Opas: Vaaralliset Microsoft 365 oletusasetukset

Microsoft 365 -palvelussa asetusten oikeellisuudesta vastaa asiakas itse. Järjestelmä toimii myös Microsoftin tarjoamilla oletus-asetuksilla, joka lienee syy siihen että asetuksia on käyty läpi huolellisesti vain harvoin. Tässä kirjoituksessa käymme läpi 24 kohtaa, jotka olisi syytä jokaisen organisaation käydä läpi, jotta organisaatio ei vuoda tietojaan ulkopuolisille tarkoituksettomasti. Kyseinen lista on koostettu Kyberturvallisuuskeskuksen eri suosituksista. Olemme soveltaneet suosituksia erityisesti Microsoft 365 ympäristöön.

Käy läpi nämä Microsoft 365 oletusasetukset:

Tässä vielä samainen lista kohta kohdalta läpikäytynä.

1. Kaksivaiheinen tunnistautuminen käytössä kaikille käyttäjille? (Oletus ei)

Asetuksista voidaan säätää kaksivaiheinen tunnistautuminen päälle joko yksittäiselle käyttäjälle kerrallaan, tai kaikille käyttäjille yhdellä kertaa. Vain jälkimmäinen asetus tarjoaa vaaditun suojan. Aivan vastikään käyttöön otetuissa ympäristöissä asetus on oletuksena päällä käyttäjille.

2. Järjestelmänvalvojille pakotettu kaksivaiheinen tunnistautuminen (Oletus ei)

Hallintatunnuksille asetus annetaan erikseen. Virheellisissä asetuksissa kaksivaiheista tunnistusta ei ole vaadittu ylläpitäjiltä.

3. Valvontalokit otettu käyttöön? (Oletus ei)

Valvontalokista voidaan tarkastaa, onko joku esimerkiksi kopioinut yrityksen tiedot itselleen. Tietomurron sattuessa lokitieto on kriittisen tärkeää, jotta tiedetään mihin tietoihin hyökkääjä on päässyt käsiksi. Työntekijöiden tietämättä lokia ei kuitenkaan saa kerätä ja tämä ilmeisesti on syy, miksi lokitietoja ei oletuksena kerätä.

4. Valvontalokiin perustuvat hälytykset otettu käyttöön? (Oletus ei)

Mikäli valvontalokia kerätään, ylläpitoon saadaan hälytykset esimerkiksi tilanteessa, jossa ladataan suuri määrä tiedostoja organisaation ulkopuolelle.

5. Voiko Vierailijat kutsua edelleen vierailijoita? (Oletus kyllä)

Mikäli kutsutte esim. Teamsiin vierailijoita, voivat he oletuksena kutsua edelleen lisää ulkopuolisia kyseiseen ryhmään.

6. Tiedostojen automaattinen synkronointi vain yrityksen laitteisiin? (Oletus kyllä)

Potentiaalisessa murtautumistilanteessa hyökkääjä voisi tehdä asetuksen, joka synkronoi kaikki yrityksen käyttämät tiedostot hyökkääjälle. Mikäli hyökkäystä ei havaita, ovat kaikki tiedostot myös hyökkääjän käytettävissä jatkuvasti.

7. Sharepoint vaatii vahvan tunnistuksen kolmannen osapuolen ohjelmistoilta? (Oletus ei)

Microsoft 365 -ympäristön sisälle voidaan asentaa kolmannen osapuolen ohjelmistoja ja apuohjelmia. Apuohjelmistolta ei vaadita vahvaa tunnistusta, päästäkseen käsiksi organisaationne tiedostoihin, jotka ovat tallennettuna Microsoftin pilveen.

8. Liitännäisten M365 -ohjelmistojen asentaminen käyttäjiltä estetty? (Oletus ei)

Oletuksena näitä edellä mainittuja apuohjelmia pystyy siis asentamaan kuka tahansa, ilman ylläpitäjän tunnuksia.

9. Jaetut sähköpostilaatikot toimivat vain omalla tunnuksella kirjauduttaessa? (Oletus tyhjä)

Jaettuihin sähköpostilaatikoihin voidaan kirjautua kahdella tavalla. Joko käyttäen omia henkilökohtaisia tunnuksia, tai niin että jaettuun laatikkoon on sovittu yhteinen salasana. Vain ensinmainittu tapa on turvallinen. Todettakoon että Microsoft 365 -ympäristöissä tämä on yleensä toteutettu oikein, sillä jaetut sähköpostit ovat myös maksuttomia oikein toteutettuna.

