Windows 11'deki Sürücü İmzası Gereksinimleri: Kullanıcı Özgürlüğünü Sınırlayan ve Kullanıcı Deneyimine Zarar Veren Bir Güvenlik Özelliği

Teknik
By Mervan Redha

Dünyanın en yaygın kullanılan masaüstü işletim sistemi olan Windows 11'in kendine has sorunları olduğu şüphesiz. Ancak bu sorunlara rağmen, birçok kullanıcıyı ya da şirketi terk etmeye iten istenmeyen eklemelere rağmen, şirketin işletim sisteminin en gelişmiş sürümüdür. Mümkün olduğunca uzun süre Windows 10 kullanmaya devam edin Hatta Bunun yerine Linux'a geçinAncak Windows'un beni her zaman rahatsız eden bir yönü var; o da Microsoft'un sürücülerin işletim sistemi tarafından yüklenmeden önce dijital olarak imzalanmasını gerektiren uzun süredir devam eden politikası.

Windows 11 Kurtarma Ortamı

Basitçe ifade etmek gerekirse, sürücü, donanım veya yazılımın Windows ile etkileşime girmesini sağlayan düşük seviyeli bir koddur (genellikle işletim sistemi çekirdeğinde çalışır). İmzalı bir sürücü, güvenilir bir yetkiliden (Microsoft'un kendi sertifikası veya geçmişte Microsoft tarafından onaylanmış bir sertifika yetkilisi gibi) gelen ve Windows'un çalışmasına izin vermeden önce orijinalliğini ve bütünlüğünü doğruladığı bir kriptografik imza içerir. Bu sürücü imzalama uygulaması, on yıllar içinde evrimleşerek süreçte zorunlu bir bekçi haline gelmiştir ve ikili bir yapıya sahiptir.

Bir yandan, kötü amaçlı yazılımların bu kadar derin bir seviyede çalışmasını engelleyerek (her halükarda, çalınabilecek uygun bir sertifika olmadan) güvenliği tartışmasız artırırken, diğer yandan kullanıcı kontrolünü kısıtlıyor ve Microsoft kurallarına uyulmasını gerektiriyor. Kullanıcı özgürlüğüne aykırı olsa da, açık faydaları da var. Windows'taki en iyi güvenlik özelliklerinden biri olmasına rağmen, varlığı özünde tüketici karşıtıdır.

Sürücü imzaları nelerdir?

Sürücü imzaları, Microsoft veya güvenilir başka bir kuruluş tarafından aygıt sürücülerine verilen dijital sertifikalardır. Bu imzalar, Windows'a sürücünün orijinal olduğunu ve aygıt üreticisi tarafından yayınlandıktan sonra üzerinde oynanmadığını veya değiştirilmediğini bildirir. Bunu, sürücünün bütünlüğünü ve güvenilirliğini garanti eden dijital bir onay mührü olarak düşünün.

Başka bir deyişle, sürücü yayıncısının kimliğini doğrulamanın ve yazılımın değiştirilmediğinden emin olmanın bir yoludur. Bu son derece önemlidir çünkü sürücüler işletim sisteminin derinliklerinde çalışır ve bir sürücü kötü amaçlı veya dengesizse, sistem çökmeleri veya hatta güvenlik açıkları gibi ciddi sorunlara neden olabilir.

İmzalı bir sürücü yüklediğinizde, Windows sürücünün yüklenmesine izin vermeden önce imzayı doğrular. İmza geçerliyse, sürücü Microsoft veya güvenilir başka bir kuruluş tarafından test edilip onaylanmış ve kurulumu güvenlidir. İmza geçersiz veya eksikse, Windows sürücünün güvenli olmayabileceği veya sisteminizle uyumsuz olabileceği konusunda sizi uyarır.

Sürücü imzaları neden önemlidir?

  1. Emniyet: Sisteminizi riske atabilecek kötü amaçlı veya değiştirilmiş sürücülerin kurulumunu engeller.
  2. istikrar: Sürücülerin Windows ile uyumlu olmasını ve sistem sorunlarına yol açmamasını sağlar.
  3. güvenilirlik: Sürücünün Microsoft veya başka bir güvenilir tarafça test edildiğini ve onaylandığını gösterir.

Genel olarak, sürücü imzaları sisteminizi kötü amaçlı yazılımlardan korumaya yardımcı olan ve istikrarını ve güvenilirliğini sağlayan önemli bir güvenlik mekanizmasıdır. Bu nedenle, yalnızca imzalı sürücüleri yüklemek her zaman en iyisidir.

Uzun bir koruma geçmişi

Sürücü sonuçlarını LatencyMon'da kontrol edin

Sürücü imzalama, Kod Bütünlüğü Güvenlik özelliğinin önemli bir parçasıdır Microsoft, ilk olarak döneminde tanıtıldı Windows Vista Zorunlu hale geldi , Windows 10, sürüm 1607. Konsept basit ve anlaşılırdır: çekirdekte çalışan herhangi bir kod, Windows (“Ring 0” olarak bilinir) Güvenilir bir yetkiliden alınan geçerli bir dijital imza. Belgelere göre Microsoft Resmi olarak, kod bütünlüğü "bir sürücünün veya sistem dosyasının belleğe her yüklendiğinde bütünlüğünü doğrulayarak bir işletim sisteminin güvenliğini artırır" ve bazı sürümlerde Windows 64 bit, "çekirdek modu sürücüleri dijital olarak imzalanmalıdır." Uygulamada bu, şu anlama gelir: Windows Tanınan bir sertifika ile imzalanmamış herhangi bir sürücünün yüklenmesi reddedilecektir.

