Microsoft’un ana program yöneticisi Ned Pyle, Windows 11 24H2 ile ilgili yeni güvenlik değişikliklerini şu şekilde ele aldı: Microsoft’un blogu. Değişiklikler, USB bağlantı noktalarına sahip güvenli olmayan yönlendiricilere ve bazı Ağa Bağlı Depolama aygıtlarına erişimi engelleyecektir. Pyle, yaklaşan yükseltmenin Sunucu İleti Bloğu (SMB) protokolünün çok daha eski versiyonlarını ortadan kaldırdığını ve dolayısıyla olası sorunu belirtiyor.
Pyle, SMB1’in kırk yaşın üzerinde olduğunu ve 2022’den beri onun yok olacağına dair uyarıların tekrarlandığını açıklıyor. Windows 11 24H2, varsayılan olarak SMB imzalamayı gerektirdiğinden ve ağda kurcalamayı önleyecek şekilde bir adım ileri gidiyor. Windows 11 Pro Edition’da konuk yedeği devre dışı bırakılacaktır; bu, bir kullanıcı adı veya parola olmadan bir SMB sunucusuna erişime izin verdiği için daha iyi güvenlik sağlar.
SMB imzalama Windows’ta otuz yıldır bir seçenek olarak mevcut olduğundan, bu ek güvenliğin vadesi çoktan geçmiştir. Windows’ta Konuk yirmi beş yıl önce kullanımdan kaldırıldı; Windows 10 Enterprise, Education ve Pro for Workstation sürümlerinde Konuk geri dönüş seçeneği devre dışı bırakıldı. Bu güvenlik uygulamaları Windows Insider Dev’de de mevcuttur ve Canary bir yıldır derlenmektedir. Pyle, Windows 11 24H2’deki bu değişikliğin, NAS ve yönlendirici üreticilerini yama yapılmamış cihazları güncellemeye zorlayacağı için bir milyardan fazla cihazın güvenliğini sağlayacağını söylüyor.
SMB imzalama, kullanıcının bilgisi ve veri aktarma izni olmadan güvenli olmayan sunuculara erişen kötü amaçlı programlara karşı ek bir güvenlik katmanı görevi görebilir. Pyle, cihazların artık oturum açma kimlik bilgileri olmadan kötü amaçlı bir sunucuya bağlanarak fidye yazılımlarına veya veri çalmak üzere tasarlanmış kötü amaçlı programlara erişimi engelleyemeyeceğini açıklıyor.
Ancak bu aynı zamanda kötü niyetli bir sunucu ile gerekli protokollere sahip olmayan güvenilir bir NAS arasında ayrım yapamadığı için NAS’ınıza erişimin engellenmesi anlamına da gelir. Pyle bunun sonucunda aşağıdaki hatayı oluşturacağını açıklıyor:
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- Şifreleme imzası geçersiz
NAS üreticileri de aynı şeyi mi yapacak?
Varsayılan olarak devre dışı bırakılmış olmasına rağmen, daha az güvenli bir sisteme sahip olma pahasına değişiklikler geri alınabilir. Burası cihaz üreticilerinin güvenli olmayan cihazlara bir güvenlik yaması sağlaması gereken yerdir.
Pyle, Microsoft’un, kullanıcıların SMB imzalamayı desteklemeyen USB bağlantı noktalarına ve NAS birimlerine sahip yönlendiricileri olup olmadığını bilmek istediğini açıklıyor. Şöyle diyor: “SMB imzalamayı desteklemeyen bir üçüncü taraf NAS cihazınız varsa, bu konuda bilgi almak istiyoruz. Lütfen NAS cihazınızın markasını ve modelini belirterek [email protected] adresine e-posta gönderin, böylece bunu sizinle paylaşabiliriz. ve belki de satıcının bunu bir güncellemeyle düzeltmesini sağlayabilirsiniz.”
İlgili NAS’ların ve USB bağlantı noktalarına sahip yönlendiricilerin SMB imzalamaya sahip olması ancak bunu varsayılan olarak kapatması da muhtemeldir. Kullanıcılar muhtemelen bunu NAS yönetim yazılımı aracılığıyla açabilirler. Ancak bu, NAS ve yönlendirici üreticilerini bunları varsayılan olarak kapatmaya teşvik ederken, kullanıcının ihtiyaç duyması halinde SMB konuk geri dönüş seçeneğini açma olanağı da sağlayabilir.
Ağa bağlı sürücülerin güvenliğinin sağlanmasına yardımcı olmak birçok kullanıcı tarafından her zaman olumlu karşılanacaktır. Ayrıca birçok NAS üreticisinin Microsoft tarafından güvenli olmayan bir cihaz olarak adlandırılma riskini alması da pek olası değildir. Yine de Windows 11 24H2 çıkana ve sonunda güvenli olmayan NAS’ların listesi yayınlanana kadar bunu asla bilemeyeceksiniz.
Windows 11 24H2 ile sağlanan tek güvenlik önlemi bu değil ancak bu değişiklikten kaç kullanıcının etkileneceğini yalnızca zaman gösterecek.