Anasayfa Makale Windows 11’de TPM Neden Zorunlu?

Windows 11’de TPM Neden Zorunlu?

Windows 11 Home kurulumu

Microsoft, Windows 11’de neden TPM modülünün bilgisayarlarda bulunmasını zorunlu tuttu?

Windows 11 yıllar boyunca herkes için bir internet efsanesiydi. Her sene ortaya çıkan söylentiler Microsoft tarafından yalanlanıyor ve özellikle resmi açıklamalarla Windows 10 sürümünün son Windows olduğu söyleniyordu.

Mayıs ayının sonları, Haziran aylarının başlarında Windows 10’a gelmesi beklenen 21H2 güncellemesi yerine, aniden verilen bir karar sonucu doğrudan Windows 11’in çıkacağı söylendi. Hepimiz nefesimizi tutup 24 Haziran 2021 tarihinde yapılacak lansmanı beklemeye başladık. Hatta lansmana son 1 hafta kala Çin kaynaklı bir web sitesinden sızan imajları da aynı gece canlı yayında sanal makine üzerinden test etmeye başlamıştık. Windows 11’i denediğimiz yayının kaydını aşağıdan izleyebilirsiniz.

Öte yandan ertesi gün ortaya çıkan haberlerde gördük ki maalesef TPM modülü olmayan bilgisayarlara Windows 11’i yüklemek mümkün değildi. Minimum sistem gereksinimlerinde TPM 2.0 zorunlu hale getirilmişti. Bu otomatikmen 8. nesilden önceki bütün Intel işlemcilerin ve TPM’im yasaklı olduğu ülkelerde Windows 11’in desteklenmemesi anlamına geliyordu. Microsoft tarafından sistemlerin Windows 11 uyumluluğunu kontrol etmek amacıyla yayınlanan PC Health Check aracıyla da bu durum doğrulanmış oldu.

Peki Microsoft’a bu kararı verdiren şey neydi? Eski bilgisayarların artık tedavülden kalkması mı, yoksa Intel’in yeni işlemcilerini satma çabası mı? Komplo teorisyenleri için üzgünüz ama Microsoft’un bunu yapmasının nedeni ikisi de değil. Insider sürümü ile beraber geçici olarak bu zorunluluğun kalkması ve nihai sürümde yine olup olmayacağı da ayrıca bir merak konusu.

TPM Nedir? Ne İşe Yarar?

TPM yani Trusted Platform Module (Güvenilir Platform Modülü) aslında fiziksel olarak anakartlarda bulunan bir güvenlik donanımıdır. Bilgisayarınızı şifrelediğiniz zaman (bu, kullanıcı oturumuna parola koymaktan farklıdır), güvenlik anahtarlarınız TPM adı verilen bir modül tarafından tutulur. Böylece sisteminize bulaşan herhangi bir zararlı yazılım şifreleme anahtarınızı alamaz. Alsa bile çoğunlukla TPM modülüne bağlı olarak anahtarlar tek yönlü bir algoritma yardımıyla güvence altına alınmıştır. yani diskinizi ele geçiren kişinin verilere erişmesi söz konusu değildir.

Her bir TPM modülü benzersiz imzalara sahip başka bir donanımdır zira üretim esnasında imzalar özel olarak verilmekte. Ayrıca TPM’lerin bir cihazda aktif olarak kullanılabilmesi ve etkinleştirilebilmesi için fiziksel olarak sahibinin olması gerekiyor. Bu güvenlik modülleri eskiden anakartların üzerinde geliyorken şimdilerde doğrudan işlemcinin içerisinde yer alıyor. Ayrıca sonradan da bu modülleri satın almak mümkün. Nitekim son günlerde fırsatçıların etkisiyle bu modüllerin katbekat pahalı satılmaya başlandığını görüyoruz.

Son yıllarda piyasaya sürülen bilgisayarların neredeyse tamamı BIOS uyumlu (CSM destekli) UEFI firmware’ler ile geliyor. Teoride bu nedenle son 10-11 sene içerisinde çıkan her bilgisayar rahatlıkla Windows 11’i çalıştırabilir. Ama saçmalık şurada ki temel bileşenler desteklese bile TPM 2.0 olmadığı için Windows 11’in bu cihazlara kurulamaması gibi bir durum söz konusu.

