WEBVTT 00:00.000 --> 00:01.560 Eğitmen: Bu derste BIOS ve UEFI 00:01.560 --> 00:02.730 içindeki bazı güvenlik 00:02.730 --> 00:05.100 özelliklerini keşfedeceğiz. 00:05.100 --> 00:07.200 Ağımızda ve işletim sistemi ortamımızda 00:07.200 --> 00:09.120 koruma sağlamanın yanı sıra, işletim 00:09.120 --> 00:10.740 sistemi öncesi ortamımızın güvenliğini 00:10.740 --> 00:13.320 de dikkate almamız gerekir. 00:13.320 --> 00:14.520 Bu, bilgisayarın açılış 00:14.520 --> 00:16.560 aşamasında saldırıya uğrayabilecek alanıdır 00:16.560 --> 00:18.720 ve bu nedenle BIOS ve UEFI parolaları, güvenli 00:18.720 --> 00:22.290 önyükleme işlemi ve anakartınızın USB bağlantı noktalarındaki izinlerin 00:22.290 --> 00:24.900 ayarlanması dahil olmak üzere önyükleyici korumaları 00:24.900 --> 00:27.030 dikkate alınmalıdır. 00:27.030 --> 00:29.700 BIOS ve UEFI'nin, işletim sistemimizin yüklenmesi ve başlatılması 00:29.700 --> 00:32.430 sırasında bize yardımcı olmak için bilgisayarlarımızda kullanılan 00:32.430 --> 00:35.730 iki farklı aygıt yazılımı türü olduğunu unutmayın. 00:35.730 --> 00:38.610 Her bilgisayarda BIOS ya da UEFI olabilir, ancak ikisi 00:38.610 --> 00:39.870 birden olamaz. 00:39.870 --> 00:42.300 BIOS temel giriş/çıkış sistemidir ve bir 00:42.300 --> 00:44.880 işletim sisteminin açılabilmesi için donanımı 00:44.880 --> 00:47.790 başlatan bir firmware arayüzüdür. 00:47.790 --> 00:49.980 BIOS'a dayanan bilgisayarlar, önyükleme bilgilerini 00:49.980 --> 00:53.550 tutmak ve yüklenecek işletim sistemini içeren belirli bir sabit sürücünün 00:53.550 --> 00:56.070 bölümlerini tanımlamak için bir ana önyükleme kaydı 00:56.070 --> 00:58.320 veya MBR kullanacaktır. 00:58.320 --> 01:01.980 BIOS daha eski, daha eski bir ürün yazılımı türüdür. 01:01.980 --> 01:04.560 UEFI ya da birleşik genişletilebilir ürün yazılımı 01:04.560 --> 01:07.170 girişimi ise daha yeni bir ürün yazılımı türüdür. 01:07.170 --> 01:09.660 UEFI, önyükleme sırasında 64 bit CPU işlemleri, tam 01:09.660 --> 01:12.690 bir grafik kullanıcı arayüzü ve önyükleme sırasında fare işlemleri 01:12.690 --> 01:15.660 ve daha iyi önyükleme güvenliği için destek sağlayan bir sistem 01:15.660 --> 01:17.520 bellenimi türüdür. 01:17.520 --> 01:19.920 UEFI kullanan bilgisayarlar, önyükleme bilgilerini 01:19.920 --> 01:24.120 tutmak için GPT olarak bilinen bir GUID bölümleme tablosu kullanacaklardır. 01:24.120 --> 01:26.160 UEFI, iki terabayttan büyük disklere 01:26.160 --> 01:28.740 erişme ve bu disklerden önyükleme yapma olanağı 01:28.740 --> 01:31.470 sağlar ve CPU'dan bağımsız mimari ve sürücülerin yanı 01:31.470 --> 01:33.960 sıra ağ özelliği ve web tarama erişimi içerebilen 01:33.960 --> 01:36.840 bir işletim sistemi öncesi ortamı sunar. 