Microsoft 365 oletus­asetukset ja niiden tietoturva

Microsoft 365 oletusasetukset. Tässä kirjoituksessa käsitellään Microsoft 365 ympäristön tietoturvaa ja erityisesti sen jopa vaarallisia oletusasetuksia. Tiesitkö, että oletusasetuksin jopa vierailevat käyttäjät näkevät vaarallisen paljon tietoja organisaatiostanne. HS uutisoi vuodenvaihteessa, kuinka lukiolainen löysi tuhansien ihmisten tiedot parilla klikkauksella. Kyseessä ei ollut tietomurto, sillä tiedot olivat kaikkien nähtävillä Microsoftin oletusasetusten vuoksi.

Espoossa kävi onni onnettomuudessa, että kyseinen lukiolainen ei halunnut käyttää löytämäänsä tietoa väärin. Ehkä karmeimpina esimerkkeinä, oletusasetusten mukaisesti käyttäjät voivat esimerkiksi kirjautua Entra ID -hallintaportaaliin, asentaa Microsoft 365 apuohjelmia, ja perustaa jopa kokonaan omia tytär-ympäristöjä, jotka sitten pääsevät edelleen laajemmin organisaationne tietoihin kiinni.

Virallisesti asiasta ei Microsoft uutisoi mitään, joten voin kertoa ainoastaan valistuneet arvaukseni siitä miksi näin on. Käyn kirjoituksessa läpi myös Microsoft 365 ympäristön tietoturvan osalta nämä vaarallisimmat löydökset, jotta myös teillä voidaan varmistaa, että ympäristöstänne ei vuoda tietoja ulospäin.

Miksi Microsoft olisi jättänyt huonoja oletus­asetuksia yritys­palveluihinsa?

Asia ei ole aivan yksioikoinen. Microsoft joutuu taiteilemaan useamman intressin välimaastossa. Mieleeni tulee ainakin kolme asiaan suoraan vaikuttavaa kokonaisuutta:

• Microsoftin loppuasiakkaiden, eli yritysten ja organisaatioiden tietoturva
• Loppukäyttäjät, eli ohjelmistojen laatu, helppokäyttöisyys, look ’n’ feel ym.
• Microsoft kumppanit, eli alustan houkuttelevuus ohjelmistokehittäijlle ja muille kumppaneille

Asiakkaiden osalta Microsoft on ajatellut asian niin, että yli 500 henkilön organisaatiot saavat oman Microsoft yhteyshenkilön. Alle 500 henkilön organisaatiot voivat tehdä sopimuksen ns. CSP-kumppanin kanssa (cloud service provider). Asiakas voi tukeutua siis sertifoituun palveluntarjoajaan ja käydä tietoturvan asetukset läpi palveluntarjoajan johdolla. (Jalo IT Oy on sertifioitu Microsoftin CSP -kumppani.)

Loppukäyttäjien osalta Microsoft on halunnut että palvelut olisivat mahdollisimman helppokäyttöisiä. Jottei ärsyttäviä virheilmoituksia näkyisi palveluita käyttäessä ja heikentäisi käyttökokemusta, osa asetuksista on jätetty tietoturvan osalta kyseenalaiseen asentoon.

Ohjelmistokehittäjien osalta Microsoft haluaa tietenkin vahvaa kumppaniverkostoa. Mitä enemmän erilaisia ohjelmistoja kehitetään Microsoftin ympäristön yhteyteen, sitä vahvempi on sen asema markkinoilla. Kolmansille osapuolille olisi inhottavaa kertoa, että kolmansien osapuolten rakentamien SaaS-ohjelmistojen triaalit ovat jo oletuksena ”ylläpidon muurin takana”.

Microsoft 365 oletus­asetukset, käy läpi ainakin nämä!