Diğer işletim sistemlerinde olduğu gibi, çekirdek (ntoskernel.exeveya çekirdek Windows NT) işletim sisteminin en yüksek ayrıcalıklara sahip çekirdeği olduğundan, bu alanda yetkisiz kodun çalıştırılmasını önlemek çok önemlidir. Dijital imzalar, bir sürücünün belirli bir geliştirici tarafından yayınlandığını ve o zamandan beri değiştirilmediğini garanti eder. Basitçe söylemek gerekirse, imzasız veya kötü amaçlı olarak değiştirilmiş sürücüler varsayılan politika kapsamında yüklenmez ve güvenlik açısından bakıldığında, bu hem tüketicileri hem de işletmeleri koruyan iyi bir şeydir.

Uygulamada bu, meşru donanım satıcılarının ve geliştiricilerinin sürücülerini imzalama sürecinden geçtiği ve Windows Modern zamanlarda bu genellikle genişletilmiş bir doğrulama sertifikası edinmeyi ve sürücüyü göndermeyi içerir Microsoft Onaylamak için. Kod, bu onay olmadan çekirdekte çalıştırılmaya çalışılırsa, "Çalıştırılamıyor"a benzer bir hata görürsünüz. Windows Bu cihaz için gereken sürücülerin dijital imzasını doğrulayın." Bu, kötü amaçlı yazılımların sistemin tamamını kontrol altına almak için bir kök araç takımı veya kötü amaçlı sürücü yükleyebileceği bir dizi saldırıyı önler. Windows 64-bit'te, bir aygıt sürücüsünü yüklemek, çekirdekte keyfi kodu çalıştırmanın desteklenen tek yoludur ve bu, imzasız yürütülebilir dosyalar için tamamen bozuktur.

Peki ya yönetici? Bu düzeyde ayrıcalıklara sahip hesaplar bile muaf değil. Kimliğiniz ne olursa olsun, imzasız bir sürücüyü yükleyemezsiniz. Windows 64 bit. Bunu devre dışı bırakmanın tek yolu, bir sonraki önyüklemede sıfırlanacak olan "Sürücü imza zorunluluğunu devre dışı bırak" önyükleme seçeneğini kullanmak veya bcdedit Doğrulamayı tamamen devre dışı bırakmak. Bu benim kurduğum bir güvenlik ağı. Microsoft Bilgisayar sahibi bile bunu atlamamalı.

Microsoft yıllar geçtikçe gereklilikleri sıkılaştırdı.

Microsoft, yıllar içinde daha sorunsuz ve daha güvenli bir kullanıcı deneyimi sağlamayı hedefleyerek Windows işletim sistemi gereksinimlerini kademeli olarak sıkılaştırmıştır. Gereksinimlerdeki bu değişiklikler, devam eden teknolojik gelişmeleri, performansı iyileştirme ihtiyacını ve artan güvenlik tehditlerine karşı korumayı artırma ihtiyacını yansıtmaktadır. Microsoft, her yeni Windows sürümüyle birlikte, özellikle işlemci, rastgele erişim belleği (RAM) ve depolama alanına odaklanarak, sistemin verimli bir şekilde çalışması için gereken minimum özellikleri yükseltir ve Güvenilir Platform Modülü (TPM) gibi en yeni teknolojilere destek sağlar.

Bu sıkılaştırılmış gereksinimler, bazı kullanıcıların eski cihazlarının en son Windows sürümlerini çalıştıramadığını fark etmesi nedeniyle kullanıcılar üzerinde doğrudan etkilere sahiptir. Ancak bu hamle, Microsoft'un yeni ve geliştirilmiş özellikler sunmasına, genel sistem performansını iyileştirmesine ve daha yüksek düzeyde güvenlik sağlamasına olanak tanır. Örneğin, Windows 11'deki bazı gelişmiş özellikler, belirli komutları destekleyen modern işlemcilerin yanı sıra gelişmiş güvenlik ve veri koruması için bir TPM 2.0 modülünün varlığını gerektirir.

Ayrıca, gereksinimlerin sıkılaştırılması, Microsoft'un modern cihazları desteklemeye ve en yeni teknolojilerle uyumluluğu iyileştirmeye odaklanmasını sağlayarak genel olarak daha iyi bir kullanıcı deneyimi sunar. Bu durum, eski cihazlara sahip kullanıcılar için bazı rahatsızlıklara neden olsa da, cihazlarını yükselten veya yeni cihaz satın alan kullanıcıların Windows işletim sisteminden mümkün olan en iyi performans ve güvenliği almasını sağlar.

Aygıt sürücülerini kontrol etmek için basit bir araçla başladık.