01:36.840 --> 01:39.900 Genel olarak UEFI, BIOS'tan daha yeni ve daha gelişmiştir ve güvenli 01:39.900 --> 01:42.150 önyükleme de dahil olmak üzere önyükleme işlemi 01:42.150 --> 01:45.540 sırasında ek güvenlik ve bütünlük kontrolleri sağlar. 01:45.540 --> 01:48.270 Artık BIOS ve UEFI birkaç farklı türde parola 01:48.270 --> 01:50.700 kullanılarak da korunabiliyor. 01:50.700 --> 01:52.740 Buna süpervizör, yönetici veya kurulum 01:52.740 --> 01:56.010 parolası, kullanıcı veya sistem parolası ve depolama veya 01:56.010 --> 01:58.470 sabit sürücü parolası dahildir. 01:58.470 --> 02:00.930 Gözetmen, yönetici veya kurulum parolası, 02:00.930 --> 02:03.180 BIOS veya UEFI'yi kullanırken bulacağınız 02:03.180 --> 02:05.400 ilk parola türüdür. 02:05.400 --> 02:07.470 Bu parola BIOS veya UEFI yapılandırma programına 02:07.470 --> 02:10.050 erişimi korumak için kullanılır ve yetkisiz kullanıcıların 02:10.050 --> 02:12.090 bu hassas yapılandırma aracına erişmesini 02:12.090 --> 02:14.220 engeller. 02:14.220 --> 02:17.190 Bu parolayı ayarlarsanız, birisi BIOS veya UEFI'ye 02:17.190 --> 02:19.890 girmeye çalıştığında, erişim izni vermeden önce 02:19.890 --> 02:22.170 parolayı girmesi gerekecektir, ancak 02:22.170 --> 02:25.410 birisinin bilgisayarı açmasını ve normal işletim sistemi 02:25.410 --> 02:28.710 ortamına geçmesini engellemeyecektir. 02:28.710 --> 02:31.590 Bu parola neredeyse her zaman bir şirket veya kurumsal ağdaki 02:31.590 --> 02:33.570 bilgisayarlarda ayarlanacaktır, böylece 02:33.570 --> 02:36.870 son kullanıcılarınız BIOS veya UEFI'ye erişemez, ancak sistem yöneticileriniz 02:36.870 --> 02:41.550 ve teknisyenleriniz doğru parolaya sahiplerse erişebilirler. 02:41.550 --> 02:43.830 Kullanıcı veya sistem parolası, BIOS 02:43.830 --> 02:47.430 veya UEFI'de yapılandırılabilen ikinci parola türüdür. 02:47.430 --> 02:51.270 Bu parola tüm bilgisayara erişimi kilitlemek için kullanılır. 02:51.270 --> 02:53.100 Bilgisayar her açıldığında 02:53.100 --> 02:55.530 duracak ve bir parola soracaktır. 02:55.530 --> 02:58.380 Son kullanıcı doğru şifreyi girerse, bilgisayar işletim 02:58.380 --> 03:01.320 sistemini yüklemeye ve açılmaya devam edecektir. 03:01.320 --> 03:04.170 Bu, bir bilgisayarı korumak için çok güvenli bir yöntem olsa 03:04.170 --> 03:07.380 da, kurumsal veya işletme ağlarında neredeyse hiç kullanılmaz, 03:07.380 --> 03:09.300 çünkü bu parolanın o bilgisayara erişen 03:09.300 --> 03:12.120 tüm kullanıcılarla paylaşılması gerekir ve bu paylaşılan 03:12.120 --> 03:14.700 parola, kazanmaya çalıştığımız güvenliğin bir kısmını 03:14.700 --> 03:16.170 ortadan kaldırır. 03:16.170 --> 03:19.290 Bunun yerine, genellikle bir kullanıcı veya sistem parolasının yalnızca 03:19.290 --> 03:21.090 bir kişinin bilgisayarındaki tek kullanıcı 03:21.090 --> 03:23.160 olduğu zaman kullanıldığını görürsünüz. 