Active Directoryn pitkä ikä koettelee tietoturvaa – Mikä neuvoksi?

Active Directory on IT-maailman kummajainen.

Palvelu on nimittäin yhä tänäkin päivänä ajankohtainen huolimatta pitkästä, lähes neljännesvuosisataisesta taipaleestaan. IT-alalla se on ikuisuus.

Alun perin Active Directory julkaistiin jo vuonna 1999, ja sen ensimmäinen versio tuli käyttöön Windows Server 2000:n mukana. Vuosien saatossa palvelu kasvoi keskeiseksi osaksi organisaatioiden IT-infrastruktuuria, eikä suosio osoita hiipumisen merkkejä vielä 2020-luvullakaan: Active Directory on edelleen keskitetty identiteetinhallinnan luottoratkaisu lukemattomissa organisaatioissa.

Se on melkoinen saavutus.

Tietoturvan kannalta Active Directoryn syövereissä piilee kuitenkin useita kipukohtia, joista moni ei ole lainkaan tietoinen. Ikävien yllätysten ehkäisemiseksi palvelun tietoturvariskit on syytä käydä läpi perin pohjin.

Riittävän monimutkainen salasana kuuluu tietoturvan perusasioihin.

Menneisyyden painolasti on Active Directoryn perustavanlaatuinen ongelma

Active Directoryn (AD) perimmäinen ongelma juontaa juurensa ratkaisun pitkään ikään ja menneisyyden painolastiin.

Vuosien ajan organisaation infrassa viihtynyt AD on tyypillisesti monen eri ylläpitäjän käytänteiden summa. Jokaisella uudella ylläpitäjällä on toistuvasti edessään sama valtava urakka: selvittää, mitä kaikkea AD:n sisältämät lukemattomat käyttäjät, ryhmät, asetukset, organisaatioyksiköt ja ryhmäkäytännöt pitävät sisällään.

Entisestään työtä vaikeuttaa se, että Active Directoryssa on tuhansia eri asetuksia, joilla voidaan säätää toimialueessa olevien käyttäjätunnusten ja työasemien käyttäytymistä. Jokainen asetus sisältää puolestaan useita toimintoja, jotka olivat ehkä ajankohtaisia vuosia sitten mutta eivät nyky-ympäristössä välttämättä enää täytä tarkoitustaan.

Vuosien varrella palveluun on kaiken lisäksi voinut vielä kerääntyä erilaisia käyttämättömiä tunnuksia ja laitteita, jotka eivät ole osuneet kenenkään tutkaan.

"Active Directoryn perimmäinen ongelma juontaa juurensa ratkaisun pitkään ikään ja menneisyyden painolastiin."

Active Directory vetää puoleensa tietoturvarikollisia

Tietoturvarikolliselle Active Directory on houkutteleva kohde hyökkäykselle monestakin syystä.

Pitkään käytössä ollut AD on tyypillisesti toteutettu paikallisena ratkaisuna, jolloin palvelun käytettävissä olevat keinot suojautua nykyaikaisia ja jatkuvasti kehittyviä uhkia vastaan ovat hyvin rajalliset. Palkintona onnistuneesta hyökkäyksestä rikollinen voi kertaheitolla saada koko organisaation käyttöympäristön haltuunsa ja lamauttaa sen toiminnan täysin.

Toisaalta AD:n sisältämät tiedot voivat vaarantua myös käyttöjärjestelmää vastaan kohdistetuissa iskuissa. Merkittävän uhkan muodostavat esimerkiksi kiristyshaittaohjelmat, jotka saattavat pahimmillaan lukita koko palvelimen. AD:lle tämäntyyppiset iskut ovat vakavia siitä syystä, että palvelu toimii nimenomaan Windows-käyttöjärjestelmän sisällä.

Ulkoisten uhkien lisäksi on syytä muistaa myös organisaation sisältä kumpuavat riskit.

Puutteet tietoturvakäytännöissä ja ennakoivissa menetelmissä voivat nimittäin koitua AD:n kohtaloksi siinä missä kyberhyökkäyskin. Ei varmastikaan olisi ensimmäinen – eikä valitettavasti viimeinenkään – kerta, kun esimerkiksi palvelimen hajonnut kiintolevy pyyhkii koko Active Directoryn mukanaan bittiavaruuteen. Tämänkaltaiset vahingot olisivat helposti ehkäistävissä tietojen replikoinnilla ja asianmukaisilla varmistusrutiineilla.