Windows 2000'deki Sürücü Doğrulayıcı için grafiksel kullanıcı arayüzü

Microsoft'un aygıt sürücüleri için dijital imza zorunluluğu getirme süreci, casus yazılımlar, kök dizinler ve işletim sistemi kararlılığıyla ilgili artan endişeler arasında, 2000'lerin ortalarında başladı. Windows XNUMX ile başlayan Sürücü Doğrulayıcı, aygıt sürücülerini yasadışı işlevler açısından test etmek ve hataları tespit etmek için kullanılabilen bir komut satırı programıydı ve ardından Windows XP'nin piyasaya sürülmesiyle aynı zamana denk gelen grafiksel bir kullanıcı arayüzüyle güncellendi. O dönemde sürücü imzalama mevcuttu, ancak kesin olarak zorunlu değildi. Ancak bir Grup İlkesi seçeneği, kurulumu tamamen engellemek, kullanıcıyı uyarmak ancak kuruluma izin vermek veya sessizce kurulum yapmak için ayarlanabiliyordu.

Bu durum, Windows'un x64 sürümleriyle değişti. Windows Vista'dan başlayarak (ve sınırlı sürümde Windows XP x64 Edition'a kadar), Bir sertifikayı kendiniz imzalayabilmenize rağmen,), 64 bit Windows sistemleri, Çekirdek Yama Koruması'nı (gayri resmi olarak PatchGuard olarak bilinir) da içeren daha geniş bir güvenlik girişiminin parçası olarak çekirdek modu tanımlarının imzalanmasını gerektiriyordu. Vista x64'te zorunlu imzalamanın getirilmesi o zamanlar tartışmalıydı, ancak Microsoft'un beyan ettiği hedef, bu tür imzaları ortadan kaldırmaktı. Tüm kötü amaçlı yazılım sınıfları ve o dönemdeki bazı raporlara göre dijital hak yönetimi (DRM) koruması.

Aygıt sürücülerinin imzalanmasını zorunlu kılmanın birçok sektör çıkarına uygun olduğu bir sır değil. Bu aynı zamanda, o dönemde Microsoft'un şirketleri sürücülerini dağıtmak için lisans ücreti ödemeye zorlayabileceği anlamına geliyordu. Aksi takdirde, bu sürücüler çoğu aygıta yüklenmezdi. O zamandan beri, gereklilikler daha katı hale geldi ve daha önce de belirttiğimiz gibi, Windows 10 sürüm 1607, sürücülerin جميع Tanımlar Microsoft sertifikasıyla imzalanmıştır.

Windows 11'i gerektirir UEFI Güvenli Önyükleme Yeni sistemlerde varsayılan olarak bulunan TPM, güvenilir önyükleme ve sürücü kimlik doğrulamasının garantisini iki katına çıkarır. Başka bir deyişle, modern Windows'un hangi düşük seviyeli kodun çalıştırılmasına izin verileceğini belirleyen merkezi bir otoritesi (Microsoft) vardır. Sonuç olarak, Microsoft (ve birkaç sertifika sağlayıcısı) Windows platformunun bekçileri olarak rahatlıkla konumlandığından, saldırganların sızması çok daha zor bir hedef haline gelir.

Microsoft, çekirdeği her ne pahasına olursa olsun korumayı amaçlıyor.

Microsoft, Windows işletim sisteminin güvenliğini sürekli olarak geliştirmek için çalışmaktadır ve çekirdeğin korunması en önemli önceliklerinden biridir. Çekirdek, işletim sisteminin kalbidir ve herhangi bir ihlali, cihazın tamamen kontrol altına alınması anlamına gelir. Bu nedenle Microsoft, çok katmanlı koruma yoluyla çekirdeğe yetkisiz erişimi engellemeyi amaçlayan teknolojilere ve yazılımlara büyük yatırımlar yapmaktadır.

Bu çabalar, çekirdekte yetkisiz değişiklikleri engelleyen Çekirdek Yama Koruması ve hassas süreçleri güvenli bir sanal ortamda izole eden Sanallaştırma Tabanlı Güvenlik gibi teknolojilerin kullanımını içermektedir. Microsoft ayrıca, çekirdeği gerçek zamanlı olarak tehlikeye atma girişimlerini tespit etmek için gelişmiş analiz araçları da geliştirmektedir.

Çekirdek güvenliği, özellikle siber saldırı yöntemleri geliştikçe sürekli bir sorun haline gelmektedir. Bu nedenle Microsoft, Windows'un güvenli ve güvenilir kalmasını sağlamak için güvenlik mekanizmalarını sürekli olarak güncellemeye ve geliştirmeye kararlıdır. Bu taahhüt, Microsoft'un kullanıcıların verilerinin ve cihazlarının bütünlüğünün korunmasında çekirdeğin önemini kabul ettiğini yansıtmaktadır.

Bu, normal geliştiricilerin de bunu kullanamayacağı anlamına gelse bile.

