5 Ekim 2021 tarihi ile Windows 11 tüm dünyada kullanıma sunuldu ve birçok kişi Windows 11‘i kullanmaya başladı. Yıllardır Windows‘un insider programlarına katılarak ürünün kullanıma sunulan ilk halinden son haline kadar geliştirilmesini izleyen ve bu geliştirmeye katkıda bulunmayı hobi geline getiren biri olarak 5 Ekim‘deki son sürümü bende hemen indirip kullanmaya başladım.
Aslına bakarsanız en çok merak ettiğim konu Windows 11‘deki güvenlik özellilklerinin neler olduğu ve bu korumaların hayatımıza neler katacağıydı. Windows işletim sistemlerinin (Windows XP‘den Windows 10‘a kadar onlarca client eğitimi veren bir eğitmen / danışman olarak) güvenlik çözümlerini incelemek benim için ayrı bir merak konusu oluyor. Windows 10 ile gelen kurumsal güvenlik özelliklerini 6 sene önce birçok etkinlikte bu şekilde anlatmışım ve bugün en yeni Windows sürümünün yani 11’in güvenlik özelliklerini sizlere anlatacağım.
Sanırım son 2 yılda tüm dünya’nın çalışma alışkanlıklarını değiştiren covid salgını, hepimizi daha fazla dijitale, uzaktan veya hibrit çalışma modellerine yöneltti. Tabi bu kadar büyük bir çalışma alışkanlığının değişimi ile (bu arada sadece çalışma demek doğru olmayacaktır, eğitim, eğlence, iletişim ve diğer birçok alışkanlığımızın artık daha farklı bir noktaya geldiğini söylemem yanlış olmayacaktır.) Windows 11, yeni hibrit çalışma çağına en uygun şekilde tasarlanmış ve Zero Trust* ilkelerine sahip bir yapıda gelmektedir. En basit tanımla Zero Trust *, güvenlik ve bütünlük kanıtlanana kadar hiçbir kullanıcı veya cihazın hiçbir yere erişemeyeceği mantığına dayanan bir güvenlik modelidir.
Özetle Windows 11 her yerden erişim sağlamak ve verileri korumak için Zero Trust* modeli ile oluşturulmuş bir işletim sistemi olarak karşımıza çıkıyor ve donanımdan, buluta kadar tam bir güvenlik deneyimi sağlayacak özelliklerden oluşuyor, bu özellikleri belirli başlıklar halinde sizlere aktarmaya çalışacağım.
*Zero Trust Konseptini merak edenler daha önce yazılmış olan bu makalemizi okuyabilirler.
Yukarıda bahsetmiş olduğum çipten buluta kadar en güvenli halde çalışmayı olası kılmak için Windows 11’de donanım ve yazılım en uyumlu şekilde tasarlanmıştır. Aşağıdaki diyagramda koruma katmanları ve güvenlik özellikleri gösterilmektedir.
Resim-1
Windows 11’de donanım ve yazılım, CPU’dan buluta kadar koruma sağlamak için tümleşik bir koruma anlayışına sahip bir birliktelikte çalışmakta. Bu birlikte çalışma diyagramından yola çıkarak bende sizlere katman katman güvenlik özelliklerini anlatmaya başlıyorum.
Güvenlik Temeli (Security Foundation) üç bölümden oluşuyor. Bunlar;
- Security Assurance – Güvenlik güvencesi
- Certification – Sertifika
- Ve Secure Supply Chain – Güvenli Tedarik Zinciri
Security Assurance’dan başlayarak önce yatay sonra da yukarı doğru ilerlersek Windows 11’in güvenlik katmanları içerisinde yer alan tüm özellikleri incelemiş oluruz.
Windows 11’de her şeyin en temelinde güvenlik geliyor ve en baştan başlayarak yani kodun yazılması aşamasında Microsoft Güvenlik Geliştirme Yaşam Döngüsü – Microsoft Security Development Lifecycle (SDL) uygulanarak mühendislik ve geliştirme süreçlerinin tüm aşamalarında güvenlik ve gizlilikle ilgili en iyi uygulamalar, araçlar ve süreçler kullanılıyor.
