Windows-päätelaitteen tietoturvan kovennus ja auditoitavuus
Tarkkonen, Jussi (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024051612742
https://urn.fi/URN:NBN:fi:amk-2024051612742
Tiivistelmä
Tässä opinnäytetyössä pyrittiin selvittämään toimeksiantajan työasematurvallisuudessa kokemat ongelmat ja kehitystarpeet. Tutkimusongelma rajattiin koskemaan Windows-työaseman tietoturvan järjestelmällistä kovennusta, hyödyntäen parhaita käytäntöjä tai tietoturvakehyksiä. Lisäksi tavoitteena oli varmistaa päätelaitetietoturvan tilannekuva ja auditoitavuus, koska johdon kokema näistä oli epäselvä. Esitutkimuksessa arvioitiin myös, että tutkimusongelmaan liittyvät käsitteet ja syyt olivat organisaatiossa jäsentymättömiä ja epäselviä.
Tavoitteeksi asetettiin kirjallisen konstruktion ja interventioehdotuksen laatiminen toimeksiantajan käyttöön. Tutkimuksen sekundäärisenä tavoitteena oli tutkia, voisiko tutkimuksen pohjalta toteuttaa työkalun, jonka avulla organisaatiot voisivat arvioida oman työasematurvallisuutensa kehityksen resurssivaatimuksia ja sidonnaisuuksia tietoturvan osa-alueisiin nähden. Tutkimusotteeksi valittiin laadullinen kehittämistutkimus, sisältäen monimenetelmällisiä toteutuskeinoja. Toimeksiantajan työasematurvallisuuden kehitykseen osallistuttiin havainnoinnin keinoin yhdeksän kuukauden jakson ajan, jonka lisäksi organisaation asiantuntijoita ja ulkopuolista tietoturva-eksperttiä haastateltiin. Työkalujen kokeilulla varmennettiin lisäksi tutkimusaineistoista nousseet havainnot.
Tutkimuksen johtopäätöksissä todettiin, että työaseman tietoturvan koventaminen on monivaiheinen ja erityistä asiantuntemusta vaativa työ. Windows-käyttöjärjestelmä ei sovellu yrityskäyttöön oletusasennuksena, vaan sen konfiguraatio täytyy koventaa, jossa apuna voidaan käyttää siihen tarkoitettuja tietoturvakehyksiä. Tietoturvakehysten käytöllä ei kuitenkaan varmisteta käytännön tietoturvallisuutta, vaan lisäksi tarvitaan uhkien ja riskien hallintaa, jatkuvaa testaamista ja konfiguraatiohallintaa sekä tietoturvavalvonnan yhteistoimintaa. Tutkimuksen perusteella aihealue vaatii merkittävästi lisäkehitystä holistisen työasematurvallisuuden mallin rakentamiseksi.
Tutkimuksen päätuotoksena on taulukkopohjainen työasematurvallisuuden käyttöönottomalli, joka sisältää toimeksiantajan interventioehdotuksen. Ehdotusta tukee kirjallinen konstruktio, joka sisältää kattavan vertailun tietoturvakehyksistä, työaseman tietoturvakovennuksista sekä työkaluista. This thesis aimed to investigate the problems and development needs experienced in the commissioner’s workstation security. The scope of the study was limited to systematic hardening of Windows workstation security using best practices or security frameworks. Additionally, the objective was to examine methods to ensure endpoint security status and auditability. It was understood at the start of the study that despite external auditing of workstation security, the management's perception of endpoint security status remained unclear. The primary objective was focused on creating an intervention proposal, including a synthesized background paper for the commissioner’s use. A secondary objective, not within the commissioner’s scope, was to explore the possibility of designing a tool that would help organisations assess the development requirements and dependencies of their workstation security.
In this thesis, a qualitative multimethodological design-based approach was chosen. The commissioner’s workstation security development was observed over a nine-month period, and interviews were conducted with in-house experts and an external cybersecurity expert. Additionally, the findings from the data were validated through tool experimentation.
The main outcomes from this study were a spreadsheet-based model for implementing workstation security, an intervention proposal for the commissioner, including a synthesized background paper containing a comprehensive comparison of security frameworks, hardening techniques, and tools.
It was concluded in the study that the Windows operating system is not suitable for enterprise use in its default configuration, and therefore it requires hardening, possibly by using a dedicated security framework and specialized expertise. However, the use of security framework alone does not ensure practical security, which in addition requires continuous testing and threat, risk and configuration management. Close collaboration with security monitoring is also necessary. Thus, organisations should prefer a holistic security model for governing workstation security.
Tavoitteeksi asetettiin kirjallisen konstruktion ja interventioehdotuksen laatiminen toimeksiantajan käyttöön. Tutkimuksen sekundäärisenä tavoitteena oli tutkia, voisiko tutkimuksen pohjalta toteuttaa työkalun, jonka avulla organisaatiot voisivat arvioida oman työasematurvallisuutensa kehityksen resurssivaatimuksia ja sidonnaisuuksia tietoturvan osa-alueisiin nähden. Tutkimusotteeksi valittiin laadullinen kehittämistutkimus, sisältäen monimenetelmällisiä toteutuskeinoja. Toimeksiantajan työasematurvallisuuden kehitykseen osallistuttiin havainnoinnin keinoin yhdeksän kuukauden jakson ajan, jonka lisäksi organisaation asiantuntijoita ja ulkopuolista tietoturva-eksperttiä haastateltiin. Työkalujen kokeilulla varmennettiin lisäksi tutkimusaineistoista nousseet havainnot.
Tutkimuksen johtopäätöksissä todettiin, että työaseman tietoturvan koventaminen on monivaiheinen ja erityistä asiantuntemusta vaativa työ. Windows-käyttöjärjestelmä ei sovellu yrityskäyttöön oletusasennuksena, vaan sen konfiguraatio täytyy koventaa, jossa apuna voidaan käyttää siihen tarkoitettuja tietoturvakehyksiä. Tietoturvakehysten käytöllä ei kuitenkaan varmisteta käytännön tietoturvallisuutta, vaan lisäksi tarvitaan uhkien ja riskien hallintaa, jatkuvaa testaamista ja konfiguraatiohallintaa sekä tietoturvavalvonnan yhteistoimintaa. Tutkimuksen perusteella aihealue vaatii merkittävästi lisäkehitystä holistisen työasematurvallisuuden mallin rakentamiseksi.
Tutkimuksen päätuotoksena on taulukkopohjainen työasematurvallisuuden käyttöönottomalli, joka sisältää toimeksiantajan interventioehdotuksen. Ehdotusta tukee kirjallinen konstruktio, joka sisältää kattavan vertailun tietoturvakehyksistä, työaseman tietoturvakovennuksista sekä työkaluista.
In this thesis, a qualitative multimethodological design-based approach was chosen. The commissioner’s workstation security development was observed over a nine-month period, and interviews were conducted with in-house experts and an external cybersecurity expert. Additionally, the findings from the data were validated through tool experimentation.
The main outcomes from this study were a spreadsheet-based model for implementing workstation security, an intervention proposal for the commissioner, including a synthesized background paper containing a comprehensive comparison of security frameworks, hardening techniques, and tools.
It was concluded in the study that the Windows operating system is not suitable for enterprise use in its default configuration, and therefore it requires hardening, possibly by using a dedicated security framework and specialized expertise. However, the use of security framework alone does not ensure practical security, which in addition requires continuous testing and threat, risk and configuration management. Close collaboration with security monitoring is also necessary. Thus, organisations should prefer a holistic security model for governing workstation security.