Windows 11 artırılmış hesap müdafaası, parolasız oturum açma ve donanım tabanlı güvenlik sunuyor. Pekala Windows 11’de Windows 10’a kıyasla neler değişti, bu değişiklikler isimli bilgi çıkarma ve tahlili nasıl etkiliyor ve TPM (Trusted Platform Module / Muteber Platform Modülü) tabanlı muhafazanın üstesinden ne ölçüde gelinebilir? Tüm bu soruların karşılıklarını Elcomsoft’un bu mevzuda hazırladığı makaleden yola çıkarak sizlere aktarmaya çalışacağız.
Eğer bu yazımızı okumadan evvel TPM hakkında daha fazla bilgi edinmek istiyorsanız, Windows 11 ile Duyulan TPM Nedir, Ne İşe Fayda? başlıklı yazımıza da göz atabilirsiniz.
Eskiden Windows kullanıcıları bir parola aracılığıyla bilgisayarlarında oturum açarlardı. Lokal Windows hesabı, Windows 7 ve evvelki Windows sürümlerinde kimlik doğrulamanın tek yoluydu.
Ancak Windows 8’den itibaren Microsoft, kullanıcıların Microsoft hesaplarına ilişkin çevrimiçi kimlik ayrıntılarını kullanarak oturum açmalarına imkan tanıyan yeni bir tekniği kullanıma sundu. Microsoft, makul Windows sürümlerinin lokal bir hesapla yüklenemeyeceği ve artık çevrimiçi hesapların zarurî olduğu bir noktaya kadar işletim sistemini güncellemeye devam etti. Bugün artık rastgele bir Microsoft hesabına ilişkin kullanıcı ayrıntıları, Windows 8, Windows 10 ya da Windows 11 işletim sistemine sahip rastgele bir bilgisayarda oturum açmak için kullanılabiliyor.
Hesaba ilişkin kullanıcı ayrıntıları kimlik doğrulama maksadıyla Microsoft’a gönderildiği için birinci kere Microsoft hesabıyla oturum açma süreci, faal bir internet teması gerektirir. Microsoft hesabı parolası ondan sonrasında çevrimdışı oturum açma süreçlerini kolaylaştırmak için mahallî bilgisayarda ön belleğe alınır. Bu da rastgele bir bilgisayar korsanının parolayı kaba kuvvet taarruzuyla ele geçirmesine ve kullanıcının OneDrive hesabında sakladığı fotoğraflar ve evraklar, Skype konuşmaları, tarama geçmişi, Edge tarayıcısı tarafınca tutulan tüm parolalar ve epey daha ziyadesiyle bir arada Microsoft hesabının tüm içeriğine erişmesine imkan tanır. Bir bilgisayarın NTLM bilgi tabanına yapılan yüksek süratli bir çevrimdışı taarruz, hassas şahsi bilgiler içeren bir çevrimiçi hesabın parolasını kırabilir.
normal olarak iki faktörlü kimlik doğrulamanın kullanılması, en makûs senaryonun önüne geçilmesine yardımcı olabilir. Lakin parolanın brute-force akınıyla ele geçirilmesi, Edge tarayıcısında depolanmış olan parolalar da dahil olmak üzere kullanıcının Windows hesabındaki her şeyin açığa çıkmasına yol açar. Microsoft, PIN ve Windows Hello kimlik doğrulaması üzere halleri kullanıma sunarak bu sorunun önüne geçmeye çalıştı. Lakin bu kimlik doğrulama hallerini destekleyecek genel donanım eksikliği, bu hallerin nispeten etkisiz hale gelmesine niye oldu.
Microsoft Hesabı oturum açma ekranı.
Bu durum pek kabul edilebilir değildi ve bundan dolayı Microsoft, bir Microsoft hesabını kullanmaya devam edecek, lakin ön belleğe alınmış kullanıcı detaylarıyle bağlı güvenlik riskini azaltacak alternatif bir oturum açma tekniği üzerinde çalışmaya başladı. Bunun üzerine Eylül 2021’de şirket, parolasız kimlik doğrulama özelliğini duyurdu. Şu anda Windows 11, oturum açmak için parola gerektirmeyen yeni bir hesap çeşidi ekleyerek her kullanıcıya parolasız oturum açma imkanı tanıyor.
Microsoft, parolasız oturum açma özelliğini parolalara kıyasla daha inançlı bir kimlik doğrulama seçeneği olarak görmekte. Parolasız kimlik doğrulamanın aktifleştirilmesi, yetkisiz bir kişinin, kullanıcının mevcut lokal yahut bulut tabanlı Microsoft hesabı parolasını bilerek (ya da brute-force saldırısı uygulayarak) mahallî bir bilgisayara erişme mümkünlüğünü otomatik olarak devre dışı bırakıyor.
Windows Hello, Microsoft Authenticator uygulaması, SMS ya da e-posta kodları ve fizikî güvenlik anahtarları üzere parolasız tahliller, daha inançlı ve kullanışlı bir oturum açma tekniği sağlıyor. Parolalar varsayım edilebilir ve çalınabilirken, parmak izi doğrulamasını sırf siz sağlayabilirsiniz yahut hakikat vakitte cep telefonunuzdan yanlışsız karşılığı sırf siz verebilirsiniz.
Genel (etki alanı haricindeki) kullanıcılar için şu anda Windows 11’de kullanılabilen üç cins hesap vardır:
Windows 11 kullanıcıları parola tabanlı ya da parolasız oturum açmayı manuel olarak seçebilirler ve buradaki var iseyılan ayarlar şöyledir:
Windows 11 Oturum Açma seçenekleri.
aynı vakitte kullanıcılar “Kayıt Defteri”ndeki bir girişi değiştirerek de parolalı ve parolasız oturum açma seçenekleri içinde geçiş yapabilirler.