03:23.160 --> 03:25.200 Bu, Windows, Linux veya MacOS sistemine 03:25.200 --> 03:27.000 erişmek için kullanılacak kullanıcı 03:27.000 --> 03:30.570 parolasından ayrı ve farklı bir paroladır ve bunun yerine kullanıcıya 03:30.570 --> 03:33.000 bu işletim sistemi öncesi ortamda sisteme 03:33.000 --> 03:35.820 erişim izni verir. 03:35.820 --> 03:38.130 Üçüncü tür şifre, depolama veya sabit sürücü 03:38.130 --> 03:40.050 şifresi olarak bilinir. 03:40.050 --> 03:42.240 Bu tür bir parola, modern bilgisayarlara 03:42.240 --> 03:45.000 güvenilir platform modülü veya donanım güvenlik 03:45.000 --> 03:48.180 modülü eklenmeden önce çok popülerdi. 03:48.180 --> 03:50.550 Bu parola, sisteme bağlı bir sabit diske erişimi 03:50.550 --> 03:53.280 kilitler ve sabit diskin okunabilmesi ve işletim 03:53.280 --> 03:55.680 sisteminin yüklenebilmesi için son kullanıcının 03:55.680 --> 03:58.530 parolayı girmesini gerektirir. 03:58.530 --> 04:01.290 Doğru parola girilene kadar kullanıcıyı tüm sistemden kilitleyen 04:01.290 --> 04:03.420 kullanıcı veya sistem parolasının aksine, depolama 04:03.420 --> 04:05.820 veya sabit sürücü parolası kullanıcıyı yalnızca sabit 04:05.820 --> 04:07.710 sürücüden ve bu işletim sistemini bu sürücüden 04:07.710 --> 04:10.769 başlatma yeteneğinden kilitleyecektir. 04:10.769 --> 04:12.840 Ele almamız gereken bir sonraki güvenlik özelliği 04:12.840 --> 04:14.550 güvenli önyükleme olarak bilinir. 04:14.550 --> 04:17.130 Güvenli önyükleme UEFI arayüzünde ve ayarlarında 04:17.130 --> 04:20.370 etkinleştirilebilir ve BIOS tarafından desteklenmez. 04:20.370 --> 04:23.310 Etkinleştirilirse, bilgisayarın işletim sistemine enjekte 04:23.310 --> 04:25.620 edilen bir tür kötü amaçlı kod tarafından ele geçirilmediğinden 04:25.620 --> 04:28.680 emin olmak için Windows veya bu özelliği destekleyen diğer işletim 04:28.680 --> 04:31.350 sistemleri için açılış işlemi sırasında üç farklı doğrulama 04:31.350 --> 04:34.590 gerçekleştirecektir. 04:34.590 --> 04:36.630 Normal bir Windows sistemindeki tam 04:36.630 --> 04:38.550 açılış sürecine bir göz atalım. 04:38.550 --> 04:41.100 Sürecin ilk adımı, bir Windows bilgisayar başlatılırken, 04:41.100 --> 04:43.950 ürün yazılımı önyükleme bileşenleri yüklenirken ve önyükleme yöneticisi 04:43.950 --> 04:45.870 başlatılırken gerçekleşir. 04:45.870 --> 04:48.120 Ardından, Windows yükleyicisi başlayacak, 04:48.120 --> 04:49.830 Windows çekirdeği başlatılacak 04:49.830 --> 04:51.720 ve önyükleme kritik sürücü yüklemeleri 04:51.720 --> 04:53.130 gerçekleşecektir. 04:53.130 --> 04:55.710 Şimdi, herhangi bir ek işletim sistemi başlatma işlemi 04:55.710 --> 04:58.320 gerçekleşecek ve son olarak kullanıcıya Windows oturum 04:58.320 --> 05:00.420 açma ekranı sunulacaktır. 