Nykyaikaiset haittaohjelmat leviävät kulovalkean tavoin hyödyntämällä käyttäjäoikeuksien huolimattomasta suunnittelusta tai käytöstä johtuvia tietoturva-aukkoja. Organisaatioiden IT-ympäristöt, joissa käyttäjien koneilla on turhia järjestelmänvalvojatunnuksia, ovat vapaa temmellyskenttä mm. ransomware-kiristyshaittaohjelmille.

Tietoturvallisissa organisaatioissa on poikkeuksetta hyvin suoraviivainen tapa hallita ja jakaa käyttäjäoikeuksia. Käyttäjäoikeuksien hallintaan on olemassa useita erilaisia ratkaisuja.

 

Esimerkiksi Centero Carillon on palvelu, jolla pystytään poistamaan työasemilta jatkuvat ylläpito-oikeudet ja jakamaan väliaikaisia oikeuksia IT-tukea ja loppukäyttäjää kuormittamatta. Carillonilla Windows-laitteiden paikallisten käyttäjätunnusten ja ryhmien hallinta voidaan toteuttaa keskitetysti ja tehokkaasti. Näin työasemien ja palvelinten ylläpito on helpompaa ja tietoturva paranee merkittävästi.

Carillon taipuu myös loppukäyttäjän tarpeeseen

Poikkeustilanteet ovat suurin haaste lukitussa ympäristössä, jossa loppukäyttäjällä ei ole admin-oikeuksia käytössään. Kun käyttäjä on esimerkiksi työmatkalla IT-tuen ulottumattomissa, ongelman korjaaminen, asetuksien muuttaminen tai uuden laitteen asentaminen vaatii oikeuksia, joita käyttäjällä ei ole. Väliaikaisten ja eritasoisten käyttäjäoikeuksien hallintaan on saatavilla niin maksuttomia kuin maksullisiakin työkaluja – erilaisilla ominaisuuksilla varustettuna.

Microsoft LAPS on Microsoftin ilmainen sovellus pääkäyttäjäoikeuksien hallintaan, mutta sen käyttökohteet ovat hyvin rajalliset. Nimensä mukaan LAPS, Local Administrator Password Solution, on yksittäisen ylläpitotunnuksen hallintasovellus, joka on tarkoitettu ratkaisemaan ylläpitäjän ongelmaa.

LAPS:n ajatus on luoda lähinnä IT-ylläpitäjille backup-tunnus, jonka salasana voidaan ylläpitäjän toimesta käydä lukemassa Active Directory palvelusta”, Juha Haapsaari Centerolta kertoo.

Aito väliaikainen admin-oikeus

Centero Carillon on LAPS:iin verrattuna käyttökelpoisempi työkalu käyttäjäoikeuksien hallintaan, koska se on ominaisuuksiltaan monipuolisempi. Centero Carillonissa eri tasoisten käyttäjäoikeuksien aktivointi voidaan konfiguroida suoritettavaksi kahdella eri tavalla – jopa ilman verkkoyhteyttä!

Vaivattomimmin väliaikaiset pääkäyttäjäoikeudet saadaan käyttöön, kun loppukäyttäjä valitsee Windowsin User Account Control -ikkunassa todentamistavaksi ”Centero Carillon” sekä kirjaa syyn aktivointiin. Pääkäyttäjäoikeudet ovat käytössä vain tehtävän toimenpiteen ajan ja oikeudet palautuvat normaaliin statukseen automaattisesti.

Väliaikaiset admin-oikeudet voidaan aktivoida myös ottamalla yhteys service deskiin, jossa käyttäjälle luodaan aktivointiavain väliaikaisen tunnuksen aktivoimiseen, joka on voimassa määritetyn ajan. Tässä toimintatavassa ylläpidolla on hieman enemmän kontrollia oikeuksien aktivointiin, kun loppukäyttäjän on oltava yhteydessä IT-tukeen.