İlginç bir biçimde Windows 10 da TPM (Güvenilir Platform Modülü) tabanlı oturum açma müdafaasını kullanabilir ve kullanıyor da. Bilgisayarın UEFI BIOS’unda sağlanan ve aktifleştirilen bir TPM modülü ya da TPM emülasyonu bulunuyorsa, Windows 10, PIN tabanlı kimlik doğrulaması için donanım muhafazasından yararlanır. Lakin olayın tümü bu kadarla sonlu değil.
Modül sisteme heyetiyse ya da emülasyonu yapılmışsa Windows 10, TPM 2.0’ın özelliklerini kullanabilir. Microsoft’un internet sitesinde Windows güvenliği ile ilgili olarak yer alan “PIN, niye Çevrimiçi Bir Paroladan Daha Güzeldir?” isimli makalede, PIN tabanlı hesap müdafaasının parola tabanlı kimlik doğrulamasından daha güzel olduğu argüman ediliyor. Bunun sebepleri ise şu iki biçimde açıklanıyor:
PIN, Donanıma Bağlıdır: Bir çevrimiçi parola ile Hello PIN’i içindeki değerli farklardan biri, PIN’in ayarlandığı makul bir donanıma bağlı olmasıdır. Bu PIN, o spesifik donanıma sahip olmayan hiç kimse için işe yaramaz.
PIN, Donanım tarafınca Desteklenir: Windows Hello PIN’i, şifreleme süreçlerini gerçekleştirmek için tasarlanmış inançlı bir şifreleme işlemcisi olan TPM (Güvenilir Platform Modülü) yongası tarafınca desteklenir. Bu yonga, istenmeyen müdahalelere karşı güçlü olması için birden çok fizikî güvenlik düzeneği içerir ve makus emelli yazılımlar, TPM’in güvenlik fonksiyonlarına müdahale edemezler. bir hayli çağdaş aygıtta TPM bulunur. Başka bir yandan Windows 10 ise mahallî parolaları TPM’e bağlamama kusuruna sahiptir. İşte Microsoft tarafınca PIN’lerin mahallî şifrelerden daha inançlı kabul edilmesinin sebebi budur.
Windows 10, TPM modülü şurası olmayan bilgisayarlarda çalışabilir. Üstelik Firmware tabanlı TPM emülasyonu özelliğine sahip olan, lakin bu özelliğin UEFI BIOS’larında devre dışı bırakıldığı bilgisayarlarda da çok güzel bir biçimde ve tek bir ikaz olmadan çalışır. Örnek olarak 9. jenerasyon Gigabyte Z390 anakartı “Intel Platform Trust Technology” özelliğini takviyeler, lakin bu özellik için var iseyılan ayar “kapalı”dır. Bu özellikten yararlanmak için BIOS ayarları içerisinde, “Settings” sekmesindeki “Diğer” (Miscellaneous) kısmında yer alan “Intel Platform Trust Technology (PTT)” ayarını manuel olarak etkin hale getirmeniz gerekiyor.
Gigabyte Z390 anakartta Intel Platform Trust Technology (PTT) özelliği BIOS altından devreye alınabilir.
TPM eksik yahut devre dışıyken de Windows, PIN tabanlı oturum açmayı kullanmaya devam edebilir. Microsoft bunun parola tabanlı kimlik doğrulamasından daha inançlı olduğunu sav ediyor.
Bir TPM olmadan ya da TPM bilgisayarın UEFI BIOS’unda açıkça etkinleştirilmemiş ve Windows işletim sistemine sağlanmamış ise, hesap PIN kodu, Microsoft’un “PIN, niye Çevrimiçi Bir Paroladan Daha Düzgündür?” isimli makalesinde tez ettiği üzere aygıta bağlı değildir. Buna ek olarak bilgisayarın UEFI BIOS’unda bilgisayarın TPM’i, Intel Platform Trust Technology yahut AMD fTPM’i (firmware Trusted Platform Module) etkinleştirilmemişse ve bu modülü devre dışı bırakmak için mantıklı niçinler var ise, PIN kodu lokal kullanıcı ayrıntıları bilgi tabanında ön belleğe alınır ve şimdi kullanıcı parolasıyla birebir biçimde, brute-force (kaba kuvvet) saldırısı yapılarak ele geçirilebilir.
Elcomsoft, Windows kurulumunu bilgisayarlar içinde taşıyarak ve bir PIN aracılığıyla oturum açmaya çalışarak PIN tabanlı kimlik doğrulamasının güvenilirliğini teyit etmek için birkaç test gerçekleştirdi. Bu testlerin sonuçlarını aşağıda sizlerle paylaşıyoruz.
1. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, fizikî disk takası usulüyle TPM’siz bir sistemden diğer bir TPM’siz sisteme (i7-4700S) taşındı. Bilgisayarın bir daha başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
2. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 suramı, disk klonlaması usulüyle TPM’siz bir sistemden diğer bir TPM’siz sisteme (i7-4700S) taşındı. Orjinal sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın bir daha başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
3. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 suramı, disk klonlaması tekniğiyle TPM’siz bir sistemden TPM’in aktifleştirildiği bir sisteme (i7-9700K) taşındı. Özgün sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın bir daha başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
4. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 heyetimi, disk klonlaması yoluyla TPM’in faal olduğu bir sistemden TPM’in aktif olduğu diğer bir sisteme (i9-12900K) taşındı. Yeni sistemde PIN ile kimlik doğrulaması başarısız oldu, parola tabanlı oturum açma gerekliydi ve PIN ile oturum açmayı bir daha aktifleştirmek için PIN kodunun kaldırılması ve bir daha girilmesi gerekiyordu.
Bu testler gösteriyor ki, şayet kaynak sistem bir TPM’e sahip değilse, PIN kodu donanıma bağlı değildir. Şayet kaynak sistemde TPM sağlanmış ve etkinleştirilmişse, PIN kodu nitekim de donanıma bağlıdır.
