Jump to content

Microsoft Windows Recall Kaldırmaya Nihayet İzin Veriyor

alcalmc

By alcalmc,
in Teknoloji Haberleri

 Share

Recommended Posts

alcalmc Experienced

alcalmc

Posted
Posted

Recall güvenlik ve gizlilik mimarisi hakkında güncelleme

Genel Bakış

Yapay zeka Windows'un ayrılmaz bir parçası haline geldikçe Microsoft, Copilot+ PC'lerde 40+ TOPS Sinir İşleme Birimi'nin gücüyle uçta yapay zeka ile daha fazlasını yapıyor. Bu, daha düşük gecikme süresi, yapay zeka yoğun görevler için daha iyi pil ömrü, internet bağlantısı olmadan yapay zeka deneyimlerinin kullanımı ve bilgileri yerel olarak tutarak daha iyi gizlilik sağlar. Modelleri ve yapay zeka ile ilgili veri işlemeyi PC'ye taşımak, ürün tasarımında hesaba katılması gereken benzersiz güvenlik zorlukları da yaratır. Bu blog, Copilot+ PC'lere gelen yepyeni özel bir deneyim olan Recall'da (önizleme) uygulanan güvenlik ve gizlilik modellerini, güvenlik mimarisini ve teknik kontrolleri özetlemektedir. Recall, bilgisayarınızda gördüklerinizi anında ve güvenli bir şekilde bulmanıza yardımcı olmak için tasarlanmıştır.

Güvenlik ve gizlilik tasarım ilkeleri

1- Recall, güvenlik ve gizlilik göz önünde bulundurularak tasarlanmış ve Haziran ayında duyurulan güncellemelerle uyumlu dört ilke üzerine inşa edilmiştir:

Kontrol her zaman kullanıcıdadır.

Recall, isteğe bağlı bir deneyimdir. Copilot+ PC'ler için kurulum deneyimi sırasında, kullanıcılara Recall kullanarak anlık görüntüleri kaydetmeyi tercih edip etmeyecekleri konusunda açık bir seçenek sunulur. Bir kullanıcı proaktif olarak bu özelliği açmayı seçmezse bu özellik kapalı olur ve anlık görüntüler alınmaz veya kaydedilmez. Kullanıcılar ayrıca Windows'taki isteğe bağlı özellikler ayarlarını kullanarak Recall'u tamamen kaldırabilir.

2- Recall'daki hassas veriler her zaman şifrelenir ve anahtarlar korunur. Anlık görüntüler ve vektör veritabanındaki ilişkili bilgiler her zaman şifrelenir. Şifreleme anahtarları, kullanıcının Windows Hello Enhanced Sign-in Security kimliğine bağlı Güvenilir Platform Modülü (TPM) aracılığıyla korunur ve yalnızca Sanallaştırma Tabanlı Güvenlik Enclave'i (VBS Enclave) adı verilen güvenli bir ortamdaki işlemler tarafından kullanılabilir. Bu, diğer kullanıcıların bu anahtarlara erişemeyeceği ve dolayısıyla bu bilgilerin şifresini çözemeyeceği anlamına gelir.

OOBE-opt-in-page-1024x576.jpg

                                                            Kutudan Çıkan Deneyimi Geri Çağırma Sayfası

3- Anlık görüntüler ve ilişkili veriler üzerinde çalışan Recall hizmetleri izole edilmiştir.

Recall içinde, ekran görüntüleri ve ilişkili veriler üzerinde çalışan veya şifre çözme işlemleri gerçekleştiren hizmetler güvenli bir VBS Enclave içinde bulunur. VBS Enclave'i terk eden tek bilgi, Recall'ı aktif olarak kullanırken kullanıcı tarafından talep edilenlerdir.

4- Kullanıcılar Recall kullanımı konusunda bilinçlidir.

Recall, Recall ile ilgili işlemleri yetkilendirmek için Windows Hello Enhanced Sign-in Security'den yararlanır.

Bu, Recall ayarlarının değiştirilmesi ve Recall kullanıcı arayüzüne (UI) erişimin çalışma zamanı yetkilendirmesi gibi eylemleri içerir. Recall ayrıca hız sınırlama ve anti-hammering önlemleri aracılığıyla kötü amaçlı yazılımlara karşı koruma sağlar. Recall şu anda PIN'i yalnızca Recall yapılandırıldıktan sonra bir geri dönüş yöntemi olarak desteklemektedir ve bu, güvenli bir sensörün hasar görmesi durumunda veri kaybını önlemek içindir.