Tässä lista asioista, joita palvelussa kannattaa ainakin käydä läpi. Täsmällisen listan tekemistä hankaloittaa Microsoftin tapa muuttaa käytäntöjään ajan kuluessa. Tämä tarkoittaa sitä, että vuonna 2016 käyttöön otetussa Microsoft 365 palveluissa (silloin Office 365) on eri oletusasetukset, kuin vuonna 2017 käyttöönotetuissa vastaavissa palveluissa. Kun Microsoft lanseeraa itse palveluun lisää komponentteja, oletus tietenkin on että kaikki uudet palvelut tulevat automaattisesti kaikkien käyttöön, Microsoftin valitsemilla asetuksilla. Siksi esimerkiksi Microsoftin Copilot tekoälypalvelut ovat ilmestynyneet valtavalle käyttäjäryhmälle täysin huomaamatta syksyllä 2023 (lue lisää tästä).

1) Kaksivaiheinen tunnistautuminen kaikille hallintatunnuksille + kaikille käyttäjille

Nämä ovat itseasiassa kaksi erillistä asetusta. Usein tilanne on se että käyttäjiltä vaaditaan kaksivaiheinen tunnistautuminen, mutta hallintatunnukset ja pääkäyttäjätunnukset ovat ilman vaadittua suojaa.

2) Valvontaloki ja hälytykset otettu käyttöön

Microsoft 365 -ympäristöön jää sormenjäljet siitä, mitä käyttäjät (tai varkaat) tunnuksillaan ympäristössä tekevät. Tietoja ei kuitenkaan saa kerätä ilman että käyttäjät tietävät asiasta, siksi oletuksena tietoja ei kerätä. Valvontalokiin saa myös luotua hälytyksiä, eli saat esimerkiksi sähköpostin joka kerta kun ympäristöönne luodaan uusia hallintatunnuksia.

3) Vierailijat voivat kutsua uusia vieraita

Oletuksena tämä kohta on kyllä. Ehkä tätä ei tarvitse enempää edes perustella.

4) Sharepoint vaatii vahvan tunnistautumisen kolmannen osapuolen ohjelmistoilta

Jos tallennat organisaationne tiedostoja Teamsiin, tallennat niitä itseasiassa teknisesti Sharepointtiin. Sharepoint on teknologia, jolla luultavimmin suurin osa yrityksenne tiedoista on, mikäli tiedot on tallennettu Microsoft 365 ympäristöön. Oletuksena kolmannen osapuolen ohjelmistot eivät vaadi vahvaa tunnistautumista, jotta tiedostoihin pääsee käsiksi.

5) Liitännäisten ohjelmistojen asentaminen käyttäjiltä sallittu

Edellisen kohdan kanssa yhdistettynä tämä onkin jännittävä yhdistelmä. Oletuksena liitännäisiä ohjelmistoja voi asentaa kuka vain, ilman ylläpitäjän tunnuksia.

6) Jaettuihin sähköposteihin pääsee vain omalla tunnuksella kirjautumalla

Oletuksena jaettuihin sähköpostilaatikoihin pystyy myös kirjautumaan suoraan (todettakoon että ainakaan meillä jaettuihin sähköpostilaatikoihin ei tehdä salasanaa, jolla sinne voisi kirjautua).

7) Sähköpostin lähettäminen edelleen oman firman ulkopuolelle

Käyttäjän viestien suoraan lähettäminen edelleen on tyypillinen tapa kalastella tietoa organisaatiosta. Sen voi helposti estää suoraan.

8) Huomautus kun sähköposti tulee yrityksen ulkopuolelta

Nykyisin on erittäin yleistä että joku koittaa tekeytyä yrityksenne työntekijäksi ja kalastella tietoja (Moikka, tässä teidän toimitusjohtaja, paljonko meidän tilillä on rahaa?). Oman yrityksen ulkopuolelta saapuvaan viestiin suositellaan lisättävän erillinen tunniste. Oletuksena tällaista tunnistetta ei ole.

9) Kirjautumis­ikkunan räätälöinti

Kalasteluviesteissä näytetään aina Microsoftin oletus -kuvitusta. Kirjautumiseen kannattaa vaihtaa yrityksen oma taustakuva.

10) Istunnon aikarajoitus

Teidän työntekijänne lainaa läppäriä kaveriltaan ja kirjautuu selaimella sisälle sähköpostiin. Läppärin kansi laitetaan kiinni ja se avataan vasta tulevana maanantaina uudestaan. Onko sisäänkirjautuminen edelleen avoin, vai kirjasiko järjestelmä käyttäjän ulos? Oletuksena kirjautumisen aikakatkaisua ei ole lainkaan.