Windows 11'de Windows Kullanıcı Klasörünü Gösterir

Açık olmak gerekirse, sürücü imzalama zorunluluğunun Windows işletim sisteminde güvenliği önemli ölçüde artırdığı yönünde güçlü bir argüman mevcut. İmzasız sürücülerin engellenmesiyle, antivirüs yazılımlarından gizlenebilecek kök dizinler ve çekirdek düzeyinde kötü amaçlı yazılımlar gibi her türlü dijital saldırı engellenmiş olur. Geçmişte, en gelişmiş kötü amaçlı yazılımların çoğu, belleğe erişmek veya sistemi derinlemesine değiştirmek için kendini bir sürücü olarak gizlemeye çalışmıştır. Günümüzde, bir kötü amaçlı yazılımın çalınmış veya sızdırılmış bir dijital sertifikası olmadığı sürece, tamamen yamalanmış bir 64 bit Windows sistemine sürücü yükleyemez; bu da Windows XP günlerine göre çok daha yüksek bir engeldir. Önyükleme sırasında imzasız bir sürücü bulunursa, sistem başlamaz.

Çevrimiçi oyunlar için modern hile önleme sistemleri de Windows'un sürücü imzası gerekliliklerinden önemli ölçüde yararlanan sistemler haline geldi. Birçok rekabetçi oyunda, en gelişmiş hile geliştiricilerinin çoğu, kullanıcı modu hile önleme araçları tarafından tespit edilmekten kaçınmak için hilelerini çekirdek modunda çalıştırmaya çalışır. İşte bu nedenle Easy-AntiCheat, Faceit ve İsyan Öncüsü Diğer birçok hile önleme çözümü, hile önleme paketlerinin bir parçası olarak kendi çekirdek sürücülerini yükler. Bu hile önleme programları, sistemi hilelere karşı izlemek, oyun belleğine erişimi engellemek ve oyun kodunun değiştirilmediğinden emin olmak için yönetici kullanıcıdan bile daha yüksek bir ayrıcalık düzeyinde çalışır (bir yöneticinin bile imzasız bir sürücü yükleyemediğini hatırlayın). Sürücü imzalama, geliştiricilerin oyunları etrafında oluşturdukları bu koruyucu siperin önemli bir parçasıdır. Windows, düzgün imzalanmamış tüm sürücüleri reddedeceğinden, hile geliştiricileri, işletim sistemi buna izin vermediği için, hile önlemeyi atlatmak için özel bir çekirdek sürücüsü oluşturup rastgele yükleyemezler.

Valorant'ta ekrandaki modellerin yapay zeka sınıflandırması

Buna karşılık, hile sağlayıcıları ve kötü amaçlı yazılım geliştiricileri, sürücü kaba kuvvet yönteminin etkinliğini gösteren güvenlik açıklarını araştırdılar. Yaygın bir teknik olan BYOVD, yani Kendi Güvenlik Açığı Sürücünüzü Getirin, saldırganların bilinen güvenlik açıklarına sahip imzalı bir sürücü bulduğu bir yöntemdir. Geçerli sürücü yüklenir, Windows tarafından kabul edilir ve ardından güvenlik açıklarından yararlanılarak çekirdekteki kod çalıştırılır. Buna bir örnek: Lenovo Mapper sürücüsünün kötüye kullanımı, imzasız bir hile sürücüsü dağıtır ve Riot'un Vanguard TPM kontrolünü devre dışı bırakır.

Bu aynı zamanda doğrudan bellek erişimi (DMA) saldırıları ve hileler için de geçerlidir. DMA, donanım aygıtlarının CPU'yu atlayarak sistem belleğine doğrudan erişmesine ve potansiyel olarak ikincil bir bilgisayarın oyun belleğinden okuma veya yazma yapmasına olanak tanır. Ancak Windows, yetkisiz PCIe aygıtlarının belleğe erişmesini önlemek için IOMMU kullanan Çekirdek DMA korumasına sahiptir. Yalnızca DMA Yeniden Eşleme uyumlu sürücüler Bunu yapabilir ve bu sürücü özelliği, Microsoft'un imza zorunluluğu kapsamında korunmaktadır. Bunu, önyükleme sırasında kötü amaçlı yazılımların veya hileli yükleyicilerin Windows başlamadan önce kendilerini enjekte etmesini engelleyen Güvenli Önyükleme ve TPM tabanlı önyükleme doğrulamasıyla birleştirdiğinizde, kullanıcı tarafından kontrol edilen bir bilgisayar olduğu düşünüldüğünde son derece güvenli bir ortam elde edersiniz.

Bu teknik, oyun hilelerine özgü de değil. Sürücüleri kötüye kullanarak sistem güvenlik özelliklerini devre dışı bırakan ve çekirdeğe kötü amaçlı kod yükleyen çok sayıda fidye yazılımı örneği mevcut. Bu da saldırı yüzeyini işletim sisteminden Microsoft tarafından incelenip imzalanan düşük seviyeli koda kaydırıyor. Kötü amaçlı yazılım geliştiricilerinin, kullanıcının cihazına zaten yüklü olan mevcut bir sürücüden yararlanması gerekiyor. Bu da, ya çok popüler bir sürücüde bir güvenlik açığı bulmak ya da kullanıcıyı güvenlik açığı içeren bir yazılım yüklemesi için kandırmak anlamına geliyor.

Sürücü imzası denetimi, kapsamlı bir güvenlik mimarisinin sadece bir parçasıdır ve tek başına her şeyi durdurmaya yetmez. Ancak, Microsoft'un da kullandığı bu diğer tekniklerle birleştirildiğinde, çıtayı önemli ölçüde yükselttiği inkar edilemez. Çalınan bir sertifika, tespit edilip iptal edilmeden önce ödünç alınmış bir süre boyunca çalışır ve donanım çözümleri de genellikle geçicidir.