Recall güvenlik modeli

Recall anlık görüntüleri ve ilişkili veriler güvenli VBS Enclaves tarafından korunur. VBS Enclaves, bilgisayarın belleğini bilgilerin işlenebileceği özel bir korumalı alana bölmek için Azure ile aynı hipervizörü kullanır. Sıfır Güven ilkelerini kullanan bu enklavlardaki kod, anlık görüntü işleme gibi hassas işlemleri gerçekleştirmeden önce ortamın güvenli olduğunu güvence altına almak için kriptografik doğrulama protokollerini kullanabilir. Bu alan, yalnızca kullanıcı tarafından Windows Hello aracılığıyla izin verildikten sonra erişilebilen kilitli bir kutu gibi davranır. VBS Enclaves hem çekirdek hem de yönetici kullanıcılardan bir izolasyon sınırı sunar.

Anlık görüntüleri geri çağırma, yalnızca Windows Hello kimlik bilgilerini kullanarak kimlik doğrulaması yaptıktan sonra kullanılabilir. Özellikle, Windows Hello Enhanced Sign-in Security biyometrik kimlik bilgileri gizliliğinizi korur ve anlamsal dizinlerinizi sorgulamak ve ilişkili anlık görüntüleri görüntülemek için aktif olarak kimlik doğrulamanızı sağlar.

SecurityArchitecture-1024x682.jpg

                                                             Şekil 1 Geliştirilmiş Oturum Açma Güvenlik Mimarisi

Geri Çağırma içeriğinde arama yapmak için biyometrik kimlik bilgilerinin kaydedilmesi gerekir. Windows Hello Enhanced Sign-in Security ile VBS Enclaves kullanmak, arama yapmak için Geri Çağırma özelliğini kullanırken verilerin şifresinin kısa süreliğine çözülmesini sağlar. Yetkilendirme zaman aşımına uğrar ve kullanıcının gelecek oturumlar için erişim yetkisi vermesini gerektirir. Bu, gizli kötü amaçlı yazılımların veri çalmak için kullanıcı kimlik doğrulaması ile 'birlikte hareket etme' girişimlerini kısıtlar.

Gizlilik kontrollerini geri çağırma

Geri Çağırma her zaman isteğe bağlıdır. Geri Çağırma özelliğini kullanmayı seçmediğiniz sürece anlık görüntüler alınmaz veya kaydedilmez. Anlık görüntüler ve ilişkili veriler cihazda yerel olarak saklanır. Recall, anlık görüntüleri veya ilişkili verileri Microsoft veya üçüncü taraflarla paylaşmaz ya da aynı cihazdaki farklı Windows kullanıcıları arasında paylaşılmaz. Windows anlık görüntüleri kaydetmeden önce izninizi isteyecektir. Kontrol her zaman sizdedir ve anlık görüntüleri istediğiniz zaman silebilir, duraklatabilir veya kapatabilirsiniz. Kullanıcının verileri paylaşması için gelecekteki herhangi bir seçenek, kullanıcı tarafından tamamen bilgilendirilmiş açık eylem gerektirecektir.

Windows, gizliliğinizi kontrol etmenize ve daha sonra Geri Çağırma'da bulmanız için nelerin kaydedileceğini özelleştirmenize yardımcı olacak zengin bir araç seti sunar.

Desteklenen tarayıcılarda özel tarama asla kaydedilmez.

Kullanıcılar desteklenen tarayıcılarda görüntülenen belirli uygulamaları veya web sitelerini filtreleyebilir.

Kullanıcılar Recall içeriğinin ne kadar süreyle saklanacağını ve anlık görüntülere ne kadar disk alanı ayrılacağını kontrol edebilir.

Hassas içerik filtreleme varsayılan olarak açıktır ve parolaların, ulusal kimlik numaralarının ve kredi kartı numaralarının Recall'da saklanmasını azaltmaya yardımcı olur. Recall, Microsoft'un dünya çapında kurumlarda kullanılan Purview bilgi koruma ürününe güç veren kütüphanelerden yararlanır.

Kaydetmek istemediğiniz bir şey mi buldunuz? Bir zaman aralığını, bir uygulama veya web sitesindeki tüm içeriği veya Recall aramasında bulunan her şeyi silebilirsiniz.

Sistem tepsisindeki bir simge, anlık görüntülerin ne zaman kaydedildiğini bilmenize yardımcı olur ve anlık görüntülerin kaydedilmesini hızlı bir şekilde duraklatmayı kolaylaştırır.

Geri Çağırma kontrolleri ile bir kullanıcı istediği kadar çok veya az depolama yapabilir ve kontrolü elinde tutabilir.

Not: Tüm Windows özelliklerinde olduğu gibi, kullanıcının gizlilik ayarlarına bağlı olarak bazı tanılama verileri sağlanabilir.