8. kuşak ya da daha yeni bir Intel işlemci yahut AMD Zen ya da daha yeni bir AMD işlemci barındıran bir fazlaca taşınabilir bilgisayar (Windows dizüstü bilgisayarlar, tabletler ve 2’si1 ortada aygıtlar), birçok donanım üreticisi üretici tarafınca var iseyılan olarak aktifleştirilmiş olan Firmware tabanlı muteber platformla donatılmıştır. Bu, birçok taşınabilir bilgisayarın ek müdafaa için TPM’i kullanabileceği manasına gelir.
Masaüstü bilgisayarlar için de birebir dizüstü bilgisayarlar için olduğu üzere, 8. kuşak Intel ve AMD Zen’den beri Firmware tabanlı sağlam platform mevcuttur. Lakin birden fazla AMD anakartı ve 12. kuşak Alder Lake’dilk evvelki Intel yonga setleri için var iseyılan olarak devre dışı bırakılmıştır. Bu stil anakartlara sahip kullanıcıların TPM özelliğini kullanabilmeleri için bilgisayarlarının UEFI BIOS’unda fTPM (AMD) ya da Intel Platform Trust Technology’yi (PTT) manuel olarak etkinleştirmeleri gerekir.
8. ila 11. jenerasyon Intel işlemcilere sahip birçok masaüstü bilgisayar, TPM emülasyonu ile donatılmıştır. Bu masaüstü bilgisayarların birçoğunda Intel Platform Trust Technology (PTT) var iseyılan olarak devre dışı bırakılmıştır. En yeni AMD anakartları da fTPM teknolojisine sahiptir, lakin bu özellik de var iseyılan olarak devre dışı bırakılmıştır.
Not: Orjinal donanım üreticileri (OEM’ler), Windows 11 yeterince BIOS güncellemelerinde donanım yazılımı tabanlı TPM’i etkinleştirmeye başladı.
Windows 10 kullanıcıları da Windows 11 kullanıcıları üzere parolasız kimlik doğrulaması özelliğini kullanabilirler. Fakat bu özellik, bulut tabanlı, hesap çapında bir ayar haline gelecek ve kullanıcıların çevrimiçi Microsoft hesaplarında oturum açarlarken parola kullanma gerekliliğini ortadan kaldıracaktır.
Parolasız kimlik doğrulamalarını kullanabilmeleri için Windows 10 kullanıcılarının Microsoft hesaplarında çevrimiçi olarak ek güvenlik ayarlarını düzenlemeleri gerekiyor. Bunun için Microsoft hesabınız açıkken profil fotoğrafınıza tıkladığınızda karşınıza çıkan “Microsoft hesabım” seçeneğine tıklayarak hesap ayarlarına gitmeniz ve buradaki “Güvenlik” kısmının altındaki “Ek Güvenlik Seçenekleri”ne tıklamanız gerekiyor. sonrasındasındasında karşınıza aşağıda paylaşmış olduğumuz görseldeki “Ek Güvenlik” kısmının bulunduğu sayfa gelecek. Buradaki “Parolasız Hesabı” kısmından parolasız oturum açma özelliğini faal hale getirebilirsiniz.
Microsoft Hesabındaki ek güvenlik ayarları.
Parolasız oturum açma seçeneğiyle alakalı daha fazla bilgi edinmek için Microsoft’un internet sitesinde yer alan “Microsoft Hesabınızla Parola kullanması Nasıl Olur?” isimli yazıya göz atabilirsiniz.
Microsoft’un internet sitesindeki “Dokümantasyon” kısmında yer alan “Windows, Sağlam Platform Modülü’nü (TPM) Nasıl Kullanır?” başlıklı makalede açıklandığine bakılırsa Windows, anahtar müdafaasından aygıt şifrelemesine kadar çeşitli nazaranvler için güvenlik yardımcı işlemcisini kullanabilir. Buna karşın Elcomsoft’un yapmış olduğu testlerden elde ettiği izlenimlere nazaran, Windows’taki TPM teknolojisinin pratikte kullanması, Microsoft’un sav etmiş olduğu kadar yaygın değil.
Örneğin Microsoft Edge parolaları, DPAPI (Data Protection Application Programming Interface / Bilgi Muhafaza Uygulama Programlama Arayüzü) aracılığıyla yönetilen bir anahtarla korunur. Şayet bu anahtar TPM ile korunsaydı, davetsiz bir konuk, disk manzarası şifrelenmemiş olsa bile, disk imgesini tahlil ederek internet tarayıcısındaki parolaları ele geçiremezdi. Lakin Windows 11’de bile bu DPAPI anahtarı TPM muhafazalı değildir ve rastgele bir saldırgan, bir kullanıcının Windows hesabı parolasını kullanarak o kullanıcının Microsoft Edge tarafınca depolanmış olan bütün parolalarını ele geçirebilir.
Microsoft, bütün DPAPI anahtarlarını TPM’e taşımak yerine, parola kullanmayan yeni bir Windows kimlik doğrulaması seçeneği sunarak bu sorunu çözmeye çalışıyor. TPM muhafazalı parolasız kimlik doğrulaması ile, parolalar ya da PIN kodları, hash işlevi (karma fonksiyonu yahut özet işlevi: değişken uzunluklu dataları, sabit uzunluklu datalara eşlemek için kullanılan fonksiyon) uygulanmış olsun yahut olmasın bilgisayarın sabit şoföründe depolanmaz. Bunun yerine anahtarlar, TPM modülü -ya da bildiğimizden daha az inançlı olmayan donanım yazılımı emülasyonu- tarafınca korunur.