10. Sähköpostin edelleen ohjaus firman ulkopuolelle estetty (Oletus tyhjä)

Käyttäjien sallitaan tehdä sääntö, jossa kaikki sisään tuleva sähköposti lähetetään itsestään edelleen esim. henkilökohtaiseen sähköpostiin. Yrityksen asiat vuotavat ulkopuolisiin järjestelmiin ja potentiaalisessa hyökkäystilanteessa hyökkääjä voi tehdä automaatin, jolla yrityksenne viestintää kyetään seuraamaan.

11. Huomautus, kun sähköposti saapuu oman firman ulkopuolelta (Oletus ei)

Hyökkääjät pyrkivät nykyisin lähettämään viestejä, jotka näyttävät saapuvan esimerkiksi omalta esimieheltä tai sisäiseltä it-tuelta. Mikäli vastaanottaja näkee viestin saapuneen ulkopuolelta, voidaan huijauksen riskiä pienentää.

12. Sähköposti suodatettu huijauksilta ja haitallisilta liitteiltä ja linkeiltä (Oletus ei)

Helppoutensa vuoksi, sähköposti on kaikista merkittävin kanava toteuttaa erilaisia huijauksia. Sähköposti tulee suodattaa haitallisilta huijauksilta, linkeiltä ja liitteiltä. Sähköpostin modernit suodatukset kustantavat usein alle 2e/hlö/kk.

13. Kirjautumissivulla Microsoftin oletuskuvitus vaihdettu toiseen? (Oletus ei)

Huijauksissa käytetään käytännössä aina Microsoftin oletus-kuvitusta. Kirjautuminen kannattaa räätälöidä oman firman brändin mukaiseksi.

14. Istunnon aikarajoitus otettu käyttöön? (Oletus kirjautuminen voimassa ikuisesti)

Kirjaudut työpaikan sähköpostiin selaimella tänään. 2 viikon kuluttua avaat saman laitteen ja selaimen uudestaan, oletko edelleen kirjautuneena sisään, vai onko järjestelmä ”potkaissut sinut ulos” jossakin vaiheessa.

15. Jokaisen käyttäjän tunnuksella pääsee Entra -hallintaportaaliin? (Oletus kyllä)

Voit testata tätä asetusta huoletta kirjautumalla osoitteeseen entra.microsoft.com käyttäjätunnuksillasi. Käyttäjätunnuksella ei varsinaisesti voi muuttaa asetuksia, eikä siten aiheuttaa harmia Entran hallintaportaalissa. Hallintaportaalista näkee kuitenkin esimerkiksi millaisiin ryhmiin ja käytänteisiin organisaation tietoturva perustuu. Tavallisella käyttäjällä ei ole tarvetta päästä Entra-hallintaan.

16. Ohjelmiston on sallittu kiertää monivaiheinen tunnistus? (Vanhan ympäristön oletus kyllä)

Mikäli Microsoft 365 -ympäristönne on otettu käyttöön ennen vuotta 2021, on asetuksissa melkoisen myrkyllinen oletus. Hyökkääjä voi ohittaa monivaiheisen tunnistuksen kokonaan, yksinkertaisesti kertomalla järjestelmälle että hän ei voi käyttää kaksivaiheista tunnistautumista.

Microsoft on uhannut poistaa ns. Legacy authenticationin käytöstä jo vuonna 2017. Asiakkaat eivät kuitenkaan ole osallistuneet talkoisiin ja esimerkiksi vanhentuneet asiakaspalvelujärjestelmät eivät uudistuksen jälkeen kykenisi uudistuksen jälkeen enää keskustelemaan Microsoft 365 järjestelmän kanssa (esim. lukemaan tai lähettämään sähköpostia). Microsoft ei halua aiheuttaa asiakkailleen asetuksen väkisin muuttamisesta aiheutuvaa liiketoiminnallista haittaa.

17. Vaadi aina kaksivaiheinen tunnistautuminen tuntemattomilta laitteilta? (Oletus ei)

Asetus vaikututaa esimerkiksi tilanteessa, jossa työntekijä lukee lapsen iPadilla sähköpostia aamiaispöydässä. Koska kirjautumistiedot voidaan tallentaa iPadiin, tulee laitteen kysyä kaksivaiheinen tunnistautuminen joka kerta, kun laitteella kirjaudutaan yrityksen Microsoft 365 -järjestelmään.

18. Päätelaitteet ovat etähallinnassa ja tietoturvan asetukset ovat keskitettyjä? (Oletus ei)

Onko kaikkien työntekijöidenne laitteissa tietoturvan asetukset oikein? Entä onko joku työntekijänne mahdollisesti ottanut jotakin asetuksia pois päältä joko vahingossa tai tarkoituksella?

Tämän kohdan täyttäminen vaatii Microsoftin Business Premium -ominaisuuksia ja usein pienen uudistuksen tapaan jolla it-ympäristö on rakennettu. Kun laitteet hallitaan keskitetysti, jatkossa esimerkiksi taustakuva voitaisiin vaihtaa kaikille koneille yhdellä kerralla ylläpitäjän toimesta.