05:00.420 --> 05:02.610 Şimdi, aygıt yazılımı önyükleme bileşenleri güvenli 05:02.610 --> 05:05.430 bir önyükleme sırasında yüklendiğinde, aygıt yazılımı ilk olarak tüm 05:05.430 --> 05:09.030 UV yürütülebilir dosyalarının ve işletim sistemi yükleyicisinin bütünlüğünün bozulmadığını 05:09.030 --> 05:11.130 ve herhangi bir kötü amaçlı yazılım tarafından tehlikeye 05:11.130 --> 05:13.320 atılmadığını doğrulayacaktır. 05:13.320 --> 05:15.810 Bu da yüklemenin güvenli olacağı anlamına gelir. 05:15.810 --> 05:18.300 Ardından, Windows önyükleme bileşenleri yüklemeden 05:18.300 --> 05:20.370 önce her bir bileşenin dijital imzasını 05:20.370 --> 05:21.750 doğrulayacaktır. 05:21.750 --> 05:23.910 Herhangi bir bileşen bu imza kontrolünü geçemezse, 05:23.910 --> 05:27.450 yüklenmeyecek ve son kullanıcıya bir uyarı tetikleyecektir. 05:27.450 --> 05:30.060 Son olarak, önyükleme kritik sürücüleri bilinen 05:30.060 --> 05:32.490 iyi karmalarına karşı kontrol edilecek ve bu kontrolü 05:32.490 --> 05:35.160 geçerlerse, güvenli önyükleme işleminin son parçası 05:35.160 --> 05:37.110 olarak yüklenecekler. 05:37.110 --> 05:39.780 Şimdi, güvenli önyükleme söz konusu olduğunda, bunun işletim 05:39.780 --> 05:42.210 sistemimizin kendisine güvenilebileceğinden ve kök kiti 05:42.210 --> 05:45.060 olarak bilinen özel bir kötü amaçlı yazılım türünün kurbanı olmadığından 05:45.060 --> 05:47.820 emin olmak için kullanılacak bir prosedür olduğunu hatırlamanızı 05:47.820 --> 05:49.410 istiyorum. 05:49.410 --> 05:51.690 Güvenli önyüklemenin çalışması için UEFI sisteminizin 05:51.690 --> 05:54.750 içinde etkinleştirilmesi ve işletim sisteminizin de bunu 05:54.750 --> 05:56.670 desteklemesi gerekir. 05:56.670 --> 05:59.070 BIOS veya UEFI içinde ele almamız gereken son güvenlik 05:59.070 --> 06:01.950 özelliği, anakartınızdaki USB bağlantı noktalarınız için izinleri 06:01.950 --> 06:03.300 ayarlamaktır. 06:03.300 --> 06:06.090 Artık çoğu modern sistem, anakartınızdaki USB bağlantı noktalarını 06:06.090 --> 06:08.700 etkinleştirecek veya devre dışı bırakacak şekilde yapılandırılabilir 06:08.700 --> 06:11.700 ve hatta bazıları USB bağlantı noktalarını kısıtlamanıza izin verir, böylece 06:11.700 --> 06:13.380 belirli USB aygıt türlerini desteklemeyecekler, 06:13.380 --> 06:16.590 ancak diğerlerinin kullanılmasına izin vereceklerdir. 06:16.590 --> 06:18.660 Şimdi, buradaki en büyük endişe normalde 06:18.660 --> 06:20.940 kötü amaçlı yazılım ve veri kaybı olacaktır. 06:20.940 --> 06:24.120 Kötü amaçlı yazılımlar açısından, USB bağlantı noktaları sisteminize 06:24.120 --> 06:25.560 girmeye çalışan biri için harika 06:25.560 --> 06:27.270 bir saldırı yolu sağlayabilir. 06:27.270 --> 06:29.700 Örneğin, bir USB flash belleğe kötü amaçlı yazılım 06:29.700 --> 06:32.370 yüklersem, bunu bir ofis binasının dışındaki bir otoparka 06:32.370 --> 06:34.950 bırakabilirim ve birisi merak edip bunu alır ve makinesine 06:34.950 --> 06:37.050 takarsa, bu daha sonra sistemlerinize kötü 06:37.050 --> 06:39.900 amaçlı yazılım yükleyebilir. 