Microsoft, arka arkaya gelen ciddi güvenlik olaylarının ardından işleri değiştirmek istiyor. Artık her şeyin önünde güvenlik var “Güvenli Gelecek Dönemi” başlatıldı.
Biraz geçmişte gidersek..
Storm-0558 hack olayında saldırganlar Microsoft’un bulutuna saldırdı ve ABD hükümet ajanslarının Microsoft bulutundaki posta hesaplarına erişebildi Microsoft hala bunun nasıl gerçekleştiğini bilmiyor.
Rus hacker grubu Midnight Blizzard Microsoft sistemlerine erişirken kaynak kodunu çaldı. Microsoft hala saldırganların kendi ağlarını casusluk yapmadıklarından emin değil.
Bir çok çevre Microsoft’a ciddi suçlamalarda bulundu ve siber güvenlik açısından ciddi eksikliklerle suçladı.
Diğer yandan her ay ortaya çıkan zero-day’ler bitmek tükenmek bilmeyen Exchange zafiyetleri, yayınlanan güncellemelerin kalitesizliği ve sonrasında yaşanan sistem kesintileri ve sorunlar da cabası.
Hiç bir şey eskisi gibi olmayacak!
Microsoft’un yöneticisi Satya Nadella, şirketin bundan sonra “güvenliği” önceliklendireceğini söyledi.
Charlie Bell, Microsoft Güvenlik Başkan Yardımcısı, yukarıdaki tweet gönderisinde Microsoft’un “Secure Future Initiative (SFI)’i duyurdu. Bahsedilen Secure Future Initiative (SFI) Kasım 2023’ten beri devam ediyor ve Bell’e göre Microsoft’ta güvenlik korumasını geliştirmek için tüm alanları bir araya getiriyor.
Şunu utumamak gerekiyor, Microsoft hem on-premise tarafında hem cloud tarafında lider, sadece OS seviyesinde değil özellikle üretkenlik seviyesinde vazgeçilmez durumda.
Çok Atlanan Konu “ÜRETKENLİK” !
Organizasyonlarda en kritk uygulamalar üretkenlik yazılımları! (Dynamics CRM, Word, Excel, PowerPoint, PowerBI ve diğerleri.. )
Örneğin Excel ayrı bir dünya. Bence Microsoft’un iş dünyasına en büyük hediyesi. Durum böyle olunca hüretkenlik seviyesinde Microsoft tartışmasız lider.
Evet OS seviyesinde sorunlar var ancak Windows 11 ve gelecek olan Windows Server 2025 ile bir çok şey değişecek.
Bir Çok Adım Atıldı!
İlk olarak işletim sistemi kernel’ın Rust dili ile yeniden yazılması. Özellikle güvenlik konusunda Rust çok başarılı ve OS seviyesinde seviye atlatabilir.
Bitlocker ve Credential Guard ve DNSSEC ve diğerleri.. Microsoft, güvenlik ile ilgili her geçen gün yeni bir adım atıyor. Azure tarafında ise Copilot for Security gibi Al ile bezenmiş yeni güvenlik servisleri.
Windows Server 2025 İle Kartlar Yeniden Dağıtılacak!
Windows Server 2025 ile her şey kökten değişiyor. Özellikle Active Directory tarafında gelen yeni güvenlik özellikleri heyecan verici, bazıları aşağıdaki gibi:
- Improved algorithms for Name/Sid Lookups – Local Security Authority (LSA) Name and Sid lookup forwarding between machine accounts no longer uses the legacy Netlogon secure channel. Kerberos authentication and DC Locator algorithm are used instead. To maintain compatibility with legacy operating systems, it’s still possible to use the Netlogon secure channel as a fallback option.
- Improved security for confidential attributes – DCs and AD LDS instances only allow LDAP add, search, and modify operations involving confidential attributes when the connection is encrypted.
- Improved security for default machine account passwords – AD now uses random generated default computer account passwords. Windows 2025 DCs block setting computer account passwords to the default password of the computer account name.This behavior can be controlled by enabling the GPO setting Domain controller: Refuse setting default machine account password located in: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security OptionsUtilities like Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC),
net computer, anddsmodalso honors this new behavior. Both ADAC and ADUC no longer allow creating a pre-2k Windows account. - Kerberos AES SHA256 and SHA384 – The Kerberos protocol implementation is updated to support stronger encryption and signing mechanisms with support for RFC 8009 by adding SHA-256 and SHA-384. RC4 is deprecated and moved to the do-not-use cipher list.
- Kerberos PKINIT support for cryptographic agility – The Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) protocol implementation is updated to allow for cryptographic agility by supporting more algorithms and removing hardcoded algorithms.
- LAN Manager GPO setting – The GPO setting Network security: Don’t store LAN Manager hash value on next password change is no longer present nor applicable to new versions of Windows.
- LDAP encryption by default – All LDAP client communication after a Simple Authentication and Security Layer (SASL) bind utilizes LDAP sealing by default. To learn more about SASL, see SASL Authentication.
- LDAP support for TLS 1.3 – LDAP uses the latest SCHANNEL implementation and supports TLS 1.3 for LDAP over TLS connections. Using TLS 1.3 eliminates obsolete cryptographic algorithms, enhances security over older versions, and aims to encrypt as much of the handshake as possible. To learn more, see Protocols in TLS/SSL (Schannel SSP) and TLS Cipher Suites in Windows Server 2022.
- Legacy SAM RPC password change behavior – Secure protocols such as Kerberos are the preferred way to change domain user passwords. On DCs, the latest SAM RPC password change method SamrUnicodeChangePasswordUser4 using AES is accepted by default when called remotely. The following legacy SAM RPC methods are blocked by default when called remotely:
gMSA yerine dMSA geliyor!
Toparlarsak, Microsoft büyük adımlar ile yürüşüne devam ediyor. Özellikle Al yatırımları önümüzdeki günlerde rakipleri ile makası iyice açacak gibi duruyor.