Microsoft güvenlik açıklarını gidermek ve kullanıcı deneyimini iyileştirmek amacıyla düzenli olarak güncellemeler yayınlamaktadır.
29 Ağustos 2025 tarihinde yayınlanan KB5064081 güncellemesi de bu kapsamda Windows 11 24H2 sürümü için önemli güvenlik yamaları içermektedir.
Ancak bu yamanın uygulanmasının ardından birçok kullanıcı ve sistem yöneticisi ağ (network) erişim sorunları ile karşılaşmaya başlamıştır.
Sorunların temelinde SMB (Server Message Block) protokolü üzerinden getirilen güvenlik değişiklikleri yer almaktadır.
Bu makalemde söz konusu değişikliklerin ayrıntılarını, karşılaşılan tipik problemleri ve güvenlik risklerini de göz önünde bulundurarak uygulanabilecek çözüm yöntemlerini ele alacağım.
Güncellemenin Getirdiği Değişiklikler
KB5064081 güncellemesi özellikle ağ üzerinde dosya paylaşımı için kullanılan SMB protokolünde iki kritik değişiklik yapmıştır:
- SMB İstemci Güvenlik İmzası (SMB Signing) Zorunluluğu
- Artık istemci tarafında SMB trafiğinin güvenlik imzası taşıması zorunlu hale getirilmiştir.
- Bu güncelleme ağ üzerinden gönderilen verilerin bütünlüğünü doğrulamak için önemlidir. Ancak eski cihazlar veya güncellenmemiş uygulamalar bu zorunluluk nedeniyle bağlantı hataları verebilir.
- Anonim (Guest) Erişim Kısıtlamaları
- Doğrulanmamış kullanıcı hesaplarının (unauthenticated guest) ağ paylaşımına erişimi daha sıkı şekilde sınırlandırılmıştır.
- Özellikle küçük ölçekli ağlarda veya test ortamlarında guest erişimi kullanan sistemlerde ciddi erişim problemleri yaşanabilir.
Yamadan sonra kullanıcıların ve BT yöneticilerinin raporladığı başlıca problemler şunlardır:
- Paylaşımlı klasörlere erişim sırasında “Erişim Engellendi” veya “Kimlik Doğrulama Hatası” uyarıları alınması.
- SMB üzerinden ağ sürücülerinin bağlanamaması.
- Eski cihazların ya da üçüncü taraf yazılımların dosya paylaşımında başarısız olması.
- Bazı uygulamaların ağ üzerinden okuma/yazma işlemlerinde yavaşlık veya kopmalar yaşaması.
Bu sorunlar özellikle karma ortamlarda (eski Windows sürümleri ile yeni sürümlerin birlikte çalıştığı sistemlerde) daha belirgin hale gelmektedir.
Çözüm Yöntemi
Yamanın kendisi kaldırılamadığı için geçici çözüm olarak SMB imza zorunluluğunu devre dışı bırakmak mümkündür.
Bunun için PowerShell üzerinden aşağıdaki komut çalıştırılmalıdır:
Set-SmbClientConfiguration -RequireSecuritySignature $false -Force
-RequireSecuritySignature $false: SMB imza zorunluluğunu kapatır.-Force: Komutun hemen uygulanmasını sağlar, yeniden başlatmaya gerek kalmadan etkinleşir.
Bu işlem sonrasında ağ paylaşımlarına erişim sorunsuz bir şekilde sağlanabilir.
Her ne kadar bu çözüm erişim sorunlarını ortadan kaldırsa da SMB Signing özelliğinin kapatılması güvenlik zafiyetlerine yol açabilir.
- İmza olmadan gönderilen SMB trafiği saldırganların “Man-in-the-Middle” (Ortadaki Adam) saldırıları gerçekleştirmesine olanak sağlayabilir.
- Verilerin bütünlüğü garanti edilemeyeceği için paket manipülasyonu (packet tampering) riski artar.
Bu nedenle yukarıdaki çözüm geçici bir yöntem olarak görülmeli kalıcı çözüm için aşağıdaki adımlar düşünülmelidir:
- Ağdaki cihazların ve uygulamaların SMB Signing’i destekleyecek şekilde güncellenmesi.
- Active Directory Grup İlkeleri üzerinden merkezi güvenlik ayarlarının uygulanması.
- Mümkünse SMB yerine daha güvenli protokollerin tercih edilmesi.