Windows 11 artırılmış hesap muhafazası, parolasız oturum açma ve donanım tabanlı güvenlik sunuyor. Pekala Windows 11’de Windows 10’a kıyasla neler değişti, bu değişiklikler isimli bilgi çıkarma ve tahlili nasıl etkiliyor ve TPM (Trusted Platform Module / Sağlam Platform Modülü) tabanlı müdafaanın üstesinden ne ölçüde gelinebilir? Tüm bu soruların yanıtlarını Elcomsoft’un bu mevzuda hazırladığı makaleden yola çıkarak sizlere aktarmaya çalışacağız.
Eğer bu yazımızı okumadan evvel TPM hakkında daha fazla bilgi edinmek istiyorsanız, Windows 11 ile Duyulan TPM Nedir, Ne İşe Fayda? başlıklı yazımıza da göz atabilirsiniz.
Eskiden Windows kullanıcıları bir parola aracılığıyla bilgisayarlarında oturum açarlardı. Lokal Windows hesabı, Windows 7 ve evvelki Windows sürümlerinde kimlik doğrulamanın tek yoluydu.
Ancak Windows 8’den itibaren Microsoft, kullanıcıların Microsoft hesaplarına ilişkin çevrimiçi kimlik bilgilerini kullanarak oturum açmalarına imkan tanıyan yeni bir metodu kullanıma sundu. Microsoft, muhakkak Windows sürümlerinin mahallî bir hesapla yüklenemeyeceği ve artık çevrimiçi hesapların mecburî olduğu bir noktaya kadar işletim sistemini güncellemeye devam etti. Bugün artık rastgele bir Microsoft hesabına ilişkin kullanıcı bilgileri, Windows 8, Windows 10 ya da Windows 11 işletim sistemine sahip rastgele bir bilgisayarda oturum açmak için kullanılabiliyor.
Hesaba ilişkin kullanıcı bilgileri kimlik doğrulama emeliyle Microsoft’a gönderildiği için birinci kere Microsoft hesabıyla oturum açma süreci, aktif bir internet kontağı gerektirir. Microsoft hesabı parolası daha sonra çevrimdışı oturum açma süreçlerini kolaylaştırmak için lokal bilgisayarda ön belleğe alınır. Bu da rastgele bir bilgisayar korsanının parolayı kaba kuvvet akınıyla ele geçirmesine ve kullanıcının OneDrive hesabında sakladığı fotoğraflar ve evraklar, Skype konuşmaları, tarama geçmişi, Edge tarayıcısı tarafından tutulan tüm parolalar ve çok daha ziyadesiyle birlikte Microsoft hesabının tüm içeriğine erişmesine imkan tanır. Bir bilgisayarın NTLM data tabanına yapılan yüksek süratli bir çevrimdışı atak, hassas ferdî bilgiler içeren bir çevrimiçi hesabın parolasını kırabilir.
Elbette iki faktörlü kimlik doğrulamanın kullanılması, en berbat senaryonun önüne geçilmesine yardımcı olabilir. Lakin parolanın brute-force taarruzuyla ele geçirilmesi, Edge tarayıcısında depolanmış olan parolalar da dahil olmak üzere kullanıcının Windows hesabındaki her şeyin açığa çıkmasına neden olur. Microsoft, PIN ve Windows Hello kimlik doğrulaması üzere usulleri kullanıma sunarak bu sorunun önüne geçmeye çalıştı. Lakin bu kimlik doğrulama yollarını destekleyecek genel donanım eksikliği, bu tekniklerin nispeten etkisiz hale gelmesine neden oldu.
Bu durum pek kabul edilebilir değildi ve bundan ötürü Microsoft, bir Microsoft hesabını kullanmaya devam edecek, lakin ön belleğe alınmış kullanıcı bilgileriyle bağlı güvenlik riskini azaltacak alternatif bir oturum açma usulü üzerinde çalışmaya başladı. Bunun üzerine Eylül 2021’de şirket, parolasız kimlik doğrulama özelliğini duyurdu. Şu anda Windows 11, oturum açmak için parola gerektirmeyen yeni bir hesap tipi ekleyerek her kullanıcıya parolasız oturum açma imkanı tanıyor.