Bu durum, birkaç kıymetli sonuca niye olur. birinci vakit içinderda bariz olan şey şudur: Windows 11 işletim sistemine sahip olan bir bilgisayar parolasız oturum açma özelliği etkinleştirilirse, çevrim dışı brute-force (kaba kuvvet) saldırısı, kontaklı hesapların parolaları ve PIN’leri için uygulanamaz hale gelir.
Parolasız bir hesabı, lokal bir Windows hesabına dönüştürmek ve bu hesaba bilinen bir parola atamak teknik olarak mümkündür. Lakin bu süreç gerçekleştirildikten daha sonra, DPAPI anahtarları kaybolur ve bu durum, bir hayli korunan bilginin (Edge parolaları ve NTFS ile şifrelenmiş evraklar da dahil olmak üzere) bu tıp bir dönüştürmeden daha sonra kalıcı olarak kullanılamaz hale geleceği manasına gelir. Fakat bir daha de bu sorunun üstesinden gelmek için bir araç mevcut ve bir daha sonraki kısımda sizlere bu araçtan kelam edeceğiz.
Hem evet birebir vakitte hayır. Bu soruyu tam olarak yanıtlamadan evvel, Windows 11 işletim sistemindeki TPM ihtiyacının, sistem kısmının otomatik BitLocker şifrelemesine dayandığına dair yaygın bir yanılgıyı ortadan kaldırmamız gerek. Gerçekte durum hiç de bu biçimde değil.
Windows 11’in var iseyılan şifreleme prensipleri, Windows 10’da (ve ondan evvelki Windows 8.1’de) gördüklerimizden biraz farklı. Rastgele bir Windows sürümüne sahip olan dizüstü bilgisayarlar ve 2’si1 ortada aygıtlar üzere birden fazla taşınabilir aygıt, BitLocker Aygıt Şifrelemesi ile otomatik olarak şifrelenirken, TPM’den yahut Windows 11’in yükseltme ya da yeni yükleme olmasından bağımsız olarak masaüstü bilgisayarlar için bu durum geçerli değil. Windows 11 Pro, Enterprise ve Education sürümlerinin kullanıcıları; sistem kısmını manuel olarak şifreleyebilirlerken Windows 11 Home sürümüne sahip olan kullanıcılar, bu seçeneğe sahip olmayacak.
BitLocker, TPM ile şoförleri şifreleyebiliyor.
Eğer Windows sistem kısmında BitLocker şifrelemesi etkinleştirilmişse, gerekli hesabın bilgi tabanı belgelerine erişmek için evvel BitLocker ünitesinin kilidini açmanız gerekecektir. Windows 11 işletim sistemi var iseyılan olarak TPM gerektirdiği için TPM modülünün konseyi olduğunu (atanmış ve entegre TPM aygıtları ya da işlemci emülasyonu içinde pratikte bir fark yoktur) ve şifreleme anahtarının TPM’de depolandığını var iseyabiliriz. Bilgisayarı farklı bir işletim sistemi ile başlatmış olduğunızda TPM şifreleme anahtarı ortaya çıkmaz. TPM tabanlı sistem şoförü şifrelemesi için parola koruyucusu kullanılmadığından da parolayı ele geçirmek maksadıyla rastgele bir taarruz yapılamaz.
Bu cins BitLocker ünitelerinin kilidini açmanın tek yolu “BitLocker Kurtarma Anahtarı”nı kullanmaktır. BitLocker Aygıt Şifrelemeli taşınabilir aygıtlar için Windows, sistem kısmını şifrelerken otomatik olarak bir kurtarma anahtarı oluşturur. Bu kurtarma anahtarı, o bilgisayarda yönetici ayrıcalıklarıyla oturum açan ve -yerel bir Windows hesabı yerine- Microsoft hesabı kullanıcı ayrıntılarını kullanan birinci kullanıcının Microsoft hesabına otomatik olarak yüklenir. Bu anahtarı Microsoft’tan isteyebilir ya da kelam konusu kullanıcının Microsoft hesabında oturum açtıktan daha sonra, burada paylaşmış olduğumuz ilişkide yer alan sayfayı ziyaret ederek indirebilirsiniz.
aynı vakitte masaüstü bilgisayarlar için kurtarma anahtarı bir daha de kullanıcının Microsoft Hesabında bulunabilir. Değilse, etkilenen üniteye erişebilmek için o anahtarı bulmanız gerekir. Kullanıcının bir yahut daha fazla ek koruyucuyu (“parola” gibi) aktifleştirmiş olması epeyce küçük bir ihtimaldir; Etkilenen üniteden şifreleme meta datalarını çıkarmak için Elcomsoft System Recovery kullanarak bunu denetim edebilirsiniz.
Windows 11 işletim sisteminin yüksek sistem ihtiyaçlarıyla ilgili tartışmalara karşın Microsoft yanlışsız olanı yaptı. TPM muhafazasıyla bir arada parolasız kimlik doğrulamasının kullanılması, Windows hesaplarının güvenliğini sağlamak için fazlaca büyük yarar sağlayacaktır.
aynı vakitte var iseyılan şifreleme prensiplerinde rastgele bir değişiklik görülmedi. BitLocker Aygıt Şifrelemesi, sadece taşınabilir aygıtlarda hâlâ geçerlidir. Masaüstü bilgisayarlarda BitLocker şifrelemesi uygulanmaz ve otomatik olarak etkinleştirilmez. Şayet BitLocker şifrelemesi bir sistem kısmında etkinleştirilirse, ünitenin kilidini açmak ve şifresini çözmek için Windows 10’da olduğu üzere bir daha yanlışsız BitLocker Kurtarma Anahtarı’na gereksiniminiz olacaktır.
Eğer bu yazımızı okumadan evvel TPM hakkında daha fazla bilgi edinmek istiyorsanız, Windows 11 ile Duyulan TPM Nedir, Ne İşe Fayda? başlıklı yazımıza da göz atabilirsiniz.
