Microsoft, Windows'un güvenlik mimarisinde ilk bakışta ilerleme gibi görünen, ancak daha yakından incelendiğinde önemli güvenlik açıklarının ortaya çıktığı kapsamlı değişiklikler duyurdu. İleriye dönük olarak, iki yeni mekanizma daha fazla şeffaflık ve kontrol sağlayacak: “Windows Temel Güvenlik Modu” ve “Şeffaflık ve Kullanıcı Onayı” etiketi altında genişletilmiş kullanıcı izinleri. Ancak her iki yaklaşım da Microsoft'un şu ana kadar cevapsız bıraktığı temel soruları gündeme getiriyor.
Duyurudan sonra devamını okuyun
Moritz Förster, 2012'den beri iX ve Haberler online için yazıyor. iX kanalına ek olarak Workplace alanından da sorumludur.
Yeni Temel Güvenlik Modu, varsayılan olarak yalnızca imzalı uygulamaların, hizmetlerin ve sürücülerin çalıştırılmasına izin vermelidir. Birçok güvenlik yöneticisinin bakış açısına göre bu, kötü amaçlı yazılımlara karşı mantıklı bir önlem olabilir, ancak kullanıcıları, devre dışı bırakma modeli olmasa bile, Windows PC'lerini istedikleri gibi kullanma özgürlüğünden büyük ölçüde mahrum bırakır. Kullanıcılar ve BT yöneticileri, bireysel uygulamalar için istisnalar tanımlayabilir ve böylece koruma işlevini özel olarak atlayabilir.
Ancak tam da bu olasılık sayesinde, güvenlik açısından potansiyel bir kapı kalıyor: Bir sistemin güvenliği ihlal edilirse, saldırganlar prensipte bu istisnaları manipüle edebilir veya bunları kendileri tanımlayabilir. Sonuç olarak Microsoft, güvenlik ve kullanım kolaylığı arasındaki ince çizginin her iki tarafını da karşılamada başarısız oluyor. Kutunun dışına bakıldığında, Apple'ın macOS'a benzer yaklaşımının kullanıcılar tarafından yalnızca kısmen olumlu karşılandığı görülüyor.
Microsoft'un duyurusu teknik uygulama konusunda da belirsizliğini koruyor. Grup, Akıllı Uygulama Kontrolü gibi mevcut mekanizmalardan ne kadar farklı olduklarını belirtmeden “Çalışma Zamanı Bütünlüğü Korumalarından” bahsediyor. İkincisi, şüpheli yazılımları lansmandan önce engellemek için bulut tabanlı itibar kontrollerini ve makine öğrenimini kullanıyor. Görünüşe göre Temel Güvenlik Modunun daha geniş bir yaklaşıma sahip olması ve aynı zamanda çalışma zamanında hizmetleri ve sürücüleri izlemesi amaçlanıyor; ancak Microsoft bu izlemenin tam olarak nasıl çalışması gerektiğini henüz açıklamadı.
Parçalanma ve eski sorunlar kaçınılmazdır
Ancak halihazırda kesin olan şey, durumun özellikle kurumsal BT ve eski uygulamalara sahip kuruluşlar için sorunlu olacağıdır. Yöneticiler istisnaları manuel olarak yapılandırmadığı sürece, imzasız eski yazılımlar yeni rejim kapsamında engellenecektir. Bu, birçok BT departmanı için önemli bir idari yük oluşturur ve parçalanmış bir uygulama ortamını riske atar. Ayrıca, kod imzalamaya kaynak ayıramayan veya ayırmayan geliştiriciler, Windows kullanıcı tabanının büyük bir kısmından fiilen dışlanır. Bu durum, Microsoft'un pahalı kod imzalama sertifikalarını karşılayamayan veya almak istemeyen açık kaynak projelerini ve geliştiricileri özellikle zorlamaktadır.
Microsoft, belirli son tarihler veya kilometre taşlarından bahsetmeden aşamalı bir dağıtım planlıyor. Yeni güvenlik önlemleri hızlı bir şekilde yürürlüğe girecek olsaydı, 2026 ortalarında Windows Insider Preview ile, örneğin 26H2 sürümüyle veya gelecekteki Windows 12'yle bir başlangıç düşünülebilirdi. Ayrıca grubun, yazılımlarını uyarlamak için geliştiricilere hangi belirli API'leri ve araçları sunacağı da belirsiz. Microsoft yalnızca gelecek blog gönderilerine ve geri bildirim kanallarına atıfta bulunuyor; bu, Windows'taki bu kadar geniş kapsamlı bir değişiklik için oldukça küçük bir bilgi tabanıdır.
Duyurudan sonra devamını okuyun
Akıllı telefon modeline göre izin istekleri
Güvenliğin ikinci yeni ayağı da aynı derecede iki uçludur: iOS ve Android'den bilindiği üzere genişletilmiş izin istekleri. Gelecekte uygulamalar dosyalara, kameralara veya mikrofonlara erişmeden önce kullanıcılardan izin isteyecek. Yıllardır macOS veya mobil işletim sistemleri ayrıntılı izinler uyguluyor olsa da Windows aslında bu konuda çok geride.
Ancak burada da çok iyi bilinen bir sorun ön plana çıkıyor: Çok fazla izin talebinin neden olduğu ani yorgunluk. Microsoft “açık, eyleme geçirilebilir teklifler” vaat ediyor, ancak işletim sisteminin kullanıcıları pop-up'larla doldurmayı nasıl önleyeceği konusunda hiçbir ayrıntı vermiyor. Sistemin giderek daha fazla otonom hareket eden yapay zeka ajanlarını nasıl yöneteceği de belirsiz. Microsoft, bu tür uygulamalar için “daha yüksek şeffaflık standartlarından” bahsediyor ancak bunların uygulanmasını açıklamıyor.
Performans cezaları ve gizlilik endişeleri
Ek olarak, planlanmış çalışma zamanı kontrollerinin, özellikle de birçok uygulamanın yüklü olduğu bilgisayarlarda, sistem performansı üzerinde olumsuz bir etkisi olması muhtemeldir. Veya birçok ofisin zaten yıpranmış bilgisayarlarında. Her test, işlem süresine ve hepsinden önemlisi, Microsoft'un henüz hesaplamadığı bir ek yük olan işçilik süresine mal olur.
Uygulama etkinliklerinin genişletilmiş izlenmesi, veri koruma açısından da soruları gündeme getiriyor. Şeffaflık yaratmak için işletim sisteminin hangi uygulamanın hangi kaynaklara eriştiğini sürekli olarak kaydetmesi gerekir. Bu telemetri verileri, özellikle Genel Veri Koruma Yönetmeliği (GDPR) bağlamında, Amerika Birleşik Devletleri'ne aktarılırsa sorunlu hale gelebilir. Microsoft, bu verilerin nasıl saklandığı, işlendiği veya muhtemelen aktarıldığı konusunda yorumda bulunmaz.
Peki Windows'ta her şey aynı mı kalmalı? Hayır, ama uzun zaman önce PC'yi başarılı kılan kesinlikle açık sistemdi. Kullanıcılar istediklerini yükleyebilir ve çalıştırabilirler. Şirketlerdeki önceki BT dünyasının aksine. Günümüzde güvenliğin daha büyük bir rol oynaması gerektiği tartışmasızdır. Ancak bunu kullanıcı izolasyonu ve tacizi yoluyla başarmak yerine, sistemin daha iyi tasarlanması ve her şeyden önce güvenilir güncellemeler doğru yol olacaktır.
(fo)
Bir yanıt yazın