Microsoft, parolasız oturum açma özelliğini parolalara kıyasla daha inançlı bir kimlik doğrulama seçeneği olarak görmekte. Parolasız kimlik doğrulamanın aktifleştirilmesi, yetkisiz bir kişinin, kullanıcının mevcut lokal yahut bulut tabanlı Microsoft hesabı parolasını bilerek (ya da brute-force saldırısı uygulayarak) mahallî bir bilgisayara erişme mümkünlüğünü otomatik olarak devre dışı bırakıyor.
Windows Hello, Microsoft Authenticator uygulaması, SMS ya da e-posta kodları ve fizikî güvenlik anahtarları üzere parolasız tahliller, daha inançlı ve kullanışlı bir oturum açma prosedürü sağlıyor. Parolalar iddia edilebilir ve çalınabilirken, parmak izi doğrulamasını sırf siz sağlayabilirsiniz yahut yanlışsız vakitte cep telefonunuzdan yanlışsız cevabı sadece siz verebilirsiniz.
Genel (etki alanı dışındaki) kullanıcılar için şu anda Windows 11’de kullanılabilen üç cins hesap vardır:
- [Varsayılan] Parolasız Microsoft Hesabı: Oturum açmak için parola kullanılamaz. Kullanıcılar; PIN (TPM’e bağlı), Windows Hello ya da Microsoft Authenticator uygulaması aracılığıyla online olarak kimlik doğrulaması yaparlar.
- Microsoft Hesabı (Şifre Etkin): Kullanıcılar; PIN (TPM), Windows Hello yahut Microsoft hesabı parolalarını kullanarak kimlik doğrulaması yapabilirler.
- Yerel Windows Hesabı (Şifre Etkin): Kullanıcılar; parola, PIN (TPM) ya da Windows Hello aracılığıyla kimlik doğrulaması yapabilirler.
Windows 11, hem parolalı hem de parolasız oturum açmaya müsaade veriyor. Parolasız mod, yeni bir Windows 11 sistemi yapılandırırken yahut mevcut Windows 11 kurulumuna yeni bir hesap eklerken yeni varsayılandır. Windows 10’dan Windows 11’e yükseltme sırasında taşınan kullanıcı hesapları ise mevcut kimlik doğrulama özelliklerini korur.
Windows 11 kullanıcıları parola tabanlı ya da parolasız oturum açmayı manuel olarak seçebilirler ve buradaki varsayılan ayarlar şu biçimdedir:
- Yeni Windows 11 Kurulumları: Microsoft hesabı ve parolasız oturum açma.
- Windows 10’dan Windows 11’e Geçiş: Parola tabanlı oturum açma süreci taşınır ve mevcut kimlik doğrulama yolunu yine kullanılır.
- Windows 10’dan Geçiş Yaptıktan Sonra Windows 11’de Oluşturulan Yeni Hesaplar: Microsoft hesabı ve parolasız oturum açma.
Kullanıcıların rastgele bir vakitte sırf bir ayarı değiştirerek parolalı ve parolasız oturum açma ortasında kolaylıkla geçiş yapabileceklerini de hatırlatalım.
Bununla birlikte kullanıcılar “Kayıt Defteri”ndeki bir girişi değiştirerek de parolalı ve parolasız oturum açma seçenekleri ortasında geçiş yapabilirler.
İlginç bir formda Windows 10 da TPM (Güvenilir Platform Modülü) tabanlı oturum açma müdafaasını kullanabilir ve kullanıyor da. Bilgisayarın UEFI BIOS’unda sağlanan ve aktifleştirilen bir TPM modülü ya da TPM emülasyonu bulunuyorsa, Windows 10, PIN tabanlı kimlik doğrulaması için donanım müdafaasından yararlanır. Lakin olayın tümü bu kadarla hudutlu değil.