Carillon huolehtii automaattisesti siitä, että määräajan umpeuduttua tai suoritetun toimenpiteen jälkeen kyseistä tunnusta ei enää voi käyttää ilman uutta aktivointikoodia. Aktivointikoodi ei sisällä salasanaa tai muita sensitiivisiä tietoja. Näiden toimintojen ansiosta Carillon pystyy luomaan aidosti väliaikaisen admin-oikeuden, toisin kuin Microsoftin LAPS-sovellus.

LAPS:in idea on koneella valmiiksi oleva tunnus ylläpitäjän käyttöön, joka pystytään tarvittaessa ottamaan käyttöön. Tämä ei myöskään tue loppukäyttäjän itsepalvelumallia, mikä taas on Centeron Carillonissa erittäin keskeinen asia.

Carillonilla myös Azure AD-koneet hallintaan

Microsoft LAPS:iin voidaan saada mukaan vain Active Directory -koneet, kun taas pilvipohjaisen Azure AD:n koneita tai työryhmässä olevia koneita ei voida liittää lainkaan palvelun piiriin. Tämä rajaa LAPS:in ulkopuolelle pienemmät organisaatiot, jotka käyttävät nykyaikaista Azure AD:ta tai työryhmässä olevia koneita AD:n sijaan.

Työryhmissä olevien koneiden hallinta onnistuu Carillonilla, toisin kuin Microsoft LAPS:illa. Carillonin tiedot tallentuvat SQL-tietokantaan, joten Carillon vaatii toimiakseen Microsoft SQL 2005 tai uudemman SQL-serverin, kun Microsoft LAPS ei tarvitse toimiakseen SQL-kantaa tai IIS:iä.

Carillonin käyttämä tieto konetileistä on paremmassa tallessa tietokannassa, kuin esimerkiksi Active Directoryyn tallennettuna. Active Directoryssä tehtävien toimenpiteiden myötä kasvaa riski esim. tilin tai koneen salasanan poistamiseen vahingossa.

Carillonissa käyttäjätunnus- ja ryhmämäärityksiä voidaan tehdä olemassa olevan Active Directory -rakenteen perusteella. Esimerkiksi domain-tasolle voidaan asettaa tietyt koko domainia koskevat tunnus- ja ryhmäsäännöt, tarkentaa niitä organisaatioyksikköjen tasolla ja tarkentaa vielä lisää konetasolla.

Myös uusien tunnuksien ja ryhmien luonti ja hallinta on Carillonissa mahdollista. Carillon tukee tunnettuja käyttäjätunnuksia ja -ryhmiä, jolloin näiden hallinta onnistuu helposti, vaikka koneiden käyttöjärjestelmät olisivat erikielisiä.

Kattavat raportit nostavat tietoturvan tasoa

Centero Carillonin tietokantaan kirjautuu jokaisesta toimenpiteestä lokimerkintä ja syy mihin käyttäjäoikeuden statuksen muutosta on tarvittu. Carillon kirjaa ja raportoi kaiken – milloin ja kenelle admin-tunnus on annettu, kuinka pitkäksi aikaa ja mistä syystä.

Carillonin raportit auttavat pitämään tietoturvan korkealla tasolla. Carillonin avulla koneiden sen hetkisistä käyttäjätunnuksiin ja -ryhmiin liittyvistä asetuksista voidaan saada helposti laajat raportit toisin kuin Microsoft LAPS:illa, joka ei sisällä lainkaan raportointitoimintoja.

Tuki ja tuotekehitys

Centero Carillonin palvelu sisältää maksuttoman täyden teknisen tuen käyttäjilleen. Microsoft LAPS:iin ei kuulu teknistä tukea muille, kuin ainoastaan premier support -asiakkaille, joilla on käyttö- tai asennusongelmia sovelluksen kanssa. Tätä palveluasiakkuutta Microsoft ei edes tarjoa muille kuin suurille organisaatioille.

Teknisen tuen lisäksi Carillonin tuotekehitys on osaltaan rakentamassa palvelun käyttäjälähtöistä otetta. Centeron asiantuntija Juha Haapsaari kertoo, että seuraavat stepit tuotekehityksessä on otettu mm. raportoinnin parantamiseksi.

”Uudessa Centero Carillon -versiossa on tehty väliaikaisen tunnuksen aktivointi entistä helpommaksi”, Haapsaari valottaa Carillonin tuotekehityksen suuntaa ja jatkaa:

”Kehitämme integraatiota muihin tietoturvajärjestelmiin, jolloin Carillonin tuottamat tiedot voidaan ajaa useasta eri lähteestä koostettuihin tietoturvaraportteihin.”

 

 

  Carillon  LAPS 
Hallittavien tunnusten määrä  useita, myös ryhmät yksi
Väliaikainen admin-tunnus
kyllä ei
Loppukäyttäjän itsepalvelu  kyllä ei
Hallintaympäristö  AD, Azure AD, työryhmät vain on-prem AD-koneet
Tuki  kyllä vain premier-asiakkaille
Raportointi  laaja ei raportointia
SQL/AD  vaatii IIS:n ja SQL-kannan vaatii Active Directoryn
Hinta  maksullinen ilmainen

 

Näin ylläpitäjä hyötyy Centero Carillonista

  • Kohota tietoturvanne tasoa rajoittamalla haittaohjelmien ja virheellisten toimenpiteiden riskejä tuntuvasti. Kun ylläpitäjän oikeudet ovat käytössä vain harkitusti tiettyihin toimenpiteisiin, niin käyttäjät eivät voi tahattomasti aiheuttaa vahinkoa omalle järjestelmälleen tai päästää haittaohjelmia yrityksen verkkoon.
  • Vähennä ruuhkaa IT-tukipalveluissa, kun käyttäjät voivat tehdä tarvittaessa admin-toimenpiteitä itse. IT-tuki voi tällöin keskittyä vaativampiin toimenpiteisiin ja tehostaa toimintaansa.
  • Saat Carillonista raportin kaikista syistä, joihin käyttäjät ovat tarvinneet pääkäyttäjän oikeuksia. Ilman Carillonia näiden asioiden seuranta ja raportointi ei ole mahdollista.

Kuinka Carillon helpottaa käyttäjiensä elämää

  • Työskentele tehokkaammin, kun sovellusten ja ajureiden asentaminen onnistuu itsenäisesti ilman IT-tuen apua.
  • Carillon-aktivointiavaimen pyytäminen on vaivatonta ja nopeaa.
  • Carillon-aktivointiavain toimii myös ilman verkkoyhteyttä, joten ylläpitotoimet onnistuvat myös reissutyössä.

Käynnistä maksuton Carillon-kokeilujakso täältä »

 


Varaa Carillon Demo

Esittelemme Carillonia lyhyessä etädemossa.

Lisää luettavaa aiheesta:

Väite: PK-sektorillekin voidaan tuottaa laadukkaita IT-palveluita kustannustehokkaasti

Miksi PK-yrityksille on haasteellista tuottaa IT-palveluita? Me Centerossa ollaan asiaa pähkitty paljonkin, koska toimimme nykyään suurten organisaatioiden lisäksi myös pk-sektorilla ja haluamme jatkossakin tarjota sinne yhden vähän erilaisen vaihtoehdon lisää. Isoille organisaatioille tuotamme palveluita suppeammalla valikoimalla ja pienemmille vähän laajemmalla. Tarpeesta ja tilanteesta riippuen. Kun ongelmia syntyy, ne pyritään havaitsemaan proaktiivisesti ennen kuin ne näkyvät […]

Active Directory -ympäristön tietojen synkronointi Azure AD -palveluun

Azure AD palvelu Jos organisaatiossasi on jo käytössä Azure AD -hakemisto ja haaveilet oman sisäisen Active Directory ympäristön tietojen synkronointia Azure AD -palveluun niin lukaiseppa tämä blogi. Azure AD on siis aina käytössä jos esimerkiksi Office 365 -palvelu on käytössä. Tänne on siis tallennettu kaikki käyttäjät, jotka voivat käyttää Microsoftin pilvipalveluita (Office 365, Microsoft Intune, […]