Eskiden Windows kullanıcıları bir parola aracılığıyla bilgisayarlarında oturum açarlardı. Lokal Windows hesabı, Windows 7 ve evvelki Windows sürümlerinde kimlik doğrulamanın tek yoluydu.
Ancak Windows 8’den itibaren Microsoft, kullanıcıların Microsoft hesaplarına ilişkin çevrimiçi kimlik ayrıntılarını kullanarak oturum açmalarına imkan tanıyan yeni bir tekniği kullanıma sundu. Microsoft, makul Windows sürümlerinin lokal bir hesapla yüklenemeyeceği ve artık çevrimiçi hesapların zarurî olduğu bir noktaya kadar işletim sistemini güncellemeye devam etti. Bugün artık rastgele bir Microsoft hesabına ilişkin kullanıcı ayrıntıları, Windows 8, Windows 10 ya da Windows 11 işletim sistemine sahip rastgele bir bilgisayarda oturum açmak için kullanılabiliyor.
Hesaba ilişkin kullanıcı ayrıntıları kimlik doğrulama maksadıyla Microsoft’a gönderildiği için birinci kere Microsoft hesabıyla oturum açma süreci, faal bir internet teması gerektirir. Microsoft hesabı parolası ondan sonrasında çevrimdışı oturum açma süreçlerini kolaylaştırmak için mahallî bilgisayarda ön belleğe alınır. Bu da rastgele bir bilgisayar korsanının parolayı kaba kuvvet taarruzuyla ele geçirmesine ve kullanıcının OneDrive hesabında sakladığı fotoğraflar ve evraklar, Skype konuşmaları, tarama geçmişi, Edge tarayıcısı tarafınca tutulan tüm parolalar ve epey daha ziyadesiyle bir arada Microsoft hesabının tüm içeriğine erişmesine imkan tanır. Bir bilgisayarın NTLM bilgi tabanına yapılan yüksek süratli bir çevrimdışı taarruz, hassas şahsi bilgiler içeren bir çevrimiçi hesabın parolasını kırabilir.
normal olarak iki faktörlü kimlik doğrulamanın kullanılması, en makûs senaryonun önüne geçilmesine yardımcı olabilir. Lakin parolanın brute-force akınıyla ele geçirilmesi, Edge tarayıcısında depolanmış olan parolalar da dahil olmak üzere kullanıcının Windows hesabındaki her şeyin açığa çıkmasına yol açar. Microsoft, PIN ve Windows Hello kimlik doğrulaması üzere halleri kullanıma sunarak bu sorunun önüne geçmeye çalıştı. Lakin bu kimlik doğrulama hallerini destekleyecek genel donanım eksikliği, bu hallerin nispeten etkisiz hale gelmesine niye oldu.
Microsoft Hesabı oturum açma ekranı.
Bu durum pek kabul edilebilir değildi ve bundan dolayı Microsoft, bir Microsoft hesabını kullanmaya devam edecek, lakin ön belleğe alınmış kullanıcı detaylarıyle bağlı güvenlik riskini azaltacak alternatif bir oturum açma tekniği üzerinde çalışmaya başladı. Bunun üzerine Eylül 2021’de şirket, parolasız kimlik doğrulama özelliğini duyurdu. Şu anda Windows 11, oturum açmak için parola gerektirmeyen yeni bir hesap çeşidi ekleyerek her kullanıcıya parolasız oturum açma imkanı tanıyor.
Microsoft, parolasız oturum açma özelliğini parolalara kıyasla daha inançlı bir kimlik doğrulama seçeneği olarak görmekte. Parolasız kimlik doğrulamanın aktifleştirilmesi, yetkisiz bir kişinin, kullanıcının mevcut lokal yahut bulut tabanlı Microsoft hesabı parolasını bilerek (ya da brute-force saldırısı uygulayarak) mahallî bir bilgisayara erişme mümkünlüğünü otomatik olarak devre dışı bırakıyor.
Windows Hello, Microsoft Authenticator uygulaması, SMS ya da e-posta kodları ve fizikî güvenlik anahtarları üzere parolasız tahliller, daha inançlı ve kullanışlı bir oturum açma tekniği sağlıyor. Parolalar varsayım edilebilir ve çalınabilirken, parmak izi doğrulamasını sırf siz sağlayabilirsiniz yahut hakikat vakitte cep telefonunuzdan yanlışsız karşılığı sırf siz verebilirsiniz.
Genel (etki alanı haricindeki) kullanıcılar için şu anda Windows 11’de kullanılabilen üç cins hesap vardır:
- [var iseyılan] Parolasız Microsoft Hesabı: Oturum açmak için parola kullanılamaz. Kullanıcılar; PIN (TPM’e bağlı), Windows Hello ya da Microsoft Authenticator uygulaması aracılığıyla online olarak kimlik doğrulaması yaparlar.
- Microsoft Hesabı (Şifre Etkin): Kullanıcılar; PIN (TPM), Windows Hello yahut Microsoft hesabı parolalarını kullanarak kimlik doğrulaması yapabilirler.
- Yerel Windows Hesabı (Şifre Etkin): Kullanıcılar; parola, PIN (TPM) ya da Windows Hello aracılığıyla kimlik doğrulaması yapabilirler.
Windows 11 kullanıcıları parola tabanlı ya da parolasız oturum açmayı manuel olarak seçebilirler ve buradaki var iseyılan ayarlar şöyledir:
- Yeni Windows 11 Kurulumları: Microsoft hesabı ve parolasız oturum açma.
- Windows 10’dan Windows 11’e Geçiş: Parola tabanlı oturum açma süreci taşınır ve mevcut kimlik doğrulama prosedürünü bir daha kullanılır.
- Windows 10’dan Geçiş Yaptıktan daha sonra Windows 11’de Oluşturulan Yeni Hesaplar: Microsoft hesabı ve parolasız oturum açma.