Modül sisteme heyetiyse ya da emülasyonu yapılmışsa Windows 10, TPM 2.0’ın özelliklerini kullanabilir. Microsoft’un internet sitesinde Windows güvenliği ile ilgili olarak yer alan “PIN, Neden Çevrimiçi Bir Paroladan Daha Güzeldir?” isimli makalede, PIN tabanlı hesap muhafazasının parola tabanlı kimlik doğrulamasından daha yeterli olduğu argüman ediliyor. Bunun sebepleri ise şu iki formda açıklanıyor:
PIN, Donanıma Bağlıdır: Bir çevrimiçi parola ile Hello PIN’i ortasındaki değerli farklardan biri, PIN’in ayarlandığı belli bir donanıma bağlı olmasıdır. Bu PIN, o spesifik donanıma sahip olmayan hiç kimse için işe yaramaz.
PIN, Donanım Tarafından Desteklenir: Windows Hello PIN’i, şifreleme süreçlerini gerçekleştirmek için tasarlanmış inançlı bir şifreleme işlemcisi olan TPM (Güvenilir Platform Modülü) yongası tarafından desteklenir. Bu yonga, istenmeyen müdahalelere karşı güçlü olması için birden fazla fizikî güvenlik sistemi içerir ve berbat emelli yazılımlar, TPM’in güvenlik fonksiyonlarına müdahale edemezler. Pek çok çağdaş aygıtta TPM bulunur. Öteki bir yandan Windows 10 ise lokal parolaları TPM’e bağlamama kusuruna sahiptir. İşte Microsoft tarafından PIN’lerin mahallî şifrelerden daha inançlı kabul edilmesinin nedeni budur.
Windows 10, TPM modülü konseyi olmayan bilgisayarlarda çalışabilir. Üstelik Firmware tabanlı TPM emülasyonu özelliğine sahip olan, lakin bu özelliğin UEFI BIOS’larında devre dışı bırakıldığı bilgisayarlarda da pek güzel bir biçimde ve tek bir ihtar olmadan çalışır. Örnek olarak 9. kuşak Gigabyte Z390 anakartı “Intel Platform Trust Technology” özelliğini dayanaklar, lakin bu özellik için varsayılan ayar “kapalı”dır. Bu özellikten yararlanmak için BIOS ayarları içerisinde, “Settings” sekmesindeki “Diğer” (Miscellaneous) kısmında yer alan “Intel Platform Trust Technology (PTT)” ayarını manuel olarak etkin hale getirmeniz gerekiyor.
TPM eksik yahut devre dışıyken de Windows, PIN tabanlı oturum açmayı kullanmaya devam edebilir. Microsoft bunun parola tabanlı kimlik doğrulamasından daha inançlı olduğunu argüman ediyor.
Bir TPM olmadan ya da TPM bilgisayarın UEFI BIOS’unda açıkça etkinleştirilmemiş ve Windows işletim sistemine sağlanmamış ise, hesap PIN kodu, Microsoft’un “PIN, Neden Çevrimiçi Bir Paroladan Daha Yeterlidir?” isimli makalesinde sav ettiği üzere aygıta bağlı değildir. Buna ek olarak bilgisayarın UEFI BIOS’unda bilgisayarın TPM’i, Intel Platform Trust Technology yahut AMD fTPM’i (firmware Trusted Platform Module) etkinleştirilmemişse ve bu modülü devre dışı bırakmak için mantıklı nedenler varsa, PIN kodu lokal kullanıcı bilgileri data tabanında ön belleğe alınır ve çabucak hemen kullanıcı parolasıyla tıpkı formda, brute-force (kaba kuvvet) saldırısı yapılarak ele geçirilebilir.
Elcomsoft, Windows kurulumunu bilgisayarlar ortasında taşıyarak ve bir PIN aracılığıyla oturum açmaya çalışarak PIN tabanlı kimlik doğrulamasının güvenilirliğini teyit etmek için birkaç test gerçekleştirdi. Bu testlerin sonuçlarını aşağıda sizlerle paylaşıyoruz.
1. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, fizikî disk takası tekniğiyle TPM’siz bir sistemden öbür bir TPM’siz sisteme (i7-4700S) taşındı. Bilgisayarın yine başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
2. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 heyetimi, disk klonlaması tekniğiyle TPM’siz bir sistemden öbür bir TPM’siz sisteme (i7-4700S) taşındı. Yepyeni sistemden geriye ne tek bir donanım modülü ne de ön yükleme şoförü kalmıştı. Bilgisayarın yine başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
3. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, disk klonlaması sistemiyle TPM’siz bir sistemden TPM’in aktifleştirildiği bir sisteme (i7-9700K) taşındı. Yepyeni sistemden geriye ne tek bir donanım kesimi ne de ön yükleme şoförü kalmıştı. Bilgisayarın yine başlatılması ve yeni sistemde PIN’in girilmesi, başarılı oturum açma ile sonuçlandı.
4. Test: PIN aktifleştirilmiş hesaba sahip bir Windows 10 konseyimi, disk klonlaması usulüyle TPM’in aktif olduğu bir sistemden TPM’in aktif olduğu öteki bir sisteme (i9-12900K) taşındı. Yeni sistemde PIN ile kimlik doğrulaması başarısız oldu, parola tabanlı oturum açma gerekliydi ve PIN ile oturum açmayı yine aktifleştirmek için PIN kodunun kaldırılması ve yine girilmesi gerekiyordu.
Bu testler gösteriyor ki, şayet kaynak sistem bir TPM’e sahip değilse, PIN kodu donanıma bağlı değildir. Şayet kaynak sistemde TPM sağlanmış ve etkinleştirilmişse, PIN kodu hakikaten de donanıma bağlıdır.
8. kuşak ya da daha yeni bir Intel işlemci yahut AMD Zen ya da daha yeni bir AMD işlemci barındıran pek çok taşınabilir bilgisayar (Windows dizüstü bilgisayarlar, tabletler ve 2’si1 ortada aygıtlar), birçok donanım üreticisi üretici tarafından varsayılan olarak aktifleştirilmiş olan Firmware tabanlı emniyetli platformla donatılmıştır. Bu, birden fazla taşınabilir bilgisayarın ek muhafaza için TPM’i kullanabileceği manasına gelir.
Masaüstü bilgisayarlar için de birebir dizüstü bilgisayarlar için olduğu üzere, 8. jenerasyon Intel ve AMD Zen’den beri Firmware tabanlı emniyetli platform mevcuttur. Fakat birçok AMD anakartı ve 12. jenerasyon Alder Lake’den evvelki Intel yonga setleri için varsayılan olarak devre dışı bırakılmıştır. Bu üslup anakartlara sahip kullanıcıların TPM özelliğini kullanabilmeleri için bilgisayarlarının UEFI BIOS’unda fTPM (AMD) ya da Intel Platform Trust Technology’yi (PTT) manuel olarak etkinleştirmeleri gerekir.
8. ila 11. kuşak Intel işlemcilere sahip birçok masaüstü bilgisayar, TPM emülasyonu ile donatılmıştır. Bu masaüstü bilgisayarların birçoğunda Intel Platform Trust Technology (PTT) varsayılan olarak devre dışı bırakılmıştır. En yeni AMD anakartları da fTPM teknolojisine sahiptir, fakat bu özellik de varsayılan olarak devre dışı bırakılmıştır.
Not: Orjinal donanım üreticileri (OEM’ler), Windows 11 mucibince BIOS güncellemelerinde donanım yazılımı tabanlı TPM’i etkinleştirmeye başladı.
Windows 10 kullanıcıları da Windows 11 kullanıcıları üzere parolasız kimlik doğrulaması özelliğini kullanabilirler. Lakin bu özellik, bulut tabanlı, hesap çapında bir ayar haline gelecek ve kullanıcıların çevrimiçi Microsoft hesaplarında oturum açarlarken parola kullanma gerekliliğini ortadan kaldıracaktır.
Parolasız kimlik doğrulamalarını kullanabilmeleri için Windows 10 kullanıcılarının Microsoft hesaplarında çevrimiçi olarak ek güvenlik ayarlarını düzenlemeleri gerekiyor. Bunun için Microsoft hesabınız açıkken profil fotoğrafınıza tıkladığınızda karşınıza çıkan “Microsoft hesabım” seçeneğine tıklayarak hesap ayarlarına gitmeniz ve buradaki “Güvenlik” kısmının altındaki “Ek Güvenlik Seçenekleri”ne tıklamanız gerekiyor. Daha sonrasında karşınıza aşağıda paylaşmış olduğumuz görseldeki “Ek Güvenlik” kısmının bulunduğu sayfa gelecek. Buradaki “Parolasız Hesabı” kısmından parolasız oturum açma özelliğini etkin hale getirebilirsiniz.
