Active Directoryn pitkä ikä koettelee tietoturvaa – mikä neuvoksi?
Active Directory on IT-maailman kummajainen.
Palvelu on nimittäin yhä tänäkin päivänä ajankohtainen huolimatta pitkästä, lähes neljännesvuosisataisesta taipaleestaan. IT-alalla se on ikuisuus.
Alun perin Active Directory julkaistiin jo vuonna 1999, ja sen ensimmäinen versio tuli käyttöön Windows Server 2000:n mukana. Vuosien saatossa palvelu kasvoi keskeiseksi osaksi organisaatioiden IT-infrastruktuuria, eikä suosio osoita hiipumisen merkkejä vielä 2020-luvullakaan: Active Directory on edelleen keskitetty identiteetinhallinnan luottoratkaisu lukemattomissa organisaatioissa.
Se on melkoinen saavutus.
Tietoturvan kannalta Active Directoryn syövereissä piilee kuitenkin useita kipukohtia, joista moni ei ole lainkaan tietoinen. Ikävien yllätysten ehkäisemiseksi palvelun tietoturvariskit on syytä käydä läpi perin pohjin.
Menneisyyden painolasti on Active Directoryn perustavanlaatuinen ongelma
Active Directoryn (AD) perimmäinen ongelma juontaa juurensa ratkaisun pitkään ikään ja menneisyyden painolastiin.
Vuosien ajan organisaation infrassa viihtynyt AD on tyypillisesti monen eri ylläpitäjän käytänteiden summa. Jokaisella uudella ylläpitäjällä on toistuvasti edessään sama valtava urakka: selvittää, mitä kaikkea AD:n sisältämät lukemattomat käyttäjät, ryhmät, asetukset, organisaatioyksiköt ja ryhmäkäytännöt pitävät sisällään.
Entisestään työtä vaikeuttaa se, että Active Directoryssa on tuhansia eri asetuksia, joilla voidaan säätää toimialueessa olevien käyttäjätunnusten ja työasemien käyttäytymistä. Jokainen asetus sisältää puolestaan useita toimintoja, jotka olivat ehkä ajankohtaisia vuosia sitten mutta eivät nyky-ympäristössä välttämättä enää täytä tarkoitustaan.
Vuosien varrella palveluun on kaiken lisäksi voinut vielä kerääntyä erilaisia käyttämättömiä tunnuksia ja laitteita, jotka eivät ole osuneet kenenkään tutkaan.
Active Directory vetää puoleensa tietoturvarikollisia
Tietoturvarikolliselle Active Directory on houkutteleva kohde hyökkäykselle monestakin syystä.
Pitkään käytössä ollut AD on tyypillisesti toteutettu paikallisena ratkaisuna, jolloin palvelun käytettävissä olevat keinot suojautua nykyaikaisia ja jatkuvasti kehittyviä uhkia vastaan ovat hyvin rajalliset. Palkintona onnistuneesta hyökkäyksestä rikollinen voi kertaheitolla saada koko organisaation käyttöympäristön haltuunsa ja lamauttaa sen toiminnan täysin.
Toisaalta AD:n sisältämät tiedot voivat vaarantua myös käyttöjärjestelmää vastaan kohdistetuissa iskuissa. Merkittävän uhkan muodostavat esimerkiksi kiristyshaittaohjelmat, jotka saattavat pahimmillaan lukita koko palvelimen. AD:lle tämäntyyppiset iskut ovat vakavia siitä syystä, että palvelu toimii nimenomaan Windows-käyttöjärjestelmän sisällä.
Ulkoisten uhkien lisäksi on syytä muistaa myös organisaation sisältä kumpuavat riskit.
Puutteet tietoturvakäytännöissä ja ennakoivissa menetelmissä voivat nimittäin koitua AD:n kohtaloksi siinä missä kyberhyökkäyskin. Ei varmastikaan olisi ensimmäinen – eikä valitettavasti viimeinenkään – kerta, kun esimerkiksi palvelimen hajonnut kiintolevy pyyhkii koko Active Directoryn mukanaan bittiavaruuteen. Tämänkaltaiset vahingot olisivat helposti ehkäistävissä tietojen replikoinnilla ja asianmukaisilla varmistusrutiineilla.
Active Directoryn nopea tarkistuslista
Olemme laatineet Active Directorysta viiden kohdan tarkistuslistan, jonka avulla jokainen organisaatio pääsee alkuun palvelun turvallisessa käytössä ja toimintakyvyn varmistamisessa.
- Arkkitehtuuri ja vikasietoisuus: Onko Active Directory rakennettu toimimaan tehokkaasti ja turvallisesti? Hyviin käytänteisiin kuuluu esimerkiksi konfiguroida AD siten, että palvelimien välinen tiedonvaihto on tarkoituksenmukaista ja datan replikointi tehokasta.
- Käyttäjät ja ryhmät: Onko Active Directoryyn jäänyt roikkumaan vanhoja, käyttämättömiä käyttäjätilejä vuosien saatossa? Ei ole lainkaan tavatonta, että AD sisältää jopa kymmeniä käyttäjätilejä, jotka on pahimmassa tapauksessa vielä varustettu ylläpito-oikeuksin. On myös syytä varmistaa, että käyttäjäryhmille ei ole annettu tarpeettoman laajaa pääsyä resursseihin.