Güvenli geliştirme sürecinin bir parçası olarak Windows Insider ve Bug Bounty Programı büyük önem kazanıyor. Nedenine gelirsek dünyanın dört bir yanındaki araştırmacılarla yapılan bu iş birliği ile Windows 11’i geliştiren ekipler, geliştirme sırasında daha önce bulunmayan kritik güvenlik açıklarını tespit edilmesine ve Windows’un son sürümünün yayınlamasından önce bu sorunların giderilmesine olan sağlanıyor.
Certification tarafına geldiğimizde ise Microsoft, güvenlik güvencesinin harici bir doğrulaması olarak FIPS 140 ve Common Criteria dahil olmak üzere ürün güvenlik standartlarını ve sertifikalarını desteklediğini taahhüt etmekte. Özetle Windows 11, Windows 10, Windows Server ve birçok bulut hizmeti dahil olmak üzere yine birçok Microsoft ürünü, bu şifreleme modüllerini kullanır.
Microsoft, Windows Tedarik Zincirinin çok karmaşık ve anlaşılmaz olduğunu belirtmekte. Aslına bakarsanız birazdan sıralayacağım bir kısım tedarik süreçini bile okuduğumuzda bu karmaşıklığın olmasının ne kadar doğal olduğuna hak vermemek elde olmuyor. Çünkü Microsoft’un bu denli kendi kanıtlamış bir işletim sistemini çıkarması geliştiricinin check-in işleminden derlemesine, yongalardan, sürücülere, çekirdek işletim sisteminden, 3. taraf uygulamalara, üretime ve güncellemelerin güvenliğini sağlamaya kadar uzanıyor. İşte bu noktada Microsoft, Windows 11 için uçtan uca tedarik zincirinin güvenliğini sağlamak için önemli ölçüde dikkat ve yatırım yaptığını belirtiyor. İsterseniz aşağıdaki görsele bakarak Microsoft’un Windows 11 tedarik zincirinin uymasını gerektirdiği yaygın denetimlerden neler olduğunu inceleybilirsiniz;
Resim-2
Şimdi sıra bir üst katmana geldi ve Donanım (Çip) – Hardware (Çip) Güvenliğine, sanırım makalenin başından itibaren birkaç kez çipten buluta uzanan bir güvenliğe sahip işletim sistemi diye belirttim, nedir bu çipten gelen güvenlik özellikleri isterseniz önce onu bir sıralayalım, sonrada açıklamaya başlayalım. Sıralama şu şekilde olacak.
- Hardware root-of-trust – Donanım Güven kökü
- Silicon assisted security – Silikon destekli güvenlik
Donanım Güven kökü olarak çevirdiğimde sanki biraz anlamsız oluyor ancak orijinal hali ile yazdığımda birçoğunuz ne anlama geldiğini çok daha iyi anlıyorsunuz ama yine de çok kısaca donanım güven kökünü sizlere açıklamak istiyorum, bilgisayarın başlatma düğmesine basıp, boot aşamasından işletim sisteminin ekrana gelmesine kadar sistemin bütünlüğünün korunmasına ve sürdürülmesine yardımcı olur. Ayrıca Hardware root-of-trust‘un sistem için iki önemli güvenlik hedefini karşılar. Bunlardan ilki kötü amaçlı yazılımın önyükleme koduna bulaşmaması ve varlığını gizlememesi için sistemi önyükleyen üretici yazılımı ve işletim sistemi kodunu güvenli bir şekilde kontrol eder. İkinci olarak donanım güven kökü işletim sisteminden, kriptografik anahtarları,verileri ve kodu depolamak için uygulamalardan yalıtılmış, yüksek düzeyde güvenli bir alan sağlar.