Sürücü imzası neden tüketici karşıtı olarak değerlendiriliyor?

Sürücü İmzası Uygulaması, Windows gibi işletim sistemlerinin sisteme yüklenen sürücülerin güvenilir olduğundan ve değiştirilmediğinden emin olmak için uyguladığı bir güvenlik önlemidir.

Peki, bazıları bu hamleyi neden "tüketici karşıtı" olarak görüyor?

Cevap birkaç noktada yatıyor:

  • Seçim özgürlüğünün kısıtlanması: İmza zorunluluğu, kullanıcıların Microsoft veya başka bir tanınmış tarafça dijital olarak imzalanmadıkları için, güvendikleri belirli sürücüleri yüklemelerini engelleyebilir. Bu durum, kullanıcının kullanmak istediği donanım ve yazılımı seçme özgürlüğünü kısıtlar.
  • Eski cihazların desteklenmesinde zorluk: Üreticiler genellikle eski cihazların sürücülerini güncellemeyi bırakır. Eski bir cihazın sürücüsü imzalanmamışsa, kullanıcılar sürücü imzalamayı zorunlu kılan yeni işletim sistemlerinde bu sürücüyü kullanamayabilir. Bu durum, eski cihazları hala iyi çalışıyor olsa bile kullanıcıları yeni donanım satın almaya zorlar.
  • İmza almanın maliyeti: Dijital imza edinmek, özellikle bağımsız geliştiriciler veya küçük işletmeler için pahalı olabilir. Bu durum, inovasyonu engelleyebilir ve özel veya nadir cihazlar için yeni sürücülerin geliştirilmesini engelleyebilir.
  • Uyumluluk sorunları: Bazen imzalı sürücüler diğer donanım veya yazılımlarla uyumluluk sorunlarına yol açabilir. Özellikle BT uzmanı olmayan kullanıcıların bu sorunları tespit edip düzeltmesi zor olabilir.
  • Büyük şirketlerin tekeli: Sürücü imza zorunluluğunun, büyük şirketlere küçük işletmeler ve bağımsız geliştiriciler karşısında haksız bir avantaj sağladığı düşünülmektedir. Büyük şirketler dijital imzaları kolayca elde edebilecek kaynaklara sahipken, bağımsız geliştiriciler bunu zor bulabilir.

Kısacası, sürücü imzalama zorunluluğunun amacı güvenliği artırmak olsa da, tüketiciler üzerinde seçim özgürlüğünü kısıtlayarak, eski cihazların desteklenmesini zorlaştırarak, maliyetleri artırarak, uyumluluk sorunlarına yol açarak ve büyük şirketlerin tekelini güçlendirerek olumsuz etkilere yol açabilir.

Bu nedenle, sürücü imzalama zorunluluğunun güvenlik açısından sağladığı faydalar, tüketiciler ve inovasyon üzerindeki olumsuz etkileriyle dengelenmelidir.

Bu, belirli cihazınızda neleri çalıştırabileceğiniz ve neleri çalıştıramayacağınız ile ilgilidir.

çok sayıda bilgisayar ve elektronik bileşen içeren masa

Sürücü imzalama güvenlik açısından bu kadar faydalıysa, onu tüketici karşıtı yapan nedir? Eleştiriler, bu güvenlik mekanizmasının kullanıcıların kendi sistemleri üzerindeki özgürlüklerini ve kontrollerini ciddi şekilde kısıtlamasından kaynaklanıyor. Güvenlik ve açıklık arasında örtük bir denge var ve Microsoft, ikincisinden ziyade birincisine büyük ölçüde güveniyor. Şirket, işletim sisteminin yalnızca Microsoft tarafından onaylanmış düşük seviyeli kodlara güvendiği, gücün merkezileştirildiği ve aynı zamanda sektör çıkarlarıyla uyumlu ve sertifikalardan gelir elde eden bir model tercih etti.

Sürücü imza doğrulamasını devre dışı bırakmaya geri dönersek, ister kendi donanımınız ister sahip olduğunuz bir cihaz için olsun, kişisel kullanım için kendi özel sürücünüzü geliştirmek zahmetlidir. Ya "Sürücü İmza Uygulamasını Devre Dışı Bırak" başlatma seçeneğiyle önyükleme yapmanız, bütünlük denetimlerini tamamen devre dışı bırakmanız ya da Windows'un imza doğrulama modunu etkinleştirmeniz gerekir; bunların ikisi de pek kullanışlı değildir. Sahiplik Bilgisayarınızın "sahiplik" kavramıyla aynı anlamı vardır: Çekirdek düzeyinde Microsoft kontrolü elinde tutar.

Ayrıca, yalnızca büyük şirketler veya kaynakları iyi olan geliştiriciler sürücü imzalama gereksinimlerini kolayca karşılayabilir. Yeni bir Windows sürümü için uygun şekilde imzalanmış bir sürücü edinmek için, bir geliştiricinin titiz kimlik ve donanım kodu doğrulaması gerektiren ve yıllık birkaç yüz dolara mal olan bir EV kod imzalama sertifikası alması gerekir. Notepad++ bunun popüler bir örneğidir. Bu, Microsoft'a yıllık sertifika ücreti ödemeyi reddetmenin kullanıcı düzeyindeki yazılımları etkilediği kod imzalama sorununu da ilgilendiriyor. Aynı kavram sürücüler için de geçerli.

