Microsoft 365 -ympäristön tietoturva vaatii kovennettua konfigurointia
Microsoft on maailman suurin tietoturvayritys. Usein ajatellaan, että Microsoftin markkinajohtaja-asema suojaa automaattisesti tietoturvauhilta.
Mahdollisuudet kehittyneeseen tietoturvaan ovat toki olemassa, mutta ns. pakasta vedetyssä Microsoft 365 -ympäristössä ei ole aktivoituna tietoturvaominaisuuksia. Ilman oikeita asetuksia Microsoft 365 voi olla tietoturvauhka.
Elmo kertoo ohjeet
Tietoturvan kovennus tietojärjestelmässä viittaa toimenpiteisiin, joilla pyritään lisäämään tietojärjestelmän turvallisuutta. Tämä tarkoittaa, että tietojärjestelmän haavoittuvuuksia ja riskejä pyritään minimoimaan eli ns. haavoittuvuuspintaa pienentämään.
Elmon pilviasiantuntijatiimi seuraa aktiivisesti Microsoft 365 -ympäristön tietoturvaominaisuuksia. Microsoftin turvallisuuskonfiguraatiot kannattaa siksi koventaa Elmon suositusten mukaan. Annamme muutaman vinkin minimitason suosituksistamme.
Mistä Microsoft 365:n tietoturvauhat syntyvät?
Jos Microsoft-tenantin tai lisenssin ottaa käyttöön vakiona tulevilla konfiguroinneilla, kriittiset tietoturvaominaisuudet eivät ole käytössä. Analogiana voi ajatella uutta autoa, jossa on pitkä lista turvallisuutta parantavia ratkaisuja, mutta mitään näistä ei ole otettu käyttöön. Nykyauto on turvaton, jos lukkiutumattomat jarrut, luistonesto, turvatyynyt ja kaistavaroitin eivät ole käytössä. Samalla tavalla Microsoft 365 -ympäristö on turvaton ennen kuin turvallisuusominaisuudet on aktivoitu.
Heikkeneekö käytettävyys, jos tietoturvaa kovennetaan?
Kovennukset voivat vaatia enemmän loppukäyttäjältä – esimerkiksi kaksivaiheisen tunnistautumisen – mutta kääntöpuolena on parempi tietoturva. Toisaalta Microsoftin kaksivaiheinen tunnistautuminen tapahtuu yhä useammin PIN-koodilla tai Hello for Business -ominaisuuksilla kuten kasvojentunnistuksella, mikä on käyttäjälle varsin vaivaton turvatoimi.
Ongelma Microsoft 365:n tietoturvan kanssa tulee tyypillisimmillään siinä, että annetaan liikaa oikeuksia liian monelle. Admin-oikeutta ei pidä koskaan antaa samalle tilille, jota käytetään työntekoon kuten sähköpostin lukemiseen. Usein liian monella on jopa global admin -oikeudet, jolla voi pyyhkiä koko Microsoft-tenantin pois – tai sitten oikeuksia on tileillä, joiden omistajat eivät ole vuosiin olleet yrityksen palveluksessa.
Keskeisiä tietoturvan kovennuksia M365:een:
Elmon Microsoft 365 -turvallisuuskonfiguraatiossa on kymmeniä parametreja, jotka käydään läpi asiakaskohtaisesti ja optimoidaan niin turvallisuus kuin käytettävyys huomioiden. Koska tietoturvaympäristö uhkineen ja puolustusmenetelmineen elää, on tärkeää, että myös turvallisuuskonfiguraatiota kehitetään jatkuvasti.
Alla on esitetty kovennusten keskeiset kulmakivet, joiden ympärille Elmon turvallisuuskonfiguraatio on rakennettu:
1.
Admin-oikeuksien hallinta: Admin eli järjestelmänvalvojatunnus on tietoturvarikollisen kultasuoni. Jos rikollinen saa käyttäjätunnuksen haltuunsa, hän voi muuttaa järjestelmän asetuksia, asentaa ja poistaa ohjelmistoja ja tehdä yleisesti ottaen suurta tuhoa organisaatiolle. Tästä syystä järjestelmänvalvojan oikeuksia ei pidä koskaan antaa tileille, joita käytetään yleiseen työntekoon. Tietokoneet, joiden käyttäjillä ei ole järjestelmänvalvojatunnusta, toimivat myös merkittävästi nopeammin ja luotettavammin eli tällä parannetaan turvallisuuden lisäksi käytettävyyttä..
2.
MFA:n käyttö: Monivaiheinen tunnistautuminen (Multifactor Authentication, MFA) on turvallisuustoimenpide, jossa vaaditaan kahden tai useamman todennustekijän käyttöä. Salasanamurron todennäköisyys pienenee 99 %, kun MFA on käytössä, joten se kannattaa olla käytössä kaikille käyttäjille ja laitteille. Microsoft Authenticator -sovellus kannattaa ottaa käyttöön Microsoft 365 -ympäristössä ja käyttää sovellusta myös muissa palveluissa. MFA mahdollistaa myös järeämpien Microsoft Entran (ent. Azure AD) turvallisuusominaisuuksien käyttöönoton. Näitä ovat esimerkiksi Conditional Access.
3.
BitLocker-suojaus: BitLocker on Windowsin ilmainen salaustekniikka, joka suojaa tiedot luvattomalta käytöltä salaamalla levyaseman. Asetus kannattaa ottaa käyttöön kaikille tietokoneille. Windows edellyttää BitLocker-palautusavainta, kun se havaitsee mahdollisen luvattoman yrityksen käyttää tietoja. Tällä vaikeutetaan merkittävästi rikollista toimintaa. BitLocker suojaa tietovarkauksilta niin kadonneiden, varastettujen, kaapattujen kuin sopimattomasti käytöstä poistettujen laitteiden osalta.
Lopuksi: Kokonaiskuva tietoturva-asioissa kannattaa aina miettiä yrityksen tarpeista ja liiketoiminnasta käsin – sekä hyödyntää jatkuvasti kehittyvät Microsoft 365 -ominaisuudet kattavasti. Organisaatiokohtaisen suunnitelman saat Elmon M365-pilviasiantuntijoilta.
Ollaan yhteydessä,
Elmo