tpm + pin ile bitlocker kurulumu

 

✅ 1. TPM (Trusted Platform Module) Var mı Kontrol Et

  1. Windows + R tuşlarına bas, tpm.msc yaz ve Enter’a bas.

  2. TPM varsa, "TPM is ready for use" gibi bir mesaj görürsün.

  3. TPM versiyonu 1.2 veya 2.0 olmalıdır.

Eğer TPM yoksa, bu yöntemi uygulayamazsın. (Alternatif: USB anahtarlı doğrulama)

✅ 2. Grup İlkesi (Group Policy) Ayarını Değiştir

Bu adım, BitLocker’ın açılışta PIN sormasını zorunlu kılar.

Adımlar:

  1. Windows + Rgpedit.msc yaz → Enter.

  2. Aşağıdaki yolu izle:

r
Bilgisayar Yapılandırması →
 Yönetim Şablonları →
 Windows Bileşenleri →
 BitLocker Sürücü Şifrelemesi →
 İşletim Sistemi Sürücüleri

  1. Sağda şu ayara çift tıkla:

🔹 Startup’da ek kimlik doğrulaması gerektir (Require additional authentication at startup)

  1. Seç: Etkin (Enabled)

  2. Alt kısımda:

    • "Allow BitLocker without a compatible TPM" → Hayır işaretli olmalı.

    • "Configure TPM startup PIN" → Etkin olmalı.

  3. Kaydet ve çık.

✅ 3. BitLocker’ı Başlat ve PIN Belirle

  1. Başlat Menüsü → “BitLocker ile sürücüyü şifrele” yaz ve aç.

  2. C:\ (işletim sistemi) sürücüsü için “BitLocker’ı Aç” seçeneğine tıkla.

  3. Aşağıdaki adımlar sırasıyla gelir:

    • TPM algılandı, PIN belirlemeniz isteniyor.

    • 6-20 haneli bir PIN girin. (Sayısal önerilir ama karmaşık olmalı)

  4. Kurtarma anahtarını nereye kaydedeceğinizi seçin:

    • USB’ye

    • Microsoft hesabınıza

    • Dosya olarak (şifrelenmiş bir konumda önerilir)

  5. Şifreleme modunu seçin:

    • Yeni cihazsa: Yeni şifreleme modu (XTS-AES)

    • Eski cihazsa: Uyumluluk modu

  6. “Şifrelemeyi başlat” diyerek süreci başlat.

✅ 4. Test Et: Açılışta PIN Soruluyor mu?

Bilgisayarı yeniden başlat:

  • BIOS’tan önce BitLocker ekranı çıkar.

  • Girdiğin PIN olmadan işletim sistemi asla açılmaz.

  • TPM varsa bile, PIN girmediğin sürece şifre çözülmez.

🔒 Ekstra Güvenlik İçin Öneriler

  • BIOS/UEFI’ye parola koy (başkası boot sırasını değiştiremesin).

  • Secure Boot açık olsun.

  • Recovery key’ini şifrelenmiş parola yöneticisinde sakla.

  • Uyku/hibernation modlarını devre dışı bırak veya şifreli hazırda beklet modunu kullan.


***

🛠️ Gelişmiş Saldırı Senaryoları ve Riskler

1. Cold Boot Attack (Soğuk Başlatma Saldırısı)

Ne oluyor?
Bir saldırgan, bilgisayar kapalıyken veya uyku modundayken RAM'deki şifreleme anahtarlarını elde etmek için soğuk başlatma saldırısı yapabilir. TPM anahtarları RAM'de tutulduğundan, bilgisayar aniden kapanıp yeniden başlatıldığında bu anahtarlar, doğru yazılımlar ile RAM'den okunabilir.

Risk:

  • Fiziksel erişime sahip bir saldırgan, bilgisayarın kapalı olduğu veya uyku modunda olduğu anda RAM'i alarak şifreleme anahtarlarını çözüp diski erişilebilir hale getirebilir.

Önlem:

  • Bilgisayarın uyku moduna girmesini engellemek ya da kapanması gerektiğinde tamamen kapalı olması sağlanmalıdır.

  • Pre-boot PIN zorunluluğu ile açılışta doğrulama eklenmelidir.

  • Çift doğrulama (TPM + PIN), bu tür saldırılara karşı etkili olabilir.

2. DMA (Direct Memory Access) Saldırıları

Ne oluyor?
Thunderbolt, USB-C gibi özellikler, bilgisayarın RAM'ine doğrudan erişim sağlar. Bir saldırgan, bu tür portlara bağlanarak RAM'deki şifreleme anahtarlarını çalarak diski çözebilir.

Risk:

  • Thunderbolt gibi portlar üzerinden, bilgisayarın belleğine doğrudan erişim sağlanabilir. Bu durumda, TPM ile şifreleme olsa bile saldırgan RAM'i okuma yeteneğine sahip olabilir.

Önlem:

  • Thunderbolt portunu kapatabilir veya IOMMU/VT-d özelliklerini BIOS'tan etkinleştirerek DMA erişimini engelleyebilirsin.

  • Secure Boot ve pre-boot PIN gibi ek güvenlik katmanları kullanmak da önemli.