Windows'un nasıl yükleneceği konusunda çeşitli seçenekleri gösteren Başlangıç ​​ayarlarının ekran görüntüsü

Ancak bu gereklilik, sıradan tüketicilerin imzalı sürücü güncellemesi almamış eski cihazları kullanmasını da engelleyebilir. Diyelim ki Windows 11 PC'ye bağlamak istediğiniz eski bir PC çevre biriminiz var; sürücüsü Windows XP döneminden kalmaysa ve daha önce dijital imzası yoksa, tamamen engellenecektir. İmza zorunluluğunu (bunun beraberinde getirdiği tüm sorunlarla birlikte) devre dışı bırakabilir veya cihazı terk edebilirsiniz. Geçmişte sürücüyü değiştirebiliyordunuz, ancak ilgili maliyet ve karmaşıklık göz önüne alındığında, günümüzde kendin yap çözümleri neredeyse hiç duyulmamış durumda.

Aslında, topluluk üyeleri meseleyi kendi ellerine aldıklarında bile, bu durum hızla ters tepebilir. Geliştiricilerin kendi uygulamalarında sistem fanlarını kontrol etmek için kullanabilecekleri iki iyi bilinen sürücü vardır: InpOut32 ve WinRing0. İlki, Riot'un Vanguard'ıyla çakıştığı için birçok kişi, Fan Control gibi araçların omurgasını oluşturan ikincisini tercih etti. Ancak bu durum 2020'de keşfedildi. WinRing0'da büyük bir güvenlik açığı vardı. Birkaç yıl sonra Windows Defender tarafından bildirildi ve engellendi, bu da bu güvenlik açığına güvenen uygulamaların çalışmasını engelledi.

Bu sorun, Microsoft'un kabul ettiği geçerli bir sürücü geliştirme ve sürdürmenin maliyet sorunuyla daha da karmaşıklaşıyor. İşte bir makaleden alıntı: Verge Sorunu şöyle örneklendirebiliriz:

SignalRGB kurucusu Timothy Sun, güvenlik risklerinin daha karmaşık olduğunu açıklıyor. "WinRing0 sistem genelinde yüklü olduğundan, bir kullanıcının sistemine yüklenen ilk sürüme bağımlı olduğumuzu fark ettik. Bu durum, diğer uygulamaların potansiyel olarak savunmasız sürümler yükleyip yüklemediğini doğrulamayı son derece zorlaştırdı ve tüm çabalarımıza rağmen kullanıcılarımızı riske attı," diyor.
Bu nedenle şirketi kendi RGB arayüzüne yatırım yaptı ve sonunda 0'te WinRing2023'ı terk ederek tescilli bir SMBus sürücüsüne yöneldi. Ancak Sun da dahil olmak üzere görüştüğüm geliştiriciler, bunun pahalı bir teklif olduğu konusunda hemfikir.
Sun, "Abartmayacağım; geliştirme süreci zorluydu ve önemli mühendislik kaynakları gerektiriyordu," diyor. OpenRGB'den Adam Honsey ise, "Küçük açık kaynaklı projelerin bu yolu izleyecek finansal kapasitesi veya Microsoft'un çekirdeğini geliştirme konusunda uzmanlıkları yok," diyor.

WingRing0'ın geliştiricisi OpenLibSys, şu sıralar aktif görünmüyor ve güncellenmesi halinde aynı sürücünün Microsoft tarafından şirketin daha katı kuralları uyarınca imzalanması pek olası değil. Microsoft ayrıca, bu sürücüye kaç uygulamanın güvendiğini de biliyordu (Razer Synapse, SteelSeries Engine ve diğer birçok uygulama da onu kullanıyordu), bu da 2025'teki kullanımdan kaldırılmadan önce birkaç yıl daha kullanılabileceğini gösteriyordu.

Peki ya Linux?

Linux, Windows ve macOS kadar popüler olmasa da, özellikle geliştiriciler ve BT profesyonelleri için güçlü ve güvenilir bir seçenek olmaya devam ediyor. Linux, son derece esnek ve özelleştirilebilir olması sayesinde işletim sistemleri üzerinde tam kontrol arayan kullanıcılar için ideal bir seçenek. Ayrıca, Linux güvenli ve istikrarlı bir işletim sistemi olarak kabul ediliyor ve genellikle diğer işletim sistemlerine göre kötü amaçlı yazılımlara ve virüslere karşı daha az duyarlı.

Linux kullanmayı düşünüyorsanız, Ubuntu, Fedora ve Debian gibi birçok farklı dağıtımın mevcut olduğunu bilmeniz önemlidir. Her dağıtımın kendine özgü özellikleri ve araçları vardır, bu nedenle ihtiyaçlarınıza ve gereksinimlerinize en uygun olanı seçmeniz önemlidir. Örneğin, Ubuntu kullanım kolaylığı ve yaygın erişilebilirliği nedeniyle yeni başlayanlar için popüler bir seçimken, Fedora en yeni teknolojileri deneyimlemek isteyen kullanıcılar için iyi bir seçimdir.