"Pitkään käytössä ollut Active Directory on tyypillisesti toteutettu paikallisena ratkaisuna, jolloin palvelun käytettävissä olevat keinot suojautua nykyaikaisia ja jatkuvasti kehittyviä uhkia vastaan ovat hyvin rajalliset."

Active Directoryn nopea tarkistuslista

Olemme laatineet Active Directorysta viiden kohdan tarkistuslistan, jonka avulla jokainen organisaatio pääsee alkuun palvelun turvallisessa käytössä ja toimintakyvyn varmistamisessa.

1. Arkkitehtuuri ja vikasietoisuus: Onko Active Directory rakennettu toimimaan tehokkaasti ja turvallisesti? Hyviin käytänteisiin kuuluu esimerkiksi konfiguroida AD siten, että palvelimien välinen tiedonvaihto on tarkoituksenmukaista ja datan replikointi tehokasta.
2. Käyttäjät ja ryhmät: Onko Active Directoryyn jäänyt roikkumaan vanhoja, käyttämättömiä käyttäjätilejä vuosien saatossa? Ei ole lainkaan tavatonta, että AD sisältää jopa kymmeniä käyttäjätilejä, jotka on pahimmassa tapauksessa vielä varustettu ylläpito-oikeuksin. On myös syytä varmistaa, että käyttäjäryhmille ei ole annettu tarpeettoman laajaa pääsyä resursseihin.
3. Käyttöoikeudet ja salasanat: Onko käyttöoikeusrakenne ajan tasalla? Ylläpitäjien oikeudet tulee rajata vain tehtävän edellyttämään laajuuteen. Esimerkiksi salasanoja vaihtava tukipalvelu ei tarvitse Domain Admin -tason tunnuksia vaan ainoastaan oikeuden vaihtaa käyttäjien salasanoja. Salasanojen itsensä suhteen on puolestaan syytä tarkistaa oikeaoppiset käytännöt. Perinteinen kahdeksankirjaiminen salasana ei enää tänä päivänä ole riittävän turvallinen, vaan se pitäisi korvata monimutkaisemmalla merkkiyhdistelmällä.
4. Organisaatioyksiköt ja ryhmäkäytännöt: Organisaatioyksiköiden ryhmäkäytännöt sisältävät usein paljon kaikuja menneisyydestä. Varsinkin ryhmäkäytäntöihin on voinut jäädä päälle sellaisia asetuksia, jotka olivat vielä ajankohtaisia joitain vuosia takaperin mutta ovat sittemmin käyneet tarpeettomiksi. Vanhentuneet käytännöt voivat avata odottamattoman takaoven hyökkääjälle.
5. Varmistukset ja palautussuunnitelma: Ennakoivien toimenpiteiden lisäksi on varmuuden vuoksi varauduttava myös kyberhyökkäyksiin. Onko organisaatiolla selkeä suunnitelma käyttöympäristön palautuksen käytännön askeleista ja niistä toimista, joilla ympäristö saadaan hyökkäyksen jälkeen mahdollisimman nopeasti takaisin käyttöön? Onhan AD ja siihen kytketyt palvelut varmistettu riittävän turvallisesti ja varmuuskopioiden palauttamista testattu myös käytännössä?

Varmista käyttöympäristön turvallisuus yhdessä asiantuntijan kanssa

Active Directory on kuin monista pienistä palasista koostuva mosaiikki, jonka turvallisuuden varmistamisessa on perusteltua turvautua kokeneen asiantuntijan ammattitaitoon.

Innofactorin kyberturvallisuusyksiköllä on monipuolista kokemusta käyttöympäristön turvaamisesta eri aloja edustaville asiakkaille. Konsulttimme tuntevat Active Directoryn ja Microsoft 365:n turvallisuuden yleisimmät kipupisteet ja osaavat sekä ehkäistä että paikallistaa uhkia. Digitaalisen tietoturvan lisäksi haluamme parantaa asiakkaidemme kokonaisturvallisuutta myös laajemmassa mittakaavassa esimerkiksi testaamalla organisaatioiden fyysisiä tiloja valvovia järjestelmiä ja toteuttamalla kyberturvallisuusharjoituksia, jotka varmistavat, että käytännön toimet ja vastuut on jaettu organisaatiossa oikein.

Active Directory -webinaarissa asiantuntijamme kertovat, kuinka suojata organisaation toimialuetta tietoturvauhkilta. Katso webinaaritallenne verkkosivuiltamme!