Windows 11 Güvenlik Konusunda Neler Vadediyor?

Microsoft’un en yeni işletim sistemi Windows 11 geçtiğimiz haftalarda kullanıma sunuldu. Bu bağlamda işletmelerin bugünlerde gündemlerinde Windows 10 veya daha eski sürümlerden Windows 11’e ne zaman geçmeleri gerektiği konusu var. Tabii bu karar her işletmenin ihtiyaçlarına göre değişecektir. Diğer yandan işletmeler yeni Windows’a geçme konusunda adım atmadan önce Microsoft’un güvenlik konusunda neler vadettiğini de bilmek isteyebilir…

Microsoft donanım için yüksek bir çıta belirledi…

Microsoft başlangıçta potansiyel Windows 11 kullanıcılarının bilgisayarları için çok yüksek bir çıta belirledi. Bu sıkı donanım gereksinimleri sanal makinelere bile uzanıyor. Aslında Microsoft, Windows 10‘da isteğe bağlı bir dizi teknolojinin zorunlu veya Windows 11’de varsayılan (halihazırda bulunur durumda) olması için mevcut Güvenli bilgisayar standartlarını yeni temel çizgi haline getiriyor. Bununla birlikte donanım gereksinimleri kullanıcıları yalnızca kısa bir süre için zorlayacak gibi. Zira dünün katı donanım gereksinimlerinin hızla bugünün temel özelliklerine dönüşeceği duyulan inanç bir hayli yüksek.
Yeni işletim sisteminin donanım gereksinimlerinden üçü, güvenlik konusunda birbirine bağlı roller oynuyor:

VBS artık Microsoft’un güvenlik yaklaşımında temel unsur

Windows 11 kullanabilmek için temel olarak sanallaştırma uzantılarına ve en az iki çekirdeğe sahip 64 bit, 1 GHz işlemci ve HVCI uyumlu sürücülere ihtiyaç var. Pratikte bu, 8. nesil Intel işlemci, AMD Zen 2 veya Qualcomm Snapdragon 8180 gerektirdiği anlamına geliyor.

Bunun nedeni, Sanallaştırma Tabanlı Güvenliğin (VBS), Microsoft’un güvenlik yaklaşımında temel bir kavram haline gelmesi. VBS, Windows’u bir hiper-yönetici üzerinde çalıştırıyor ve bu, daha sonra ana işletim sisteminden izole edilmiş güvenli alanlar oluşturmak için konuk işletim sistemlerini ayrı tutan aynı teknikleri kullanıyor. Bunu yapmak, donanım tabanlı sanallaştırma özellikleri ve performanstaki düşüşü fark etmeyeceğiniz yeterli gücü gerektiriyor.

VBS temelli güvenlik sistemi şu özellikleri içerir:

• Windows çekirdeğini ve sürücülerini korumak ve çekirdek belleği salt okunur olarak işaretlemek için VBS kullanan Çekirdek Veri Koruması.
• Çekirdek virüslerine ve kötü amaçlı yazılımlara karşı daha güçlü koruma sağlaması gereken, yalıtılmış bir ortamda kod bütünlüğü denetimlerini çalıştıran Bellek Bütünlüğü.
• Application Guard, güvenilmeyen web sitelerini ve ofis belgelerini yalıtmak için sanallaştırmayı kullanan, bunların neden olabilecekleri zararı sınırlayan Edge ile Microsoft Office için koruyucu bir sanal alan.
• Credential Guard, Yerel Güvenlik Yetkilisi Alt Sistem Hizmetini sanal bir kapsayıcıda çalıştırır ve bu, siber saldırganların kimlik bilgilerini atmasını ve bunları saldırılarında kullanmasını engeller.
• Windows Hello Gelişmiş Oturum Açma, biyometrik yazılımı yalıtmak ve kamera ve TPM gibi harici bileşenlere güvenli yollar oluşturmak için VBS’yi kullanır.

Birleşik Genişletilebilir Ürün Yazılımı Ara yüzü (UEFI)

Birleşik Genişletilebilir Ürün Yazılımı Arayüzü anlamına gelen UEFI, işletim sistemi olmadığında donanımı kontrol eden bir yazılım olan BIOS’un yerine tasarlanan bir özellik şeklinde özetlenebilir. BIOS’un günümüzdeki hali demek de mümkün. Güvenlik açısından, UEFI’nin temel özelliği, önyükleme sürecinde kullanılan yazılımın dijital imzalarını kontrol eden Güvenlik Önyükleme’sidir. İşletim sisteminden önce yüklenen bootkit’lere ve işletim sistemini değiştiren rootkit’lere karşı koruma sağlar.

Güvenilir Platform Modülü 2.0 (TPM 2.0)

TPM (Güvenilir Platform Modülü), sisteminizin (PC veya dizüstü bilgisayarınız) kimliğini doğrulamak için kullanılan yapıları güvenli bir şekilde depolayabilen bir bilgisayar çipidir (mikrodenetleyici de denir). Depoladığı veriler içinde parolalar, sertifikalar veya şifreleme anahtarları yer alabilir.