- Käyttöoikeudet ja salasanat: Onko käyttöoikeusrakenne ajan tasalla? Ylläpitäjien oikeudet tulee rajata vain tehtävän edellyttämään laajuuteen. Esimerkiksi salasanoja vaihtava tukipalvelu ei tarvitse Domain Admin -tason tunnuksia vaan ainoastaan oikeuden vaihtaa käyttäjien salasanoja. Salasanojen itsensä suhteen on puolestaan syytä tarkistaa oikeaoppiset käytännöt. Perinteinen kahdeksankirjaiminen salasana ei enää tänä päivänä ole riittävän turvallinen, vaan se pitäisi korvata monimutkaisemmalla merkkiyhdistelmällä.
- Organisaatioyksiköt ja ryhmäkäytännöt: Organisaatioyksiköiden ryhmäkäytännöt sisältävät usein paljon kaikuja menneisyydestä. Varsinkin ryhmäkäytäntöihin on voinut jäädä päälle sellaisia asetuksia, jotka olivat vielä ajankohtaisia joitain vuosia takaperin mutta ovat sittemmin käyneet tarpeettomiksi. Vanhentuneet käytännöt voivat avata odottamattoman takaoven hyökkääjälle.
- Varmistukset ja palautussuunnitelma: Ennakoivien toimenpiteiden lisäksi on varmuuden vuoksi varauduttava myös kyberhyökkäyksiin. Onko organisaatiolla selkeä suunnitelma käyttöympäristön palautuksen käytännön askeleista ja niistä toimista, joilla ympäristö saadaan hyökkäyksen jälkeen mahdollisimman nopeasti takaisin käyttöön? Onhan AD ja siihen kytketyt palvelut varmistettu riittävän turvallisesti ja varmuuskopioiden palauttamista testattu myös käytännössä?
Varmista käyttöympäristön turvallisuus yhdessä asiantuntijan kanssa
Active Directory on kuin monista pienistä palasista koostuva mosaiikki, jonka turvallisuuden varmistamisessa on perusteltua turvautua kokeneen asiantuntijan ammattitaitoon.
Innofactorin kyberturvallisuusyksiköllä on monipuolista kokemusta käyttöympäristön turvaamisesta eri aloja edustaville asiakkaille. Konsulttimme tuntevat Active Directoryn ja Microsoft 365:n turvallisuuden yleisimmät kipupisteet ja osaavat sekä ehkäistä että paikallistaa uhkia. Digitaalisen tietoturvan lisäksi haluamme parantaa asiakkaidemme kokonaisturvallisuutta myös laajemmassa mittakaavassa esimerkiksi testaamalla organisaatioiden fyysisiä tiloja valvovia järjestelmiä ja toteuttamalla kyberturvallisuusharjoituksia, jotka varmistavat, että käytännön toimet ja vastuut on jaettu organisaatiossa oikein.
Microsoft 365 -kyberturvallisuusarvioinnissa asiantuntijamme tekevät havaintoja ja antavat suosituksia tietoturvan kannalta tärkeimmistä asioista. Lue lisää tietoturva-arvioinneistamme ja varmista organisaatiosi turvallisuus myös jatkossa!
Lisätietoja
Tagit
Liiketoimintaprosessi
Laatu, turvallisuus ja ympäristö |
Erikoisosaaminen
Tietoturva |
Teknologia
Microsoft |
Tarjonnan tyyppi
Konsultointi | |
Tuki- ja ylläpitotyö |
Omat tagit
Innofactor - Asiantuntijat ja yhteyshenkilöt
Innofactor - Muita referenssejä
Innofactor - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
- Laura - Hankinta-asiantuntija, tietohallinto
- Laura - Development Manager, Operations
Premium-asiakkaiden viimeisimmät referenssit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
- Kisko Labs Oy - Sanoma Pro: Multimediasisältöjen hallinnan uudistaminen
- Kisko Labs Oy - Svean helppokäyttöinen palvelu asiakkaan verkko-ostosten hallintaan
- Kisko Labs Oy - Yhtenäinen käyttöliittymä luovien alojen ammattilaisille
- Codemate - Digitaalisen murroksen nopeuttaminen Flutterin avulla
Tapahtumat & webinaarit
- 27.11.2024 - Green ICT -ekosysteemitapaaminen III: Ohjelmistojärjestelmien virrankulutuksen mittaaminen ja kasvihuonepäästöjen arviointi
- 27.11.2024 - Digitaalisen asiakaskokemuksen uusi aikakausi
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
Premium-asiakkaiden viimeisimmät bloggaukset
- Kisko Labs Oy - Heroku: Millaisiin projekteihin se sopii ja mitkä ovat sen todelliset hyödyt ja haitat?
- Zimple Oy - Pipedrive vai Hubspot? Kumpi kannattaa valita?
- SC Software Oy - Jatkuvat palvelut – asiakaslähtöistä kumppanuutta projekteista ylläpitoon
- Timeless Technology - Ohjelmoitavat logiikat (PLC): Ratkaisevat työkalut automaatioon ControlByWebiltä.
- Kisko Labs Oy - Heroku: Ohjelmistokehittäjän ykköstyökalu skaalautuvien sovellusten rakentamiseen
- SD Worx - Näin luot vakuuttavan Business Casen palkkahallinnon ulkoistukselle
- Timeless Technology - Kyberriskien tunnistaminen Profitap IOTA verkkoanalysaattorin avulla.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |