Kyberhyökkäykset ovat viime vuosina muuttuneet yhä monimutkaisemmiksi ja hyökkäyksiä tapahtuu yleisesti lähes jatkuvana hyökkäyksien virtana. Hyökkäykset ovat erittäin vakava uhka kaikenkokoisille organisaatioille toimialasta ja maantieteellisestä sijainnista riippumatta. Yksi tehokkaimmista tavoista rajoittaa päätelaitteiden hyökkäysrajapintaa on käyttää tavallisia käyttäjiä paikallisten järjestelmävalvojatason tunnuksen sijasta. Tämä voi kuitenkin myös luoda haasteita tuottavuudelle ja käyttäjäkokemukselle, sillä jotkin tehtävät saattavat vaatia korotettuja oikeuksia.
Tietokoneen pääkäyttäjätason tunnus on tärkeä tunnus. Tunnuksen myöntämille oikeuksilla luovutetaan käyttäjälle korkeimman mahdollisen tason pääsyä järjestelmän toimintoihin. Pääkäyttäjän oikeudet mahdollistavat esimerkiksi uusien käyttäjien luomisen, ohjelmien asentamisen tai poistamisen sekä järjestelmän yleisten asetuksien muuttamisen. Vaikka pääkäyttäjätason tunnus onkin tärkeä, sen käyttö voi aiheuttaa vakavia riskejä tietokoneelle ja sen käyttäjälle.
Yksi tärkeimmistä syistä, miksi pääkäyttäjätason tunnusta ei pitäisi käyttää, on haittaohjelmien riski. Pääkäyttäjän oikeuksilla varustettu käyttäjä voi vahingossa asentaa haittaohjelman, joka sallii täyden pääsyn järjestelmään ja sen tietoihin. Haittaohjelma voi varastaa salasanoja, henkilökohtaisia tietoja ja muita arkaluonteisia tietoja, jotka voivat johtaa vakaviin turvallisuusongelmiin
Toinen tärkeä syy pääkäyttäjätason tunnuksen välttämiseen on tietoturvan suojaus. Pääkäyttäjätason tunnusta käyttävä henkilö voi vahingossa poistaa tai muokata tärkeitä tiedostoja, järjestelmän asetuksia tai muita tietoja, jotka voivat johtaa tietokoneen epävakaisuuteen tai jopa toimintahäiriöihin. Lisäksi pääkäyttäjätason tunnuksen käyttö voi altistaa tietokoneen luvattomille käyttäjille, jotka voivat saada pääsyn henkilökohtaisiin tietoihin ja salasanoihin. Kun näin käy, on koko yrityksen tietoturva vaarassa ja yrityksen sisäisiä ja salaisia tietoja voi joutua vääriin käsiin.
Tätä ongelmaa ratkaisee Microsoft Intune, päätelaitteiden hallintaratkaisu, joka tarjoaa Endpoint Privilege Managementin (EPM) osana tuotepakettia. EPM:n avulla voit pitää kaikkia tietokoneen käyttäjiä tavallisina peruskäyttäjinä ja korottaa oikeuksia vain tarvittaessa. Yrityksen IT-tiimi asettaa organisaatiosäännöt ja parametrit, joiden perusteella käyttöoikeuksia myönnetään. Tämä tukee Zero Trust turva-arkkitehtuurin mukaista ajattelua, missä käyttöoikeuksia rajoitetaan mahdollisimman paljon. Microsoft Zero Trust on tietoturvakonsepti, joka pyrkii suojamaan organisaation tietojärjestelmiä, tietoja ja käyttäjiä kyberuhilta. Zero Trust -mallissa oletetaan, että organisaation sisäverkko ei ole turvallinen oletusarvoisesti, ja jokainen käyttäjä, laite ja sovellus on tarkistettava ennen kuin niille annetaan pääsy organisaation tietojärjestelmiin.
Tässä blogikirjoituksessa pohdimme, mikä EPM on, miten se toimii ja mitä etuja se voi tuoda organisaatiollesi.
Endpoint Privilege Management?