Windows 11 Oturum Açma seçenekleri.
aynı vakitte kullanıcılar “Kayıt Defteri”ndeki bir girişi değiştirerek de parolalı ve parolasız oturum açma seçenekleri içinde geçiş yapabilirler.
İlginç bir biçimde Windows 10 da TPM (Güvenilir Platform Modülü) tabanlı oturum açma müdafaasını kullanabilir ve kullanıyor da. Bilgisayarın UEFI BIOS’unda sağlanan ve aktifleştirilen bir TPM modülü ya da TPM emülasyonu bulunuyorsa, Windows 10, PIN tabanlı kimlik doğrulaması için donanım muhafazasından yararlanır. Lakin olayın tümü bu kadarla sonlu değil.
Modül sisteme heyetiyse ya da emülasyonu yapılmışsa Windows 10, TPM 2.0’ın özelliklerini kullanabilir. Microsoft’un internet sitesinde Windows güvenliği ile ilgili olarak yer alan “PIN, niye Çevrimiçi Bir Paroladan Daha Güzeldir?” isimli makalede, PIN tabanlı hesap müdafaasının parola tabanlı kimlik doğrulamasından daha güzel olduğu argüman ediliyor. Bunun sebepleri ise şu iki biçimde açıklanıyor:
PIN, Donanıma Bağlıdır: Bir çevrimiçi parola ile Hello PIN’i içindeki değerli farklardan biri, PIN’in ayarlandığı makul bir donanıma bağlı olmasıdır. Bu PIN, o spesifik donanıma sahip olmayan hiç kimse için işe yaramaz.
PIN, Donanım tarafınca Desteklenir: Windows Hello PIN’i, şifreleme süreçlerini gerçekleştirmek için tasarlanmış inançlı bir şifreleme işlemcisi olan TPM (Güvenilir Platform Modülü) yongası tarafınca desteklenir. Bu yonga, istenmeyen müdahalelere karşı güçlü olması için birden çok fizikî güvenlik düzeneği içerir ve makus emelli yazılımlar, TPM’in güvenlik fonksiyonlarına müdahale edemezler. bir hayli çağdaş aygıtta TPM bulunur. Başka bir yandan Windows 10 ise mahallî parolaları TPM’e bağlamama kusuruna sahiptir. İşte Microsoft tarafınca PIN’lerin mahallî şifrelerden daha inançlı kabul edilmesinin sebebi budur.
Windows 10, TPM modülü şurası olmayan bilgisayarlarda çalışabilir. Üstelik Firmware tabanlı TPM emülasyonu özelliğine sahip olan, lakin bu özelliğin UEFI BIOS’larında devre dışı bırakıldığı bilgisayarlarda da çok güzel bir biçimde ve tek bir ikaz olmadan çalışır. Örnek olarak 9. jenerasyon Gigabyte Z390 anakartı “Intel Platform Trust Technology” özelliğini takviyeler, lakin bu özellik için var iseyılan ayar “kapalı”dır. Bu özellikten yararlanmak için BIOS ayarları içerisinde, “Settings” sekmesindeki “Diğer” (Miscellaneous) kısmında yer alan “Intel Platform Trust Technology (PTT)” ayarını manuel olarak etkin hale getirmeniz gerekiyor.
Gigabyte Z390 anakartta Intel Platform Trust Technology (PTT) özelliği BIOS altından devreye alınabilir.
TPM eksik yahut devre dışıyken de Windows, PIN tabanlı oturum açmayı kullanmaya devam edebilir. Microsoft bunun parola tabanlı kimlik doğrulamasından daha inançlı olduğunu sav ediyor.
Bir TPM olmadan ya da TPM bilgisayarın UEFI BIOS’unda açıkça etkinleştirilmemiş ve Windows işletim sistemine sağlanmamış ise, hesap PIN kodu, Microsoft’un “PIN, niye Çevrimiçi Bir Paroladan Daha Düzgündür?” isimli makalesinde tez ettiği üzere aygıta bağlı değildir. Buna ek olarak bilgisayarın UEFI BIOS’unda bilgisayarın TPM’i, Intel Platform Trust Technology yahut AMD fTPM’i (firmware Trusted Platform Module) etkinleştirilmemişse ve bu modülü devre dışı bırakmak için mantıklı niçinler var ise, PIN kodu lokal kullanıcı ayrıntıları bilgi tabanında ön belleğe alınır ve şimdi kullanıcı parolasıyla birebir biçimde, brute-force (kaba kuvvet) saldırısı yapılarak ele geçirilebilir.
Elcomsoft, Windows kurulumunu bilgisayarlar içinde taşıyarak ve bir PIN aracılığıyla oturum açmaya çalışarak PIN tabanlı kimlik doğrulamasının güvenilirliğini teyit etmek için birkaç test gerçekleştirdi. Bu testlerin sonuçlarını aşağıda sizlerle paylaşıyoruz.
1. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, fizikî disk takası usulüyle TPM’siz bir sistemden diğer bir TPM’siz sisteme (i7-4700S) taşındı. Bilgisayarın bir daha başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
2. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 suramı, disk klonlaması usulüyle TPM’siz bir sistemden diğer bir TPM’siz sisteme (i7-4700S) taşındı. Orjinal sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın bir daha başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
3. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 suramı, disk klonlaması tekniğiyle TPM’siz bir sistemden TPM’in aktifleştirildiği bir sisteme (i7-9700K) taşındı. Özgün sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın bir daha başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
4. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 heyetimi, disk klonlaması yoluyla TPM’in faal olduğu bir sistemden TPM’in aktif olduğu diğer bir sisteme (i9-12900K) taşındı. Yeni sistemde PIN ile kimlik doğrulaması başarısız oldu, parola tabanlı oturum açma gerekliydi ve PIN ile oturum açmayı bir daha aktifleştirmek için PIN kodunun kaldırılması ve bir daha girilmesi gerekiyordu.