TPM, fiziksel bir çip olduğundan sistemde donanımsal olarak var olmalıdır. Bu çip genelde masaüstü sistemlerde yer almaz, fakat bazı anakartlara takılabilir. Windows 11 şu anda Pro sürüm için TPM 2.0 çipini zorunlu kılıyor. Windows 11’de, Measured Boot; BitLocker (Windows Home’da Cihaz Şifrelemesi); Windows Defender Sistem Koruması; Cihaz Sağlık Onayı; Windows Hello ve çok daha fazlası kullanıcıları bekliyor.

Windows 11’de öne çıkan diğer yenilikler

Tüm bunlar dışında yeni Windows’un güvenlik konusundaki diğer öne çıkan özelliklerine kısaca bakalım…

Donanım Tarafından Zorlanan Yığın Koruması

Windows 11, Windows 10’da sunulan Donanım Tarafından Zorlanan Yığın Korumasını genişleterek kullanıcı modunda olduğu kadar çekirdek modunda da çalışan kodu koruyor. Çağrı yığınının dönüş adresleri listesini yansıtan bir “gölge yığını” oluşturarak kontrol akışının ele geçirilmesini önlemek için tasarlanmış. Kontrol, çağrı yığınındaki bir dönüş adresine aktarıldığında, değişmediğinden emin olmak için gölge yığınına karşı kontrol ediliyor, hata varsa ortaya çıkıyor.

Pluton

Windows 11, etkileyici bir şekilde adlandırılan Pluton, TPM mimarisini benimsemeye hazır hale geliyor. 2013’ten beri Xbox One oyun konsolunun bir özelliği olan Pluton, adım adım PC’lere geliyor. Pluton, işlemci (CPU) ile TPM arasındaki iletişim kanalını hedef alan fiziksel saldırıları önleyen, doğrudan CPU‘nun içine yerleştirilmiş güvenlik yongasıdır. Pluton, mevcut TPM’lerle de geriye dönük olarak uyumludur. Microsoft’a göre, Pluton, anahtarların korunan donanımın dışında, hatta Pluton ürün yazılımının kendisine bile maruz kalmamasını sağlamaya yardımcı olan benzersiz Güvenli Donanım Şifreleme Anahtarı (SHACK olarak isimlendiriliyor) teknolojisini de sağlıyor.

Microsoft Azure Onayı (MAA)

Sıfır Güven/Zero Trust’tan bahsetmeden 2021’de güvenlikle ilgili hiçbir tartışma tamamlanmış sayılmaz. Windows 11, bir sistemin donanım ve yazılımının bütünlüğünü uzaktan doğrulayabilen MAA için kullanıma hazır destekle birlikte geliyor. Microsoft, bunun kuruluşların “buluttaki hassas kaynaklara erişirken Sıfır Güven ilkelerini uygulamalarına” imkân vereceğini söylüyor.

Ve son sözler…

Devrim mi, evrim mi?

Birkaç yıldır Microsoft’un Windows güvenliğine yaklaşımı, tüm donanım ve yazılımın sıfırdan bütünlüğünü sağlayan bir güven zinciri oluşturmak üzerine. Windows‘un en son sürümü, bu yaklaşımı ‘varsayılan’ hale getirmeye çalışıyor ve çalışması için de gerekli donanımı kullanıcılardan bekliyor.

Windows 11 ile Microsoft, PC platformunun güvenlik tabanını yükseltmek için agresif bir girişimde bulunuyor ve bu da aslında herkesin güvenliği için iyi bir adım.

Gelişmiş Kalıcı Tehdit (APT) grupları, zorlu savunmalardan geçmenin bir yolunu bulabilecek kadar iyi durumda, fidye yazılımı çeteleri, sistemdeki en zayıf halkaları bulmakta gayet iddialı ve BEC gibi sosyal mühendislik biçimleri, teknoloji çözümlerine karşı herkesin bildiği gibi oldukça dirençli. Bununla birlikte şunu açıkça belirtmekte yarar var; Microsoft’un, tüm güvenlik açıklarını ortadan kaldırma konusundaki takdir edilen çabaları sürse de, yeni riskler ortaya çıkmaya devam edecektir.

Windows’un eski sürümlerinden yeniye geçiş eninde sonunda kaçınılmazdır ve Windows 10 için genel destek Ekim 2025’te sona erdiğinde, kullanıcılar için yeni Windows şüphesiz daha güvenli olacaktır. Ancak uzmanlar işletmelerin Windows 10’dan yavaş yavaş uzaklaşmasını bekliyor, bu da Windows 11’in geniş çapta benimsenmesinin getireceği güvenlik avantajlarını beraberinde getirecektir.