Windows 10/11 ve Sunucu Güvenliği İçin 2025 ve Sonrası Zaman Çizelgesi
Windows 10/11 ve Sunucu Güvenliği: 2025 ve Sonrası için Güncelleme Takvimi
Microsoft, Windows istemci ve sunucularında Kerberos protokolü güvenliğini artırmak amacıyla 2025 yılının başından itibaren önemli güvenlik güncellemeleri uygulamaya koyuyor. Bu kapsamda, hem güçlü sertifika eşlemesi hem de Kerberos politikalarında ev sahibi (host) adları için karakter sınırı getiriliyor.
Ocak 2025: PAC Doğrulama Değişiklikleri ve Zorunlu Mod
Ocak 2025 güncellemeleri (KB5037754) ile Windows etki alanı denetleyicileri ve istemciler, varsayılan olarak zorunlu (enforced) moda geçirilecek. Bu modda, sistemlerin güvenli davranışı otomatik olarak uygulanırken, daha önce yapılmış kayıt defteri ayarları (registry key) bu varsayılan davranışı geçersiz kılabiliyor. Yöneticiler, isteğe bağlı olarak zorunlu mod ayarlarını değiştirme imkanına sahip olacak.
Şubat 2025: Sertifika Tabanlı Kimlik Doğrulamada Tam Zorunluluk
Şubat 2025 güncellemesi (KB5014754) ile sertifika tabanlı kimlik doğrulama sistemlerinde tam zorunluluk modu devreye girecek. Bu aşamada, sertifikanın tekil olarak atanamaması durumunda kimlik doğrulaması reddedilecek. Ayrıca, Microsoft, Kerberos protokolüne yönelik ev sahibi adları ile ilişkilendirilen politika girdilerine karakter uzunluğu sınırlaması getiriyor.
Nisan 2025: PAC Doğrulama Seviyesinde Yeniden Düzenleme
Nisan 2025’te yayımlanacak olan güvenlik güncellemeleri (KB5037754) ile sistemlerde, daha önce desteklenen bazı kayıt defteri alt anahtarları (PacSignatureValidationLevel ve CrossDomainFilteringLevel) kaldırılarak, yeni güvenlik davranışının tamamen uygulanması sağlanacak. Bu güncellemeden sonra, uyumluluk moduna dönme seçeneği ortadan kalkacak.
Ocak 2026 ve Sonrası: Secure Boot Bypass Korumasında Ek Önlemler
2026 Ocak ayından itibaren, Secure Boot Bypass korumasında (KB5025885) ek güncellemeler başlayacak. Bu kapsamda, “Windows Production PCA 2011” sertifikası, UEFI Secure Boot yasaklı listesine (DBX) otomatik olarak eklenerek geri alınacak. Güncellemeler, ilgili sistemlere yüklendikten sonra devreye girecek ve kullanıcıların bu korumayı devre dışı bırakma seçeneği bulunmayacak.
Kerberos Politikasında Ev Sahibi Adları için Karakter Sınırı
Microsoft, 20 Şubat 2025 tarihinde yayımladığı destek makalesinde (KB5054215) Kerberos realm’den host eşleştirme politikasında karakter uzunluğu sınırlamalarını duyurdu.
- Kullanıcı Arayüzü Sınırı: Grup İlkesi Düzenleyici, ilgili alan için 1.024 karakterden fazla yüklenmeyecek; fakat kullanıcılar 32.767 karaktere kadar veri girişi yapıp, registry.pol dosyasına başarılı şekilde yazabilecek.
- Gerçek Okuma Sınırı: Kerberos istemcisi, 2.048 karakterlik sabit bir limit ile ev sahibi adlarını okuyacak.
Bu sınırlamalar, özellikle birden fazla SPN son eki veya manuel olarak eşleştirilmiş ev sahibi listelerinin bulunduğu ortamlarda etkili olacak. Microsoft, yaşanabilecek olası sorunların aşılması için alternatif çözümler de sunuyor.
Microsoft’un uygulamaya koyduğu bu güncellemeler, sistem yöneticilerinin ve kullanıcıların güvenlik politikalarını yeniden gözden geçirmeleri ve uyum sağlamaları için önemli bir zaman dilimini işaret ediyor. Güvenlik güncellemelerinin doğru şekilde uygulanmaması durumunda, özellikle Wi-Fi ve VPN gibi alanlarda sorunlar yaşanabileceği uyarısı da dikkat çekiyor.
Bu gelişmeler, Windows ekosisteminde güvenlik standartlarının yükseltilmesi ve sistemlerin daha güvenli hale getirilmesi yönünde atılmış önemli adımları temsil ediyor.