Parolasız oturum açma seçeneğiyle alakalı daha fazla bilgi edinmek için Microsoft’un internet sitesinde yer alan “Microsoft Hesabınızla Parola Kullanımı Nasıl Olur?” isimli yazıya göz atabilirsiniz.
Microsoft’un internet sitesindeki “Dokümantasyon” kısmında yer alan “Windows, Sağlam Platform Modülü’nü (TPM) Nasıl Kullanır?” başlıklı makalede belirtildiğine nazaran Windows, anahtar müdafaasından aygıt şifrelemesine kadar çeşitli misyonlar için güvenlik yardımcı işlemcisini kullanabilir. Buna karşın Elcomsoft’un yapmış olduğu testlerden elde ettiği izlenimlere nazaran, Windows’taki TPM teknolojisinin pratikte kullanımı, Microsoft’un sav etmiş olduğu kadar yaygın değil.
Örneğin Microsoft Edge parolaları, DPAPI (Data Protection Application Programming Interface / Bilgi Müdafaa Uygulama Programlama Arayüzü) aracılığıyla yönetilen bir anahtarla korunur. Şayet bu anahtar TPM ile korunsaydı, davetsiz bir konuk, disk imajı şifrelenmemiş olsa bile, disk manzarasını tahlil ederek internet tarayıcısındaki parolaları ele geçiremezdi. Lakin Windows 11’de bile bu DPAPI anahtarı TPM muhafazalı değildir ve rastgele bir saldırgan, bir kullanıcının Windows hesabı parolasını kullanarak o kullanıcının Microsoft Edge tarafından depolanmış olan bütün parolalarını ele geçirebilir.
Microsoft, bütün DPAPI anahtarlarını TPM’e taşımak yerine, parola kullanmayan yeni bir Windows kimlik doğrulaması seçeneği sunarak bu sorunu çözmeye çalışıyor. TPM muhafazalı parolasız kimlik doğrulaması ile, parolalar ya da PIN kodları, hash işlevi (karma fonksiyonu yahut özet işlevi: değişken uzunluklu dataları, sabit uzunluklu bilgilere eşlemek için kullanılan fonksiyon) uygulanmış olsun yahut olmasın bilgisayarın sabit şoföründe depolanmaz. Bunun yerine anahtarlar, TPM modülü -ya da bildiğimizden daha az inançlı olmayan donanım yazılımı emülasyonu- tarafından korunur.
Bu durum, birkaç değerli sonuca yol açar. Birinci olarak bariz olan şey şudur: Windows 11 işletim sistemine sahip olan bir bilgisayar parolasız oturum açma özelliği etkinleştirilirse, çevrim dışı brute-force (kaba kuvvet) saldırısı, irtibatlı hesapların parolaları ve PIN’leri için uygulanamaz hale gelir.
Parolasız bir hesabı, lokal bir Windows hesabına dönüştürmek ve bu hesaba bilinen bir parola atamak teknik olarak mümkündür. Fakat bu süreç gerçekleştirildikten sonra, DPAPI anahtarları kaybolur ve bu durum, pek çok korunan bilginin (Edge parolaları ve NTFS ile şifrelenmiş evraklar da dahil olmak üzere) bu tıp bir dönüştürmeden sonra kalıcı olarak kullanılamaz hale geleceği manasına gelir. Lakin yeniden de bu sorunun üstesinden gelmek için bir araç mevcut ve bir sonraki kısımda sizlere bu araçtan kelam edeceğiz.
Hem evet hem de hayır. Bu soruyu tam olarak yanıtlamadan evvel, Windows 11 işletim sistemindeki TPM ihtiyacının, sistem kısmının otomatik BitLocker şifrelemesine dayandığına dair yaygın bir yanılgıyı ortadan kaldırmamız gerek. Gerçekte durum hiç de bu türlü değil.