Genel olarak Linux, diğer işletim sistemlerine kıyasla birçok avantaj sunan mükemmel bir işletim sistemidir. Ancak, özellikle Windows veya macOS kullanmaya alışkınsanız, Linux'u kullanmayı öğrenmek başlangıçta biraz zor olabilir. Biraz çaba sarf etmeye istekliyseniz, Linux'un ihtiyaçlarınızı karşılayabilecek güçlü ve güvenilir bir işletim sistemi olduğunu göreceksiniz.

Tamamen farklı bir ruh

Linux çekirdek güncellemesi

Windows'un aksine, Linux açık kaynaklı bir işletim sistemidir: çekirdekte neyin çalıştırılabileceğini belirleyen tek bir merkezi otorite yoktur. Linux dağıtımları, modül imzalamayı zorunlu kılma yeteneğine sahiptir (özellikle Güvenli Önyükleme etkinse; bazı dağıtımlar çekirdek modüllerinin bir anahtarla imzalanmasını gerektirir), ancak nihayetinde kullanıcı çekirdeği yeniden derleyebilir veya bu kontrolleri devre dışı bırakabilir. Bu, hile önleme yazılımlarının Windows'ta olduğu gibi Linux'ta da kullanılamamasının birçok nedeninden biridir.

Linux'ta, root düzeyinde erişime sahip bir hileci her şeye kadir kabul edilir. Hile karşıtı bağlantıları kaldırmak için çekirdeği yeniden derleyebilir veya onları durduracak merkezi bir imza yetkilisi olmadan kendi çekirdek modüllerini yükleyebilirler. Birçok hilecinin tespit edilmekten kaçınmak için hilelerini /root dizininde root olarak çalıştırması yeterli bir yol olduğu düşünüldüğünde, oyun geliştiricilerinin hile karşıtı yazılımlarını Linux'a taşımaya neden pek hevesli olmadıkları anlaşılabilir. Bir oyun root erişiminde ısrar etse bile (ki bu, Windows'taki sıradan bir anti-hile eşdeğerinden daha kötü olurdu), oyunu "sahte root" ortamında çalıştırabilirsiniz; böylece oyun, root erişimi olmadığı halde root erişimi olduğunu sanır.

Tüm bunlar, Linux'un açık doğasının, herhangi bir savunma önleminin eşit derecede ayrıcalıklı bir saldırı ile karşılanabileceği anlamına geldiği anlamına gelir ve bu gerçeklik, Linux oyunlarının mevcut durumuna da yansır. Birçok popüler oyun Linux'ta oynanabilirken (çoğu zaman Windows'takinden bile daha iyi), birçok rekabetçi oyun sonuç olarak Linux'ta çalışmayı tamamen reddeder. Aynı kavramlar kötü amaçlı yazılımlar için de geçerlidir, ancak kötü amaçlı yazılım söz konusu olduğunda Linux'taki manzara oldukça farklıdır.

Valorant "Hileci Algılandı, Maç Sonlandı" Ekranı

Microsoft'un sürücü imzalama zorunluluğu işletmeler için caziptir. Windows, çekirdeği kilitleyerek, bu kısıtlamalar olmadan daha açık bir sistemde mümkün olmayacak bir güvenlik ve kontrol düzeyi (hile önleme, kötü amaçlı yazılım önleme ve daha fazlası için) sunar. Birçok oyuncu ve işletme için, bir grup kullanıcıyı hayal kırıklığına uğratsa da, bu ödünleşim genellikle buna değer. Linux kullanıcıları benzersiz bir kontrole sahiptir, ancak bu özgürlüğün kendisi, istemci tarafındaki herhangi bir hile önleme mekanizmasının genellikle işe yaramadığı anlamına gelir. Windows'un bu alanda sahip olduğu güvenlik avantajlarından bir Linux makinesinde yararlanmak, sizi ilk başta Windows'tan ayrılmaya iten kısıtlamaların aynısını yeniden yaratır.

Merkezi bir sertifika otoritesi olmamasına rağmen Linux kullanıcılarının neden güvende kaldığı sorusunun cevabı sayısız nedene dayanıyor. Linux'un gelişmiş kullanıcı izinleri sistemi, ortaya çıkan güvenlik açıklarını hızla düzelten açık kaynaklı bir topluluk (xz-utils gibi bazı büyük güvenlik açıkları sızdığında bile), onu daha az çekici bir hedef haline getiren düşük pazar payı ve büyük ölçüde denetlenmiş depolar aracılığıyla yüklenen yazılım paketleri göz önüne alındığında, bir Windows kullanıcısını hedeflemek kadar cazip değil.

Özgürlük ve güvenlik: Her zaman elde edilmesi zor bir denklem

Sık sık şu soru akla geliyor: Özgürlük ve güvenlik arasında bir denge sağlanabilir mi? Cevap basit değil. Gerçekler bizi, maksimum özgürlüğe ulaşmanın bazen maksimum güvenliği sağlamakla çelişebileceğini ve bunun tersinin de geçerli olduğunu kabul etmeye zorluyor.