Bu testler gösteriyor ki, şayet kaynak sistem bir TPM’e sahip değilse, PIN kodu donanıma bağlı değildir. Şayet kaynak sistemde TPM sağlanmış ve etkinleştirilmişse, PIN kodu nitekim de donanıma bağlıdır.
8. kuşak ya da daha yeni bir Intel işlemci yahut AMD Zen ya da daha yeni bir AMD işlemci barındıran bir fazlaca taşınabilir bilgisayar (Windows dizüstü bilgisayarlar, tabletler ve 2’si1 ortada aygıtlar), birçok donanım üreticisi üretici tarafınca var iseyılan olarak aktifleştirilmiş olan Firmware tabanlı muteber platformla donatılmıştır. Bu, birçok taşınabilir bilgisayarın ek müdafaa için TPM’i kullanabileceği manasına gelir.
Masaüstü bilgisayarlar için de birebir dizüstü bilgisayarlar için olduğu üzere, 8. kuşak Intel ve AMD Zen’den beri Firmware tabanlı sağlam platform mevcuttur. Lakin birden fazla AMD anakartı ve 12. kuşak Alder Lake’dilk evvelki Intel yonga setleri için var iseyılan olarak devre dışı bırakılmıştır. Bu stil anakartlara sahip kullanıcıların TPM özelliğini kullanabilmeleri için bilgisayarlarının UEFI BIOS’unda fTPM (AMD) ya da Intel Platform Trust Technology’yi (PTT) manuel olarak etkinleştirmeleri gerekir.
8. ila 11. jenerasyon Intel işlemcilere sahip birçok masaüstü bilgisayar, TPM emülasyonu ile donatılmıştır. Bu masaüstü bilgisayarların birçoğunda Intel Platform Trust Technology (PTT) var iseyılan olarak devre dışı bırakılmıştır. En yeni AMD anakartları da fTPM teknolojisine sahiptir, lakin bu özellik de var iseyılan olarak devre dışı bırakılmıştır.
Not: Orjinal donanım üreticileri (OEM’ler), Windows 11 yeterince BIOS güncellemelerinde donanım yazılımı tabanlı TPM’i etkinleştirmeye başladı.
Windows 10 kullanıcıları da Windows 11 kullanıcıları üzere parolasız kimlik doğrulaması özelliğini kullanabilirler. Fakat bu özellik, bulut tabanlı, hesap çapında bir ayar haline gelecek ve kullanıcıların çevrimiçi Microsoft hesaplarında oturum açarlarken parola kullanma gerekliliğini ortadan kaldıracaktır.
Parolasız kimlik doğrulamalarını kullanabilmeleri için Windows 10 kullanıcılarının Microsoft hesaplarında çevrimiçi olarak ek güvenlik ayarlarını düzenlemeleri gerekiyor. Bunun için Microsoft hesabınız açıkken profil fotoğrafınıza tıkladığınızda karşınıza çıkan “Microsoft hesabım” seçeneğine tıklayarak hesap ayarlarına gitmeniz ve buradaki “Güvenlik” kısmının altındaki “Ek Güvenlik Seçenekleri”ne tıklamanız gerekiyor. sonrasındasındasında karşınıza aşağıda paylaşmış olduğumuz görseldeki “Ek Güvenlik” kısmının bulunduğu sayfa gelecek. Buradaki “Parolasız Hesabı” kısmından parolasız oturum açma özelliğini faal hale getirebilirsiniz.
Microsoft Hesabındaki ek güvenlik ayarları.
Parolasız oturum açma seçeneğiyle alakalı daha fazla bilgi edinmek için Microsoft’un internet sitesinde yer alan “Microsoft Hesabınızla Parola kullanması Nasıl Olur?” isimli yazıya göz atabilirsiniz.
Microsoft’un internet sitesindeki “Dokümantasyon” kısmında yer alan “Windows, Sağlam Platform Modülü’nü (TPM) Nasıl Kullanır?” başlıklı makalede açıklandığine bakılırsa Windows, anahtar müdafaasından aygıt şifrelemesine kadar çeşitli nazaranvler için güvenlik yardımcı işlemcisini kullanabilir. Buna karşın Elcomsoft’un yapmış olduğu testlerden elde ettiği izlenimlere nazaran, Windows’taki TPM teknolojisinin pratikte kullanması, Microsoft’un sav etmiş olduğu kadar yaygın değil.
Örneğin Microsoft Edge parolaları, DPAPI (Data Protection Application Programming Interface / Bilgi Muhafaza Uygulama Programlama Arayüzü) aracılığıyla yönetilen bir anahtarla korunur. Şayet bu anahtar TPM ile korunsaydı, davetsiz bir konuk, disk manzarası şifrelenmemiş olsa bile, disk imgesini tahlil ederek internet tarayıcısındaki parolaları ele geçiremezdi. Lakin Windows 11’de bile bu DPAPI anahtarı TPM muhafazalı değildir ve rastgele bir saldırgan, bir kullanıcının Windows hesabı parolasını kullanarak o kullanıcının Microsoft Edge tarafınca depolanmış olan bütün parolalarını ele geçirebilir.
Microsoft, bütün DPAPI anahtarlarını TPM’e taşımak yerine, parola kullanmayan yeni bir Windows kimlik doğrulaması seçeneği sunarak bu sorunu çözmeye çalışıyor. TPM muhafazalı parolasız kimlik doğrulaması ile, parolalar ya da PIN kodları, hash işlevi (karma fonksiyonu yahut özet işlevi: değişken uzunluklu dataları, sabit uzunluklu datalara eşlemek için kullanılan fonksiyon) uygulanmış olsun yahut olmasın bilgisayarın sabit şoföründe depolanmaz. Bunun yerine anahtarlar, TPM modülü -ya da bildiğimizden daha az inançlı olmayan donanım yazılımı emülasyonu- tarafınca korunur.