19. Päätelaitteiden ohjelmistot päivittyvät itsestään? (Oletus ei)

Tämä kohta menee hieman Microsoft 365 oletusasetukset -aiheen ulkopuolelle. Kyberturvallisuuskeskus nostaa tämän kuitenkin suosituksissaan esiin, sillä esimerkiksi vanhentuneet selaimet (Google Chrome, Firefox…) ja näiden sisältämät lisäosat sisältävät usein ns. kriittisiä haavoittuvuuksia. Pahimmassa tapauksessa vanhentunut selain voi imaista haittaohjelman käyttäjän koneelle esimerkiksi haitallisen mainosbannerin läpi. Käyttäjän siis ei edes tarvitse klikata mistään, kun haittaohjelma asentuu itsestään ja vaarantaa koko organisaation toimintakyvyn ja jatkuvuuden.

Todettakoon että ns. ”perinteiset virustorjuntaohjelmistot” usein onneksi havaitsevat tämäntyyppisen haittaohjelman sen asentuessa koneelle.

20. Käyttäjille tarjotaan koulutusta tietoturvauhista?

Tämähän ei varsinaisesti ole mikään asetus, Kyberturvallisuuskeskus suosittelee kuitenkin kouluttamaan henkilöstöä erilaisten huijausten ja petosten välttämiseksi. Samoin useat vakuutusyhtiöt vaativat kyberturvallisuusvakuutuksissaan vuosittaista koulutusta henkilöstölle.

21. Poikkeuksellinen käytös pystytään havainnoimaan järjestelmässä? (Oletus ei)

Tätä perinteinen virustorjunta ei tee. Modernimpi tietoturvakokonaisuus kykenee huomauttamaan, mikäli esimerkiksi Microsoft 365 -ympäristön sisällä ajetaan järjestelmänvalvojan tunnuksilla koodia tai mikäli työntekijä kirjautuu järjestelmään ulkomailta.

Tällainen havainto ei siis tarkoita suoraan hyökkäystä, mutta mikäli tiedämme että kukaan työntekijöistänne ei ole ulkomailla, tällainen havainto voi olla se kohta, jossa hyökkääjä kyetään havaitsemaan. Ajoissa havaittu murto auttaa lähes varmasti ehkäisemään vahingot kokonaisuudessaan.

22. Kriittiset tiedot ovat varmuuskopioitu ulkopuoliseen palveluun? (Oletus ei)

Microsoft 365 järjestelmä kopioi tiedostot jopa kolmeen kertaan Microsoftin konesalien sisään:

• Tiedostojen varmuuskopioita säilytetään noin 90 päivää sen jälkeen kun tiedosto poistetaan.
• Sähköpostien varmuuskopioita säilytetään noin 14 päivää sen jälkeen kun sähköposti poistetaan.

Kyberturvallisuuskeskus suosittelee ottamaan varmuuskopion myös Microsoftin ympäristön ulkopuolelle.

23. Työntekijä pääsee vain työssään tarvittaviin tietoihin?

Joskus työpaikan yhteiset tiedostot ovat kaikkien työntekijöiden käytettävissä. Tiedostot tulisi jakaa ”kirjastoihin” niin, että jokainen työntekijä pääsee kiinni vain niihin tietoihin, joita hän työssään käyttää.

Tietomurtotilanteessa vahinkoa olisi tällöin rajattu ja esimerkiksi tekoälypalveluiden käytön kannalta tiedon rajaaminen on jopa välttämätöntä: Tekoäly-assistentti lukee käytännössä kaiken saatavilla olevan tiedon, eikä se kykene itsenäisesti arvioimaan mikä tieto sen tulisi jättää ulkopuolelle.

24. Työntekijä voi lähettää sähköpostia myös salattuna? (Oletus ei)

Salattu sähköposti joudutaan usein ostamaan erillisenä palveluna, se kuuluu mukaan Microsoftin Business Premium tuotepakettiin, johon aikaisemmin viitattiin.

Jalo IT auttaa tietoturva-asioissa

Olemme erikoistuneet auttamaan pk-yrityksiä modernin tietotekniikan hyödyntämisessä osana liiketoimintaa. Mikäli Microsoft 365 oletusasetukset tai tietoturva herättää huolia, ota rohkeasti yhteyttä. Tehdään kevyt kartoitus ympäristönne nykytilanteeseen ja laitetaan homma kuntoon!

Kirjoittaja:

Ville Soikkola

Toimitusjohtaja

Ville on kokenut tietotyön tehostaja ja Microsoft-tuottavuustyökalujen osaaja.