06:39.900 --> 06:42.810 Bu yüzden USB'nin yığın depolama aygıtlarından okuma ve 06:42.810 --> 06:46.320 yazma yeteneğini devre dışı bırakarak bunu önlemek istiyoruz. 06:46.320 --> 06:49.110 Bunu USB'yi tamamen engelleyerek de yapabilirsiniz, 06:49.110 --> 06:51.630 ancak o zaman kulaklık, web kamerası, fare 06:51.630 --> 06:55.050 ve klavye gibi şeyleri kullanamazsınız. 06:55.050 --> 06:58.020 Bunun yerine, bunları yığın depolama aygıtı olarak kullanma 06:58.020 --> 07:01.020 yeteneğini kısıtlamak isteyebiliriz ve bu da USB parmak sürücüleri, 07:01.020 --> 07:03.630 flash sürücüler veya harici sabit sürücüler gibi şeylerin 07:03.630 --> 07:06.870 sisteme bağlanmasını engelleyecektir. 07:06.870 --> 07:08.250 Bu, kötü amaçlı yazılımların sistemimize 07:08.250 --> 07:10.110 girmesini önlememize yardımcı olabilir. 07:10.110 --> 07:13.020 Ancak buna ek olarak, verilerin sistemimizden çıkmasını 07:13.020 --> 07:14.880 önlememize de yardımcı olabilir. 07:14.880 --> 07:17.280 Örneğin, diyelim ki hükümet içinde çok gizli bir 07:17.280 --> 07:19.110 kuruluş için çalışıyorsunuz. 07:19.110 --> 07:20.760 Birinin küçük bir USB bellekle içeri 07:20.760 --> 07:23.700 girip bilgisayara takarak tüm bilgilerinizi indirmesini 07:23.700 --> 07:25.560 ve sonra da bununla ön kapıdan çıkıp 07:25.560 --> 07:27.540 gitmesini istemezsiniz. 07:27.540 --> 07:30.960 Bunu önlemek için, UEFI'nizi bu USB bağlantı noktalarını engelleyecek 07:30.960 --> 07:34.560 veya yığın depolama aygıtları için kullanılmalarını önleyecek şekilde 07:34.560 --> 07:37.830 yapılandırabilirsiniz ve yine başparmak sürücüleri ve harici sabit 07:37.830 --> 07:40.650 sürücüleri kullanma yeteneğini engelleyerek insanların 07:40.650 --> 07:42.540 kritik bilgilerinizle ön kapıdan çıkamamasını 07:42.540 --> 07:45.120 sağlayabilirsiniz. 07:45.120 --> 07:48.180 Unutmayın, güvenlik söz konusu olduğunda BIOS veya 07:48.180 --> 07:51.270 UEFI'nizin size sağlayabileceği üç ana şey vardır. 07:51.270 --> 07:54.060 Bunlardan ilki, sisteminizin farklı bölümlerine farklı erişimleri 07:54.060 --> 07:56.910 kontrol etmek için parola belirleme yeteneğidir. 07:56.910 --> 07:59.280 İkincisi, işletim sisteminizin yüklenmeden önce tehlikeye 07:59.280 --> 08:01.770 atılmadığından emin olmak için güvenli önyüklemeyi etkinleştirme 08:01.770 --> 08:03.180 yeteneğidir. 08:03.180 --> 08:07.050 Üçüncüsü ise kötü amaçlı yazılımların sisteme girmesini veya verilerin sisteminizden 08:07.050 --> 08:08.850 dışarı sızmasını önlemek için anakartınızdaki 08:08.850 --> 08:10.380 USB bağlantı noktalarını kısıtlama 08:10.380 --> 08:13.083 veya devre dışı bırakma yeteneğidir.