Yukarıdaki anlattığım bu korumalar donanım güven kökünde hangi çip’lerle yapıyor derseniz onlarda;
- Güvenilir Platform Modülü -Trusted Platform Module (TPM)
- Microsoft Pluton Güvenlik İşlemcisi- Microsoft Pluton Security Processor
Güvenilir Platform Modülü -Trusted Platform Module (TPM), umarım yanlış hatırlamıyorumdur ama TPM‘i ilk olarak yıllar önce Windows Vista‘da BitLocker özelliğini devreye almaya çalışırken duymuş ve öğrenmiştim. (Yaşlanıyorum sanırım ) TPM donanım tabanlı güvenlikle ilgili işlevler sağlamak ve istenmeyen karıştırmaları engellemeye yardımcı olmak için tasarlanmıştır. TPM‘ler sistem donanımı, platform sahipleri ve kullanıcılar için güvenlik & gizlilik avantajları sağlar. Windows Hello, BitLocker, Windows Defender System Guard ve diğer birçok Windows özelliği, anahtar oluşturma, güvenli depolama, şifreleme, önyükleme bütünlüğü ölçümleri, doğrulama ve çok sayıda başka yetenek için TPM‘e güvenir. Bu yetenekler, müşterilerin kimliklerinin ve verilerinin korunmasını güçlendirmelerine yardımcı olur. Bu arada Windows 11 ile TPM 2.0 sürümü gelmekte ve daha güçlü kripto algoritmalarına olanak sağlamaktadır.
Microsoft Pluton güvenlik işlemcisi- Microsoft Pluton security processor, çipte güvenlik sağlayan bir özelliktir. Pluton, gelişen tehdit ortamını ele almak için modern bilgisayarların ihtiyaç duyduğu sağlamlığı ve esnekliği sağlamayı amaçlayan, MS’in ortakları ile geliştirdiği ve tasarladığı bir donanım güven köküdür. Microsoft Pluton güvenlik işlemcisinin, 2022 tarihten itibaren belirli yeni Windows PC’lerle birlikte gönderilmesi planlanmaktadır.
Silikon destekli güvenlik – Silikon destekli güvenlik kısmına gelirsek, burada ilk olarak Secured kernel –Güvenli çekirdek‘ten başlayalım. Sanallaştırma tabanlı güvenlik
– Virtualization-based security (VBS) çekirdek izolasyonu ile güvenli bir sistem için kritik bir rol oynar. Kötü amaçlı yazılım ana işletim sistemi çekirdeğine erişim kazansa bile, hiper yönetici ve sanallaştırma donanımı, kötü amaçlı yazılımın VBS güvenli ortamında çalışan platform sırlarına erişmesini veya kod yürütmesini önlemeye yardımcı olduğundan, VBS açıkları büyük ölçüde sınırlar ve içerir.
PCI çalışırken takılabilir bağlantı noktaları harici olduğundan ve kolayca erişilebilir durumdadır (Thunderbolt, USB4 ve CFexpress gibi PCI’ye çalışırken takılabilir aygıtlar olarak sıralanabilir) PC’ler, Doğrudan Bellek Erişimi- Direct Memory Access (DMA) saldırılarına karşı hassastır. Bellek erişim koruması (DMA Koruması) kullanıcı PC’lerini kilitlediğinde bu harici çevre birimlerinin belleği doğrudan kopyalamasını sınırlayarak PC’leri, PCI’ye çalışırken takılabilir aygıtları kullanan sürücülerde DMA saldırılarına karşı korur.
Üç bölüm halinde inceleyeceğimiz Windows 11 Güvenlik özellikleri makale serisinin ilk bölümünü burada tamamlıyor. Serinin ikinci bölümünde Windows 11’deki İşletim sistemi ve Uygulama katmanındaki güvelik çözümlerini inceleyerek devam edeceğiz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
https://www.microsoft.com/en-us/windows/comprehensive-security
TAGs: Windows 11 güvenlik özellikleri, Windows 11 security, Windows 11’de güvenlik