Hatırlama mimarisi                       

Recall mimarisinin temel bileşenleri şunlardır:                           

Güvenlik Ayarları           

VBS Enclave içinde kullanılan ve Recall için güvenlik yapılandırma verilerini depolayan korumalı bir veri deposu. Güvenlik açısından hassas ayarlarda herhangi bir değişiklik yapmak için bir kullanıcı, kötü niyetli kurcalamayı önlemek için enklav içinde gerçekleştirilen eylemleri yetkilendirmelidir. Buna ek olarak, ayarlar varsayılan olarak güvenlidir, yani kurcalama tespit edilirse güvenli varsayılanlara geri döneceklerdir.

Semantik İndeks

Anlamsal dizin, görüntüleri ve metni daha sonra arama yapmak üzere vektörlere dönüştürür. Bu vektörler anlık görüntülerden çıkarılan özel bilgilere referans verebilir, bu nedenle bu vektörler VBS Enclave içinde korunan anahtarlarla şifrelenir. Tüm sorgu işlemleri VBS Enclave içinde gerçekleştirilir.

Anlık Görüntü Mağazası

Recall User Activity API ile entegre olan uygulamalar tarafından sağlanan başlatma URI'larının yanı sıra anlık görüntünün zamanı, başlık çubuğu dizesi, uygulama bekleme süreleri gibi veriler de dahil olmak üzere kaydedilen anlık görüntüleri ve ilişkili meta verileri içerir. Her anlık görüntü ayrı anahtarlarla şifrelenir ve bu anahtarlar VBS Enclave içinde korunur.

Geri Çağırma Kullanıcı Deneyimi

Kullanıcıların zaman çizelgesi, arama ve belirli anlık görüntüleri görüntüleme dahil olmak üzere bilgisayarlarında yaptıkları şeyleri bulmak için yararlandıkları kullanıcı arayüzü deneyimi.

Anlık Görüntü Hizmeti

Yeni anlık görüntülerin kaydedilmesinin yanı sıra VBS Enclave tarafından döndürülen verilerin sorgulanması ve işlenmesi için çalışma zamanı sağlayan arka plan işlemi.

SecurityArchitecture2-1024x682.jpg

                                                               Şekil 2 Geri Çağırma Güvenlik Mimarisi

Recall'ın depolama hizmetleri, verileri, anahtarları ve kurcalamayı makinede çalışan kötü amaçlı yazılımlardan veya saldırganlardan korumak için bir VBS Enclave'de bulunur. Recall UI gibi Recall bileşenleri VBS Enclave'lerinin dışında çalışır ve bu mimaride güvenilmezdir.

Anlık Görüntü Hizmeti tasarım gereği bir kullanıcı tarafından talep edilen bilgileri yayınlamak zorunda olduğundan, tasarımın temel ilkelerinden biri Recall sisteminin normal kullanımı dışında verilerin dışarı sızma potansiyelini azaltmaktır.

VBS Enclave'lerinin dışındaki işlemler hiçbir zaman anlık görüntülere veya şifreleme anahtarlarına doğrudan erişemez ve yalnızca yetkilendirmeden sonra enclave'den döndürülen verileri alır. Yetkilendirme süresi, kötü niyetli sorguların etkisini sınırlayan bir zaman aşımı ve anti-hammering korumasına sahiptir. Anlık Görüntü Hizmeti, VBS Enclave dışındaki sorgudan döndürülen verileri içeren belleğe kötü niyetli erişimi daha da sınırlayan korumalı bir işlemdir. Korumalı süreçler, kötü amaçlı yazılımdan koruma ve Windows LSA ana bilgisayarını saldırılardan korumak için kullanılan teknolojiyle aynıdır.

Son olarak, Recall VBS Enclave, kötü niyetli kullanıcıların çok fazla istekte bulunarak sistemi aşırı yüklemesini önlemek için eşzamanlılık korumasından ve monotonik sayaçlardan yararlanır.

Geri Çağırma için güvenliğin anahtarı olan ek mimari özellikler:

Bağlı ve doğrulanmış VBS Bölgeleri

Recall tarafından kullanılan şifreleme anahtarları kriptografik olarak son kullanıcının kimliğine bağlıdır, donanım platformunun TPM'sinden türetilen bir anahtarla mühürlenir ve tamamen Sanal Güven Düzeyi 1'in (VTL1) güvenilir sınırları içinde gerçekleştirilir.

Sanallaştırma Tabanlı Güvenlik (VBS) - hipervizör, bütünlüğü doğrulanmış kodu gizli ve yalıtılmış bir TEE'ye yükleyen güvenli enklav ortamı sağlar.

Geri Çağırma yalnızca Copilot+ Bilgisayarlarda çalışır

Recall yalnızca Secured-core standardını karşılayan ve varsayılan olarak Recall tarafından doğrulanan aşağıdaki özellikleri içeren Copilot+ bilgisayarlarda çalışır:

BitLocker (Windows 11 Pro) ve Cihaz Şifreleme (Windows 11 Home) TPM (Güvenilir Platform Modülü) 2.0 - TPM güvenli platform için güven kökü, Secure Enclave TEE tarafından kullanılan anahtarların yönetimi ve taklit edilemeyen monotonik sayaçlar gibi ek platform dayanıklılaştırma ilkelleri sağlar.