3. Kötü Niyetli USB ve Bootkit Saldırıları

Ne oluyor?
Eğer bir saldırgan, bilgisayarın boot sırasını değiştirirse veya kötü niyetli bir bootkit yüklerse, şifreyi çözen yazılımlar veya rootkit'ler sistemi bypass edebilir. BitLocker, donanım tabanlı güvenlik önlemleri (TPM) sunmasına rağmen, bootloader veya yükleme sırasında zararlı yazılım çalıştırılabilir.

Risk:

  • Boot sırasını değiştirmek, sisteme kötü niyetli bir USB cihazı veya harici bir disk takmak, BitLocker'ı baypas etme ve şifreyi çözme potansiyeline yol açabilir.

  • Rootkit veya bootkit kullanarak, saldırgan şifreleme anahtarlarını veya sistemi kontrol edebilir.

Önlem:

  • Secure Boot'u BIOS/UEFI'de aktif tut. Bu, yalnızca güvenli ve imzalanmış yazılımların çalışmasına izin verir.

  • BIOS/UEFI'yi parolayla koruyarak boot sırasını sadece yetkilendirilmiş kullanıcıların değiştirmesini sağla.

  • USB portları üzerinden sadece belirli cihazlara izin ver (USB boot engellemeyi düşün).

4. Evil Maid Attack (Kötü Hizmetli Saldırısı)

Ne oluyor?
Bu saldırı türü, bilgisayarın başında fiziksel olarak siz yokken gerçekleştirilir. Saldırgan, bilgisayarın bootloader'ına ya da UEFI firmware'ine müdahale ederek zararlı yazılım ekler. Bu yazılım, kullanıcıdan şifre veya PIN bilgilerini toplamak için keylogger kullanabilir.

Risk:

  • Saldırgan, bilgisayarın başında kısa bir süre fiziksel erişime sahip olduğunda, şifreleme anahtarlarını çözmeden, şifreyi toplayabilir ve sonra BitLocker’ı atlayabilir.

  • Kötü niyetli yazılım, bilgisayar yeniden başlatıldığında devreye girerek şifreyi kaydeder ve daha sonra saldırgan bunu kullanabilir.

Önlem:

  • BIOS/UEFI üzerinde parola kullanarak, bilgisayarın açılışında değişiklik yapılmasını engelle.

  • Secure Boot açık tutarak yalnızca güvenli yazılımların çalışmasına izin ver.

  • Fiziksel erişim olmayan ortamlarda bilgisayarları bırakmamaya çalış.

5. Sosyal Mühendislik ve Keylogger Saldırıları

Ne oluyor?
Bazen en güçlü güvenlik önlemleri bile insan hataları karşısında işe yaramaz. Bir saldırgan, kullanıcıyı phishing (oltalama) gibi tekniklerle kandırarak, şifre veya PIN bilgisini ele geçirebilir. Ayrıca keylogger yazılımları ile kullanıcı giriş bilgileri kaydedilebilir.

Risk:

  • Bir kullanıcı, kötü amaçlı bir e-posta veya web sitesi üzerinden BitLocker PIN’ini girerse, şifreyi bilen bir saldırgan diske erişebilir.

  • Keylogger yazılımları, şifreyi gizlice kaydedebilir ve bu şifre daha sonra BitLocker’ın şifrelemesini bypass edebilir.

Önlem:

  • E-posta ve web güvenliği konusunda dikkatli ol.

  • Anti-keylogger ve antivirüs yazılımları kullan.

  • Karmaşık ve uzun PIN'ler oluştur ve çok faktörlü kimlik doğrulama kullan.

6. Kurtarma Anahtarının Ele Geçirilmesi

Ne oluyor?
BitLocker, kurtarma anahtarı ile diski tekrar erişilebilir hâle getirebilirsin. Eğer bir saldırgan bu kurtarma anahtarına erişirse, BitLocker'ı baypas edebilir.

Risk:

  • Kurtarma anahtarının, Microsoft hesabına veya bir USB’ye kaydedilmesi durumunda, bu anahtara sahip olan bir kişi şifreyi çözüp diski açabilir.

Önlem:

  • Kurtarma anahtarını yalnızca güvenli bir yerde sakla: Şifreli bir dosya yöneticisi ya da şifreli USB cihazı.

  • Microsoft hesabına yükleme yerine yerel bir kurtarma anahtarı oluşturmayı tercih et.

🎯 Sonuç: BitLocker TPM + PIN ile Güvenli mi?

Evet, BitLocker TPM + PIN ile ciddi bir güvenlik artışı sağlar, ancak herhangi bir güvenlik sisteminin olduğu gibi tam güvenlik sağlamaz. Fiziksel erişime sahip olan, gelişmiş saldırganlar hala potansiyel bir tehdit oluşturabilir.

Riskleri Azaltmak İçin Alabileceğin Önlemler:

  1. TPM + PIN kullanmak şifrelemeyi önemli ölçüde güçlendirir.

  2. Secure Boot aktif tutmak, sadece güvenli yazılımların çalışmasına izin verir.

  3. BIOS/UEFI parolası koymak, boot sırasını kontrol etmeni sağlar.

  4. Fiziksel güvenlik önlemleri (örneğin, bilgisayarın kilitli bir odada tutulması veya güvenli bir alanda çalıştırılması) önemlidir.

  5. E-posta güvenliği ve keylogger önlemleri almak, sosyal mühendislik saldırılarına karşı savunmanı artırır.

Labels: |