Endpoint Privilege Management (EPM) on ominaisuus, jonka avulla IT-ylläpitäjät voivat luoda käytäntöjä, joiden avulla määritellään, mitkä sovellukset tai prosessit saavat toimia korotetuilla oikeuksilla Microsoft Intunen hallinnoimissa Windows 10 -laitteissa. EPM hyödyntää Windows Defender Application Control (WDAC) -tekniikkaa näiden käytäntöjen toteuttamiseksi laitetasolla. EPM mahdollistaa ylläpidolle asettaa päätelaitteelle tiukempia oikeustason määrittelyjä.
EPM:n avulla on mahdollista määritellä kolme erityyppistä käyttöoikeuksien korotustilaa peruskäyttäjille:
Ensimmäinen taso on Automaattinen. Sovellus tai prosessi suoritetaan korotetuilla oikeuksilla pyytämättä käyttäjältä suostumusta tähän. Prosessi on käyttäjän kannalta täysin näkymätön tapahtuma. Käyttäjän kannalta tämä on kaikkein joustavin malli toimia. Sovellukselle, joka vaatii pääkäyttäjän oikeuksia ja on laajasti käytössä yrityksessä, on tämä ehdottomasti joustavin malli. Yrityksen IT-ylläpito voi määritellä sovelluskohtaisesti, miten oikeustasoja määritellään.
Lisäksi voidaan määritellä niin sanottu Itsepalvelutaso. Tässä tasossa käyttäjä voi pyytää sovellukselle tai prosessille korotettua käyttäjätasoa antamalla tunnistetietonsa tai biometrisen todennuksen.
Lopuksi löytyy taso, missä käyttäjä voi pyytää sovelluksen tai prosessin käyttäjätason korottamista lähettämällä pyynnön Intune-portaalin tai sähköposti-ilmoituksen kautta. Järjestelmävalvojan on hyväksyttävä pyyntö, ennen kuin se voidaan suorittaa korotetuilla oikeuksilla. Käyttäjien kannalta tämä on kaikkein joustamattomin, mutta samalla kaikkein turvallisin.
On myös mahdollista määritellä eri kriteereihin perustuvia korotustiloja, jolloin esimerkiksi laitteen ryhmäjäsenyyteen, tiedoston nimeen, tiedostopolkuun, tiedoston hash tietoihin perustuen, julkaisijan nimeen, tuotteen nimeen jne. olevat määrittelyt ohjaavat oikeuksien korotusta.
Hyödyntämällä Microsoft Intunen EPM ominaisuuksia saavutetaan useita etuja organisaatiollesi. Päällimmäisenä mainittakoon seuraavat:
- Parannettu turvallisuus: Pienennät hyökkäyspintaasi rajoittamalla paikallisten järjestelmänvalvojien oikeuksia laitteissasi ja estämällä luvattomia sovelluksia tai prosesseja toimimasta korotetuilla oikeuksilla. Voit myös auditoida ja seurata käyttöoikeuspyyntöjä ja hyväksyntöjä varmistamiseksi, ettei luvatonta käyttöä esiinny.
- Parempi tuottavuus: Voit antaa tavallisille käyttäjille mahdollisuuden suorittaa tarvittavia tehtäviä vaarantamatta tietoturvaa tai turvautumatta help desk -tukeen. Voit myös virtaviivaistaa käyttöoikeuksien hallinnan työnkulkuja itsepalvelu- tai hyväksymisvaihtoehtojen avulla.
- Yksinkertaistettu hallinta: Voit hallita keskitetysti kaikkien laitteidesi käyttöoikeuskäytäntöjä Microsoft Intunen pilvipohjaisen konsolin avulla. EPM:n käyttäminen ei vaadi laitteissasi mitään ylimääräisiä työkaluja tai agentteja.
Alpit Nordilla olemme hyödyntäneet EPM:n ominaisuuksia asiakasympäristöissä, missä tietyt sovellukset tarvitsevat pääkäyttäjän oikeuksia, mutta yrityksen tietoturvapolitiikan mukaisesti käyttäjät eivät ole työasemillaan pääkäyttäjiä. Asiakasympäristöissä tämä tarkoittaa sitä, että asiakkaan henkilökunta voi jatkaa niiden sovelluksien käyttöä, jotka vaativat pääkäyttäjätasoa, tinkimättä kuitenkaan tietoturvasta. Menetelmän avulla olemme voineet suojata asiakkaan verkkoja entistä paremmin erilaisilta kyberuhilta, ilman, että käyttäjäkokemus on heikentynyt.