Asus marka bir TPM modülü.

Windows 11 ile TPM Neden Zorunlu Hale Geldi?

Aslında TPM, Microsoft tarafından kullanımı uzun zamandır desteklenen ve önerilen bir modül. Genellikle kurumsal ortamlarda veri güvenliği amacıyla fazlasıyla kullanılan bu donanımsal özellik son kullanıcı tabanı için şu ana kadar zorunlu tutulmamıştı.

Microsoft temelde TPM 2.0 ile Windows 11’in daha güvenli olmasını istiyor. TPM, ilk zamanlarda dTPM olarak adlandırılan harici bir mikrodenetleyici iken zamanla küçülüp işlemcilerin içine girdi. Bu sayede Microsoft’un bu güvenlik özelliğini zorunlu kılması kolaylaştı. İşlemci içinde yer alan TPM özelliğine fTPM, yani Firmware TPM dediğimizi de belirtelim.

Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Direktörü David Weston, TPM çipinin asıl amacının “kullanıcıların kimlik bilgileri, hassas verileri ve şifreleme anahtarlarını donanımsal bir engel vasıtasıyla korumak ve saldırganlarla zararlı yazılımların bu verilere erişmesini engellemek” olarak tanımlıyor. Yani aslında TPM, gizli ve önemli bilgileri yazılımsal saldırılardan korumak için kullanabileceğimiz bir donanım kalkanı.

“Windows Hello” ile parolasız kimlik doğrulaması, Windows Defender aracılığıyla “Application Control”, BitLocker yardımıyla “tam disk şifreleme” gibi özelliklerin tamamı aslında TPM’den güç alıyor. Bu nedenle yeni Windows 11’de bu güvenlik özelliklerinin daha iyi çalışması ve hypervisor’un daha güvenilir bir şekilde kullanılabilmesi için TPM zorunlu hale getiriliyor diyebiliriz.

Yine de tam anlamıyla aşılamaz bir güvenlik özelliği olmadığını söylemiş olalım. Fiziksel saldırılara karşı saldırgana bağlı olarak savunmasız kalsa da uzaktan yapılması muhtemel olan siber saldırıların gerçekleşmesi çok daha zor hale gelecek deniliyor.

Fidye Yazılımları Artıyor

Şu anda aktif olarak 1,3 milyar kadar Windows 10 yüklü bilgisayar olduğunu hesaba katarsak ve 100 milyon kadar da Windows’un eski sürümlerinin kurulu olduğu cihazlara bakarsak Microsoft’un devasa bir ekosistem kurduğunu rahatlıkla görebiliriz. Windows sistemler bilgisayar sektöründe ezici çoğunluğa sahip olduğu için her geçen gün tehditlere daha fazla maruz kalıyor. Bir tahmine göre fidye yazılımları ve botnetler sayesinde 2031 yılına kadar küresel olarak 265 milyar dolarlık dudak uçuklatan büyüklükte bir siber suç pazarı oluşacağı iddia ediliyor.

Microsoft her ne kadar kullanıcıları ve kurumları bu tarz saldırılara karşı nasıl korunabileceklerine dair fazlasıyla eğitmeye çalışsa ve hatta işletim sistemiyle beraber yerleşik olarak Windows Defender’i sunsa da birçok kişi halen siber güvenliğin önemini kavrayabilmiş değil. Yine Microsoft tarafından Mart 2021 tarihinde yayınlanan “Security Signals” raporuna göre işletmelerin yüzde 83’ü siber saldırılara maruz kalıyor fakat sadece yüzde 29’u korunmak için önlem alıyor.

Microsoft Küresel İş Ortaklığı Çözümleri Direktör Yardımcısı Nicole Dezen, TPM gereksiniminin Windows 11’in donanım tabanlı yalıtım, hypervisor için ek güvenlik ve güvenli mod özellikleriyle beraber geleceğini söylüyor. Ayrıca telif hakkıyla korunan yazılımlar, müzikler ve diğer fikri mülkiyet eserlerini TPM yardımıyla korunabileceği düşünülüyor. TPM’in ayrıca oyunlarda anti-hile amaçlı da kullanılabileceği düşünülüyor. Yani TPM desteği zorlaması Microsoft’un Windows kullanıcılarını salt güvenlik kaygısıyla iyileştirmenin daha ötesinde etkilere sahip olabilir.