Windows 11’in varsayılan şifreleme prensipleri, Windows 10’da (ve ondan evvelki Windows 8.1’de) gördüklerimizden biraz farklı. Rastgele bir Windows sürümüne sahip olan dizüstü bilgisayarlar ve 2’si1 ortada aygıtlar üzere birçok taşınabilir aygıt, BitLocker Aygıt Şifrelemesi ile otomatik olarak şifrelenirken, TPM’den yahut Windows 11’in yükseltme ya da yeni yükleme olmasından bağımsız olarak masaüstü bilgisayarlar için bu durum geçerli değil. Windows 11 Pro, Enterprise ve Education sürümlerinin kullanıcıları; sistem kısmını manuel olarak şifreleyebilirlerken Windows 11 Home sürümüne sahip olan kullanıcılar, bu seçeneğe sahip olmayacak.
Eğer Windows sistem kısmında BitLocker şifrelemesi etkinleştirilmişse, gerekli hesabın bilgi tabanı belgelerine erişmek için evvel BitLocker ünitesinin kilidini açmanız gerekecektir. Windows 11 işletim sistemi varsayılan olarak TPM gerektirdiği için TPM modülünün konseyi olduğunu (atanmış ve entegre TPM aygıtları ya da işlemci emülasyonu ortasında pratikte bir fark yoktur) ve şifreleme anahtarının TPM’de depolandığını varsayabiliriz. Bilgisayarı farklı bir işletim sistemi ile başlattığınızda TPM şifreleme anahtarı ortaya çıkmaz. TPM tabanlı sistem şoförü şifrelemesi için parola koruyucusu kullanılmadığından da parolayı ele geçirmek gayesiyle rastgele bir atak yapılamaz.
Bu çeşit BitLocker ünitelerinin kilidini açmanın tek yolu “BitLocker Kurtarma Anahtarı”nı kullanmaktır. BitLocker Aygıt Şifrelemeli taşınabilir aygıtlar için Windows, sistem kısmını şifrelerken otomatik olarak bir kurtarma anahtarı oluşturur. Bu kurtarma anahtarı, o bilgisayarda yönetici ayrıcalıklarıyla oturum açan ve -yerel bir Windows hesabı yerine- Microsoft hesabı kullanıcı bilgilerini kullanan birinci kullanıcının Microsoft hesabına otomatik olarak yüklenir. Bu anahtarı Microsoft’tan isteyebilir ya da kelam konusu kullanıcının Microsoft hesabında oturum açtıktan sonra, burada paylaşmış olduğumuz irtibatta yer alan sayfayı ziyaret ederek indirebilirsiniz.
Bununla birlikte masaüstü bilgisayarlar için kurtarma anahtarı yeniden de kullanıcının Microsoft Hesabında bulunabilir. Değilse, etkilenen üniteye erişebilmek için o anahtarı bulmanız gerekir. Kullanıcının bir yahut daha fazla ek koruyucuyu (“parola” gibi) aktifleştirmiş olması çok küçük bir ihtimaldir; Etkilenen üniteden şifreleme meta bilgilerini çıkarmak için Elcomsoft System Recovery kullanarak bunu denetim edebilirsiniz.
Windows 11 işletim sisteminin yüksek sistem ihtiyaçlarıyla ilgili tartışmalara karşın Microsoft gerçek olanı yaptı. TPM müdafaasıyla birlikte parolasız kimlik doğrulamasının kullanılması, Windows hesaplarının güvenliğini sağlamak için çok büyük yarar sağlayacaktır.
Bununla birlikte varsayılan şifreleme prensiplerinde rastgele bir değişiklik görülmedi. BitLocker Aygıt Şifrelemesi, sadece taşınabilir aygıtlarda hâlâ geçerlidir. Masaüstü bilgisayarlarda BitLocker şifrelemesi uygulanmaz ve otomatik olarak etkinleştirilmez. Şayet BitLocker şifrelemesi bir sistem kısmında etkinleştirilirse, ünitenin kilidini açmak ve şifresini çözmek için Windows 10’da olduğu üzere tekrar yanlışsız BitLocker Kurtarma Anahtarı’na gereksiniminiz olacaktır.