Windows, çeşitli görevler için Güvenlik Yardımcısı’nı kullanabilir. Anahtarlarınızı korumaktan cihazınızı şifrelemeye kadar. Ancak Elcomsoft’un gerçekleştirilen testlerden edindiği izlenimlere göre, Windows’ta TPM teknolojisinin pratik kullanımı Microsoft’un iddia ettiği kadar yaygın değil.
Windows 11 kullanıcı sayısı beklentilerin altında kaldı
Örneğin, Microsoft Edge parolaları, Veri Koruma Uygulaması Programlama Arabirimi (DPAPI) aracılığıyla yönetilen anahtarlarla korunur. Bu anahtar TPM tarafından korunuyorsa, saldırgan disk görüntüsü şifrelenmemiş olsa bile disk görüntüsünü analiz edemez ve parolayı web tarayıcısında alamaz. Ancak, Windows 11’de bile bu DPAPI anahtarı TPM tarafından korunmaz ve bir saldırgan, Microsoft Edge tarafından tüm kullanıcının parolalarını depolamak için kullanıcının Windows hesabı parolasını kullanabilir.
Microsoft, parolasız Windows kimlik doğrulaması için yeni bir seçenek sunarak bu sorunu çözmeye çalışıyor. tüm DPAPI anahtarlarını TPM’ye taşımak yerine TPM korumasıyla, parola doğrulaması olmadan, parolalar veya PIN’ler bilgisayarın sabit sürücüsünde depolanmaz, yalnızca bir karma işlevi (karma işlevi veya karma işlevi: değişken uzunluklu verileri sabit uzunluklu verilerle eşleştirmek için Kullanılan işlev) geçerlidir veya uygulanmaz. Anahtarlar, bildiğimizden daha az güvenli olmayan TPM veya ürün yazılımı öykünmesi ile korunur.
Bunun önemli sonuçları vardır. Her şeyden önce, çevrimdışı kaba kuvvet saldırılarının ilgili hesapların şifrelerine ve PIN’lerine karşı kullanılamayacağı açıktır.
Windows 11 çalıştıran bilgisayarınız parolasız oturum açma ile etkinleştirildiyse şifresi olmayan bir hesabı yerel bir Windows hesabına dönüştürmek ve bu hesaba bilinen bir şifre atamak teknik olarak mümkündür. Ancak, bu yapıldıktan sonra, DPAPI anahtarları kaybolacak, bu da birçok korunan bilginin (Edge parolaları ve NTFS şifreli dosyalar dahil) bu dönüştürmeden sonra kalıcı olarak işe yaramaz hale geleceği anlamına geliyor.
BitLocker şifreli sürücülerde çalışır mı?
Evet ve Hayır. Bu soruyu tam olarak yanıtlamadan önce, Windows 11’deki TPM gereksinimlerinin BitLocker otomatik sistem bölümü şifrelemesine bağlı olduğuna dair yaygın bir yanılgıdan kurtulmamız gerekiyor. Gerçekte, durum hiç de böyle değil.
Windows 11’in varsayılan şifreleme ilkesi, Windows 10’da (ve ondan önceki Windows 8.1’de) gördüğümüzden biraz farklıdır. Windows’un herhangi bir sürümüne sahip dizüstü bilgisayarlar ve 2’si 1 arada aygıtlar gibi çoğu taşınabilir aygıt BitLocker Aygıt Şifrelemesi ile otomatik olarak şifrelenirken, TPM’den veya yükseltmelerden veya Windows 11’in yeni yüklemelerinden bağımsız olarak masaüstü bilgisayarlar için durum böyle değildir. Windows 11 Pro, Enterprise ve Education sürümlerinin kullanıcıları; Sistem bölümünü manuel olarak şifreleyebilmelerine rağmen, Windows 11 Home sürümü kullanıcıları bu seçeneğe sahip olmayacaktır.
Windows sistem bölümünde BitLocker şifrelemesi etkinleştirilmişse, gerekli hesap veritabanı dosyalarına erişmek için önce BitLocker biriminin kilidini açmanız gerekir. Windows 11 işletim sistemi varsayılan olarak TPM gerektirdiğinden, TPM’nin yüklendiğini (adanmış ve tümleşik TPM aygıtları veya CPU öykünmesi arasında neredeyse hiçbir fark yoktur) ve şifreleme anahtarının TPM’de depolandığını varsayabiliriz. Bilgisayarı farklı bir işletim sistemiyle başlatırsanız, TPM şifreleme anahtarı görünmez. Disk şifreleme için parola koruması kullanılmadığından, TPM tabanlı sistemler parolayı almak için saldırı gerçekleştiremez.
Bu BitLocker birimlerinin kilidini açmanın tek yolu BitLocker Kurtarma Anahtarıdır. BitLocker şifrelemesi olan mobil cihazlar için, sistem bölümü şifrelendiğinde Windows otomatik olarak bir kurtarma anahtarı oluşturur. Bu kurtarma anahtarı, bu bilgisayarda yönetici olarak oturum açan ve yerel bir Windows hesabı yerine Microsoft hesabı kimlik bilgilerini kullanan ilk kullanıcının Microsoft hesabına otomatik olarak yüklenir.