Sanallaştırma tabanlı güvenlik ve hipervizör tarafından zorlanan kod bütünlüğü.

Ölçülü Çizme ve Sistem Koruması Güvenli Başlatma - Bir makine güvenli bir şekilde önyükleme yapmazsa, sistemin güvenlik durumunu doğrulayamaz ve daha önce korunan içeriği açabilecek anahtarları serbest bırakamaz, böylece erken önyükleme saldırılarını azaltır.

Çevresel saldırılara karşı Çekirdek DMA Koruması.

Geri Çağırma Güvenlik İncelemeleri

Recall'ı güvenlik, gizlilik ve sorumlu yapay zekayı göz önünde bulundurarak tasarlamanın ve mimarisini oluşturmanın yanı sıra, bu özellik için bir dizi kapsamlı güvenlik değerlendirmesi de gerçekleştirdik. Bu, düşünceli ve güvenli bir yaklaşım sağlamak için aşağıdaki çabaları içerir:

Microsoft Saldırı Araştırma ve Güvenlik Mühendisliği ekibi (MORSE), Recall üzerinde aylarca tasarım incelemeleri ve sızma testleri gerçekleştirdi.

Bağımsız bir güvenlik tasarımı incelemesi ve sızma testi gerçekleştirmek için üçüncü taraf bir güvenlik satıcısı görevlendirildi.

Altı RAI ilkemiz (Adillik, Güvenilirlik ve Güvenlik, Gizlilik ve Güvenlik, Kapsayıcılık, Şeffaflık, Hesap Verebilirlik) genelinde risk, zarar ve hafifletme analizlerini kapsayan bir Sorumlu YZ Etki Değerlendirmesi (RAI) tamamlandı. Kurum içinde farkındalığı artırmak için uyumlu bir RAI Öğrenme ve Destek belgesi geliştirildi ve müşterilerimizle güven ve şeffaflığı artırmak için dışa dönük RAI içeriği yayınlandı.

Sonuç

Recall'ın güvenli tasarımı ve uygulaması, bilinen tehditlere karşı sağlam bir dizi denetim sağlar. Microsoft, en karmaşık saldırılara karşı bile güvenlik ve gizliliği korurken yapay zekanın gücünü herkesin kullanımına sunmaya kararlıdır.

Güvenliğin bir ekip işi olduğuna gerçekten inanıyoruz. OEM'ler, uygulama geliştiriciler ve ekosistemdeki diğer kişilerle iş birliği yaparak ve insanların kendilerini daha iyi korumalarına yardımcı olarak, tasarım olarak daha güvenli ve varsayılan olarak güvenli bir Windows deneyimi sunuyoruz. Windows 11 Güvenlik Kitabı, kullanıcıların Windows ile güvende kalmalarını kolaylaştıran şeyler hakkında daha fazla bilgi edinmenize yardımcı olmak için kullanılabilir.

Microsoft Güvenlik çözümleri hakkında daha fazla bilgi edinmek için web sitemizi ziyaret edin. Güvenlik konularındaki uzman haberlerimizi takip etmek için Microsoft Güvenlik Blogu'nu yer imlerine ekleyin. Ayrıca, siber güvenlikle ilgili en son haberler ve güncellemeler için bizi LinkedIn (Microsoft Security) ve X (@MSFTSecurity) üzerinden takip edin.

Editörün notu - 27 Eylül 2024: Microsoft'un Purview koruma ürünü hakkındaki bilgiler güncellendi.                                                                                               

Yazan David Weston, Microsoft Kurumsal ve İşletim Sistemi Güvenliği Başkan Yardımcısı             27 Eylül 2024

 Kaynak https://blogs.windows.com/windowsexperience/2024/09/27/update-on-recall-security-and-privacy-architecture/

 

_____________________________________________________________________________________________________________________________________________

Windows 11 sistemini kullanmadığım için gösteremedim ama yeni sürümlerde :

Windows özelliklerini aç/kapat bölümünde artık recall de var işaretini kaldırıp kaptabilirsiniz. Tıpkı arama gibi...

vmt21.gif.ecace6ce1ed37cc9a6d01ddf6d3c336f.gif

Windows Recall'ın Windows 11 Enterprise'da varsayılan olarak yüklenmeyeceği de doğrulandı. İsteğe bağlı bir işletim sistemi bileşenidir, bu nedenle kurumsal müşteriler yüklemek isteyip istemediklerine kendileri karar verebilirler. Varsayılan olarak işletim sistemi görüntüsüne dahil değildir.

 

  • Like 3
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...