11) Entra ID hallintaportaali kaikkien käytettävissä

Tämä on yksi älyttömimpiä. Oletuksena jokainen käyttäjä voi kirjautua tunnuksillaan Entra ID hallintaportaaliin. Miksikäs jokainen ei voisi mennä hallintaportaaliin vähän tutkimaan ja sotkemaan. (Lukija, voit turvallisesti testata pääsetkö omilla tunnuksillasi Entra -hallintaan. Älä kuitenkaan muuta portaalissa mitään, vaan ilmoita mielummin asiasta ylläpitäjällenne että käy vaihtamassa asetuksen.)

12) Ohjelmistojen on sallittu kiertää monivaiheinen tunnistautuminen

2021 jälkeen tämä asetus on ollut myös oletuksena ”ei”. Ennen vuotta 2021 käyttöönotetuissa Microsoft 365 ympäristöissä on syytä käydä tarkastamassa onko ns. Legacy authentication -ominaisuus käytössä vai ei.

13) Vaadi aina kaksivaiheinen tunnistautuminen tuntemattomilta laitteilta

Oletuksena tämä asetus on ei. Joissakin käyttötapauksissa käyttäjä joutuu antamaan kaksivaiheisen tunnistautumisen, lähtökohtaisesti kuitenkin näkisin että tämä tulisi olla aina ”kyllä”.

Maksumuurin takana olevia lisä­ominaisuuksia

Listasin ylle yleiset asiat, joita ympäristössä voi laittaa kuntoon lisenssitasosta riippumatta. Omissa muistiinpanoissani on vielä muutama kohta, jotka haluan tässä samassa yhteydessä jakaa. Seuraavat ominaisuudet vaativat kuitenkin tyypillisesti lisenssitason nostoa Business Premium -tasolle.

14) Tiedostojen synkronointi sallittu vain yrityksen tuntemille laitteille.

Tiedostojen synkronoinnin estäminen muualle, kuin yrityksen omiin laitteisiin vaatii teknisesti hieman enemmän kuin yhden vivun kääntämistä toisaalle. Ajatus on kuitenkin erinomainen. Oletusasetusten mukaisesti yrityksen tiedot voidaan kopioida (synkronisoinnin avulla) organisaation hallinnan ulkopuolelle (esimerkiksi työntekijän kotikoneelle). Jotta ominaisuus toimii, vaaditaan laitehallintaa. Siitä lisää tässä kirjoituksessa.

15) Sähköpostin suodattaminen ja salatun sähköpostin lähettäminen

Oletuksena Microsoft 365 suodattaa esim. huonomaineiset lähettäjät. Haitalliset liitteet ja linkit, sekä erilaiset huijaukset menevät tavallisesta suodatuksesta herkästi ohi. Luottamukselliset tiedot tulisi myös aina lähettää salatulla sähköpostilla. Nämä ominaisuudet kuuluvat molemmat Microsoftin Premium pakettiin.

16) Poikkeavan käytöksen havainnointi

Ympäristössä on nykyisin syytä kyetä havaitsemaan esimerkiksi tilanteista, joissa joku tuntematon ajaa Microsoft 365 ympäristössänne hallintatunnuksilla ohjelmistokoodia tai vaikkapa kun käyttämällesi läppärille luodaan uusi hallintatunnus. Tärkeää on siis erityisesti havaita tilanne, jotta mahdollinen cybermurto pystytään ehkäisemään ennen kuin se ehtii oikeasti alkaa. Erityistä huomiota kannattaa kiinnittää siihen, että kumpikaan edellämainituista tilanteista ei näy perinteisessä antivirus -ohjelmassa. Microsoftin Premium pakettiin kuuluu kyvykkyys havaita poikkeuksellinen käytös sekä Microsoft 365 -ympäristössä että päätelaitteissa.

Tarvitsetko apua?

Mikäli kaipaat apua asetusten läpikäyntiin, asiantuntijamme auttavat teitä mielellään!

Kirjoittaja:

Ville Soikkola

Toimitusjohtaja

Ville on kokenut tietotyön tehostaja ja Microsoft-tuottavuustyökalujen osaaja.