microsoft, bütün DPAPI anahtarlarını TPM’e taşımak yerine, parola kullanmayan yeni bir Windows kimlik doğrulaması seçeneği sunarak bu sorunu çözmeye çalışıyor. TPM muhafazalı parolasız kimlik doğrulaması ile, parolalar ya da PIN kodları, hash işlevi (karma fonksiyonu yahut özet işlevi: değişken uzunluklu dataları, sabit uzunluklu datalara eşlemek için kullanılan fonksiyon) uygulanmış olsun yahut olmasın bilgisayarın sabit şoföründe depolanmaz. Bunun yerine anahtarlar, TPM modülü -ya da bildiğimizden daha az inançlı olmayan donanım yazılımı emülasyonu- tarafından korunur.
Bu durum, birkaç kıymetli sonuca yol açar. Birinci olarak bariz olan şey şudur: Windows 11 işletim sistemine sahip olan bir bilgisayar parolasız oturum açma özelliği etkinleştirilirse, çevrim dışı brute-force (kaba kuvvet) saldırısı, irtibatlı hesapların parolaları ve PIN’leri için uygulanamaz hale gelir.
Parolasız bir hesabı, mahallî bir Windows hesabına dönüştürmek ve bu hesaba bilinen bir parola atamak teknik olarak mümkündür. Lakin bu süreç gerçekleştirildikten sonra, DPAPI anahtarları kaybolur ve bu durum, pek çok korunan bilginin (Edge parolaları ve NTFS ile şifrelenmiş belgeler da dahil olmak üzere) bu çeşit bir dönüştürmeden sonra kalıcı olarak kullanılamaz hale geleceği manasına gelir. Lakin yeniden de bu sorunun üstesinden gelmek için bir araç mevcut ve bir sonraki kısımda sizlere bu araçtan kelam edeceğiz.
Hem evet hem de hayır. Bu soruyu tam olarak yanıtlamadan evvel, Windows 11 işletim sistemindeki TPM ihtiyacının, sistem kısmının otomatik BitLocker şifrelemesine dayandığına dair yaygın bir yanılgıyı ortadan kaldırmamız gerek. Gerçekte durum hiç de bu türlü değil.
Windows 11’in varsayılan şifreleme prensipleri, Windows 10’da (ve ondan evvelki Windows 8.1’de) gördüklerimizden biraz farklı. Rastgele bir Windows sürümüne sahip olan dizüstü bilgisayarlar ve 2’si1 ortada aygıtlar üzere birden fazla taşınabilir aygıt, BitLocker Aygıt Şifrelemesi ile otomatik olarak şifrelenirken, TPM’den yahut Windows 11’in yükseltme ya da yeni yükleme olmasından bağımsız olarak masaüstü bilgisayarlar için bu durum geçerli değil. Windows 11 Pro, Enterprise ve Education sürümlerinin kullanıcıları; sistem kısmını manuel olarak şifreleyebilirlerken Windows 11 Home sürümüne sahip olan kullanıcılar, bu seçeneğe sahip olmayacak.
Eğer Windows sistem kısmında BitLocker şifrelemesi etkinleştirilmişse, gerekli hesabın data tabanı belgelerine erişmek için evvel BitLocker ünitesinin kilidini açmanız gerekecektir. Windows 11 işletim sistemi varsayılan olarak TPM gerektirdiği için TPM modülünün heyeti olduğunu (atanmış ve entegre TPM aygıtları ya da işlemci emülasyonu ortasında pratikte bir fark yoktur) ve şifreleme anahtarının TPM’de depolandığını varsayabiliriz. Bilgisayarı farklı bir işletim sistemi ile başlattığınızda TPM şifreleme anahtarı ortaya çıkmaz. TPM tabanlı sistem şoförü şifrelemesi için parola koruyucusu kullanılmadığından da parolayı ele geçirmek maksadıyla rastgele bir taarruz yapılamaz.
Bu çeşit BitLocker ünitelerinin kilidini açmanın tek yolu “BitLocker Kurtarma Anahtarı”nı kullanmaktır. BitLocker Aygıt Şifrelemeli taşınabilir aygıtlar için Windows, sistem kısmını şifrelerken otomatik olarak bir kurtarma anahtarı oluşturur. Bu kurtarma anahtarı, o bilgisayarda yönetici ayrıcalıklarıyla oturum açan ve -yerel bir Windows hesabı yerine- Microsoft hesabı kullanıcı bilgilerini kullanan birinci kullanıcının Microsoft hesabına otomatik olarak yüklenir. Bu anahtarı Microsoft’tan isteyebilir ya da kelam konusu kullanıcının Microsoft hesabında oturum açtıktan sonra, burada paylaşmış olduğumuz kontakta yer alan sayfayı ziyaret ederek indirebilirsiniz.
Bununla birlikte masaüstü bilgisayarlar için kurtarma anahtarı tekrar de kullanıcının Microsoft Hesabında bulunabilir. Değilse, etkilenen üniteye erişebilmek için o anahtarı bulmanız gerekir. Kullanıcının bir yahut daha fazla ek koruyucuyu (“parola” gibi) aktifleştirmiş olması çok küçük bir ihtimaldir; Etkilenen üniteden şifreleme meta datalarını çıkarmak için Elcomsoft System Recovery kullanarak bunu denetim edebilirsiniz.
Windows 11 işletim sisteminin yüksek sistem ihtiyaçlarıyla ilgili tartışmalara karşın Microsoft gerçek olanı yaptı. TPM muhafazasıyla birlikte parolasız kimlik doğrulamasının kullanılması, Windows hesaplarının güvenliğini sağlamak için çok büyük yarar sağlayacaktır.
Bununla birlikte varsayılan şifreleme prensiplerinde rastgele bir değişiklik görülmedi. BitLocker Aygıt Şifrelemesi, sırf taşınabilir aygıtlarda hâlâ geçerlidir. Masaüstü bilgisayarlarda BitLocker şifrelemesi uygulanmaz ve otomatik olarak etkinleştirilmez. Şayet BitLocker şifrelemesi bir sistem kısmında etkinleştirilirse, ünitenin kilidini açmak ve şifresini çözmek için Windows 10’da olduğu üzere tekrar gerçek BitLocker Kurtarma Anahtarı’na gereksiniminiz olacaktır.