Özgürlük kavramı, ifade özgürlüğü, hareket özgürlüğü ve inanç özgürlüğü de dahil olmak üzere birçok alanı kapsar. Ancak, bu özgürlükler, kontrol altına alınmadığı takdirde, bireyler veya gruplar tarafından toplumun güvenliğini ve istikrarını tehdit etmek için kullanılabilir. Örneğin, temel bir hak olmasına rağmen ifade özgürlüğü, nefret ve şiddeti yaymanın veya kurumlara olan güveni zedeleyen yanlış bilgileri yaymanın bir aracına dönüştürülebilir.

Öte yandan, yoğun gözetim, bireysel hareket kısıtlamaları ve bilgiye erişim kısıtlamaları gibi artırılmış güvenlik önlemleri, kişisel özgürlükleri ve demokratik bir toplumun temellerini zayıflatabilir. Güvenliğe aşırı vurgu, bireylerin zulüm korkusuyla fikirlerini ifade etmekten veya haklarını kullanmaktan çekindiği bir korku ve otosansür ortamı yaratabilir.

Peki, özgürlük ve güvenlik arasında en uygun dengeyi nasıl sağlayabiliriz? Çözüm, özgürlüklerin kapsamını tanımlayan ve bunların güvenliği tehdit edecek şekilde kötüye kullanılmamasını sağlayan net kontroller ve standartlar oluşturmaktır. Bu kontroller, tehdidin büyüklüğüyle orantılı olmalı ve gereğinden fazla olmamasını sağlamak için periyodik olarak gözden geçirilmelidir.

Ayrıca, güvenlik önlemlerinin uygulanmasında şeffaflık ve hesap verebilirlik sağlanmalıdır. Bireyler haklarının bilincinde olmalı ve özgürlüklerini ihlal ettiğine inandıkları her türlü önleme itiraz etme hakkına sahip olmalıdır. Ayrıca, güvenlik adına gücün kötüye kullanılmamasını sağlamak için bağımsız denetim mekanizmaları bulunmalıdır.

Kısacası, özgürlük ve güvenlik arasındaki ilişki karmaşık ve dinamiktir. Hiçbiri diğerinin pahasına tam olarak gerçekleştirilemez. Aralarında bir denge sağlamak, bizi yönlendiren değerler ve ilkeler konusunda sürekli diyalog ve toplumsal mutabakat gerektirir. Özgürlük ve güvenliğin çatışan hedefler değil, müreffeh ve istikrarlı bir toplumun temel bileşenleri olduğunu her zaman hatırlamalıyız.

Linux ve Windows arasındaki temel farklar

İki Windows 11 dizüstü bilgisayar, biri Not Defteri'nde dışa aktarılan uygulamaların listesini gösteriyor, diğeri ise söz konusu uygulamaları içe aktarmak için winget kullanıyor

Microsoft'un Sürücü İmzası politikasının güvenlik açısından son derece etkili olduğuna şüphe yok. Microsoft, tüm çekirdek sürücülerinin imzalanmasını ve doğrulanmasını zorunlu kılarak, düşük seviyeli kötü amaçlı yazılımlara ve kötü amaçlı yazılımlara karşı en güçlü tüketici işletim sistemlerinden birini geliştirmiştir. Bir platform olarak Windows, kullanıcıların ve programların güvenebileceği güvenilir bir işletim sistemi sağlama konusunda benzersiz bir yeteneğe sahiptir. Bu nedenle, çalıştığı sürece en iyi güvenlik özelliklerinden biridir. gerçekten iyi Sistemlerin korunmasında çok büyük fark yarattı.

Ancak bu güvenliğin tüketicilere bir bedeli var. Kontrolü merkezi otoritenin elinden alıyor ve işletim sisteminizin ne yaptığını tam olarak kontrol edememeniz, açık bilişime değer veren birçok kişi için cazip değil. Bir bakıma, Windows 11, çekirdek kodu söz konusu olduğunda kullanıcıyı güvenilmeyen bir varlık olarak görüyor ve kontrol edilmediği takdirde herkesin (siz de dahil) kötü niyetli bir şey yapabileceğini varsayıyor.

Güvenlik açısından bakıldığında, bu özellik risk azaltmanın harika bir örneğidir. En tehlikeli saldırı yollarından birini önemli ölçüde engeller, ancak tüketici hakları açısından bakıldığında, sadece... Kendi ekipmanlarımızı kullanmak için iş alıyoruz.Çünkü Microsoft'un izin verip vermediği şeylere tabiyiz. Peki ya bu kavram, işletim sistemini "korumayı" da kapsayacak şekilde genişletilseydi? Ya temizleme araçları ve programları, sistemi değiştirdikleri için Microsoft'un onaylamayacağı değişiklikler yapsaydı?

Ortalama bir kullanıcı için sürücü imzalarını zorunlu kılmak harika bir adım. Bunda şüphe yok. Ancak, açık kaynak kodlu geliştiricilerin kendi yazılımlarını geliştirmenin ve başkalarıyla paylaşmanın getirdiği maliyetler nedeniyle platformdan dışlanmaları iyi bir şey değil ve yazılıma sahip olmadığımı hissetmek de hoş değil. Gerçekten mi Cihazlarımla etkileşimimin birincil yolu Windows olduğu sürece.

Mervan Redha 2632 ileti 0 yorumlar
Bunları da beğenebilirsin Yazarın diğer

Yoruma kapalı.