Microsoft ayrıca daha iyi anti-hile çözümleri oluşturmak amaçlı kullanılabilen bazı TPM bazlı teknolojilerin patentine de sahip. Online oyun oynayan herkesin yakındığı sorun hileler olduğu için, TPM’in bu teknolojilerle beraber kullanılması hem hilelerin hem de sisteme kötü amaçlı yazılımların bulaşmasını ileride engelleyebilir. Elbette bu şimdilik görebileceğimiz bir şey değil fakat yakın gelecekte oyunlar sizi TPM bazlı banlayabilir.

windows 11 sistem gereksinimleri

Hangi İşlemciler Destekleniyor, Hangileri Desteklenmiyor?

Windows 11’in şu ana kadar sızan Insider sürümü haricindeki sürümleri TPM 2.0’ın bulunmasını zorunlu kılmıştı. Eğer işlemciniz Microsoft tarafından açıklanan AMD veya Intel destek listesi” içinde yazıyorsa Windows 11’i alacak olan kullanıcılar arasındasınız diyebiliriz. Sadece yapmanız gereken UEFI ayarlarınızdan Intel için PTT, AMD sistemler içinse fTPM ayarını aktifleştirmek.

Bu destek listesi ilk açıklandığında birinci nesil Ryzen ve yine birinci nesil Threadripper işlemciler dahil değildi. Intel tarafında da 6. ve 7. Nesil hiçbir işlemci Microsoft tarafından desteklenmiyordu.  Daha sonra alınan kararla 7. Nesil Intel ve 1. Nesil Ryzen işlemcilere yönelik destek getirildi. Yine de 2016’dan önceki hiçbir işlemcinin desteklenmemesi oldukça acımasız. Destek listesinin sürekli genişlemesiyle beraber daha eski işlemcilere de destek geleceğini düşünüyoruz.

Hatta belki TPM destekleyenler için ve desteklemeyenler için iki ayrı kurulumla da karşılaşabiliriz. Bu opsiyonu Microsoft’un sunması gerekiyor. Listede yer almayan işlemcilere sahip olan kimselerin TPM’i donanımsal olarak anakarta takılabilecek şekilde satın alması mümkün fakat bu Microsoft tarafından “açık ve resmi” bir şekilde desteklenmiyor. Bazı özellikler beklenen gibi düzgün çalışmayabileceğinden TPM modülünün eski bir bilgisayara sonradan eklenmesi önerilmemekte.

Sonuç

Bu karardan kendi çıkarımımız, Microsoft elindeki diğer patentli TPM teknolojilerini de kullanmak ve pazara sunmak istiyor. Anti-hile çözümleri, kötü amaçlı yazılım korumaları ve diğer teknolojiler Microsoft’un zayıf kaldığı siber güvenlik sektöründe elini güçlendirebilir. Kullanıcılar da daha iyi ve güvenli bir Windows deneyimi elde edebilirler. Şimdilik yeni alınan kararla TPM zorunluluğu kalkmış olsa da ileride tekrardan gelebilir.

Ek olarak değinmeden geçmeyelim: Windows 11 duyuruldu, her şey iyi güzel fakat fırsatçılar da boş durmuyor. Lansmandan hemen sonra her yerde aniden TPM modülleri yok olmuşçasına toplanıp kara borsaya çekildi. İkinci el satış platformlarının birçoğunda normal TPM fiyatlarının 2-3 katına satılan modüller olduğunu görmek mümkün.

Eskiden bir TPM modülü yaklaşık 200 lira civarında alınabiliyorken şu anda fırsatçılar yüzünden 90 ila 100 dolar yani 700-800 lira bandında bulunabiliyor. Halihazırda zaten küresel anlamda çip krizi de varken Microsoft sanki böylesi büyük bir karar almakta fazlasıyla acele etmiş gibi gözüküyor. Yine de siz bir TPM modülü almakta acele etmeyin. Windows 11’in çıkışına daha var.

https://www.technopat.net/