Bu durum, birkaç kıymetli sonuca niye olur. birinci vakit içinderda bariz olan şey şudur: Windows 11 işletim sistemine sahip olan bir bilgisayar parolasız oturum açma özelliği etkinleştirilirse, çevrim dışı brute-force (kaba kuvvet) saldırısı, kontaklı hesapların parolaları ve PIN’leri için uygulanamaz hale gelir.
Parolasız bir hesabı, lokal bir Windows hesabına dönüştürmek ve bu hesaba bilinen bir parola atamak teknik olarak mümkündür. Lakin bu süreç gerçekleştirildikten daha sonra, DPAPI anahtarları kaybolur ve bu durum, bir hayli korunan bilginin (Edge parolaları ve NTFS ile şifrelenmiş evraklar da dahil olmak üzere) bu tıp bir dönüştürmeden daha sonra kalıcı olarak kullanılamaz hale geleceği manasına gelir. Fakat bir daha de bu sorunun üstesinden gelmek için bir araç mevcut ve bir daha sonraki kısımda sizlere bu araçtan kelam edeceğiz.
Hem evet birebir vakitte hayır. Bu soruyu tam olarak yanıtlamadan evvel, Windows 11 işletim sistemindeki TPM ihtiyacının, sistem kısmının otomatik BitLocker şifrelemesine dayandığına dair yaygın bir yanılgıyı ortadan kaldırmamız gerek. Gerçekte durum hiç de bu biçimde değil.
Windows 11’in var iseyılan şifreleme prensipleri, Windows 10’da (ve ondan evvelki Windows 8.1’de) gördüklerimizden biraz farklı. Rastgele bir Windows sürümüne sahip olan dizüstü bilgisayarlar ve 2’si1 ortada aygıtlar üzere birden fazla taşınabilir aygıt, BitLocker Aygıt Şifrelemesi ile otomatik olarak şifrelenirken, TPM’den yahut Windows 11’in yükseltme ya da yeni yükleme olmasından bağımsız olarak masaüstü bilgisayarlar için bu durum geçerli değil. Windows 11 Pro, Enterprise ve Education sürümlerinin kullanıcıları; sistem kısmını manuel olarak şifreleyebilirlerken Windows 11 Home sürümüne sahip olan kullanıcılar, bu seçeneğe sahip olmayacak.
BitLocker, TPM ile şoförleri şifreleyebiliyor.
Eğer Windows sistem kısmında BitLocker şifrelemesi etkinleştirilmişse, gerekli hesabın bilgi tabanı belgelerine erişmek için evvel BitLocker ünitesinin kilidini açmanız gerekecektir. Windows 11 işletim sistemi var iseyılan olarak TPM gerektirdiği için TPM modülünün konseyi olduğunu (atanmış ve entegre TPM aygıtları ya da işlemci emülasyonu içinde pratikte bir fark yoktur) ve şifreleme anahtarının TPM’de depolandığını var iseyabiliriz. Bilgisayarı farklı bir işletim sistemi ile başlatmış olduğunızda TPM şifreleme anahtarı ortaya çıkmaz. TPM tabanlı sistem şoförü şifrelemesi için parola koruyucusu kullanılmadığından da parolayı ele geçirmek maksadıyla rastgele bir taarruz yapılamaz.
Bu cins BitLocker ünitelerinin kilidini açmanın tek yolu “BitLocker Kurtarma Anahtarı”nı kullanmaktır. BitLocker Aygıt Şifrelemeli taşınabilir aygıtlar için Windows, sistem kısmını şifrelerken otomatik olarak bir kurtarma anahtarı oluşturur. Bu kurtarma anahtarı, o bilgisayarda yönetici ayrıcalıklarıyla oturum açan ve -yerel bir Windows hesabı yerine- Microsoft hesabı kullanıcı ayrıntılarını kullanan birinci kullanıcının Microsoft hesabına otomatik olarak yüklenir. Bu anahtarı Microsoft’tan isteyebilir ya da kelam konusu kullanıcının Microsoft hesabında oturum açtıktan daha sonra, burada paylaşmış olduğumuz ilişkide yer alan sayfayı ziyaret ederek indirebilirsiniz.
aynı vakitte masaüstü bilgisayarlar için kurtarma anahtarı bir daha de kullanıcının Microsoft Hesabında bulunabilir. Değilse, etkilenen üniteye erişebilmek için o anahtarı bulmanız gerekir. Kullanıcının bir yahut daha fazla ek koruyucuyu (“parola” gibi) aktifleştirmiş olması epeyce küçük bir ihtimaldir; Etkilenen üniteden şifreleme meta datalarını çıkarmak için Elcomsoft System Recovery kullanarak bunu denetim edebilirsiniz.
Windows 11 işletim sisteminin yüksek sistem ihtiyaçlarıyla ilgili tartışmalara karşın Microsoft yanlışsız olanı yaptı. TPM muhafazasıyla bir arada parolasız kimlik doğrulamasının kullanılması, Windows hesaplarının güvenliğini sağlamak için fazlaca büyük yarar sağlayacaktır.
aynı vakitte var iseyılan şifreleme prensiplerinde rastgele bir değişiklik görülmedi. BitLocker Aygıt Şifrelemesi, sadece taşınabilir aygıtlarda hâlâ geçerlidir. Masaüstü bilgisayarlarda BitLocker şifrelemesi uygulanmaz ve otomatik olarak etkinleştirilmez. Şayet BitLocker şifrelemesi bir sistem kısmında etkinleştirilirse, ünitenin kilidini açmak ve şifresini çözmek için Windows 10’da olduğu üzere bir daha yanlışsız BitLocker Kurtarma Anahtarı’na gereksiniminiz olacaktır.