Työasemakovennus Intunella osana Kyberturvallisuuslain vaatimuksenmukaisuutta
Mansner, Ahti (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025053018426
https://urn.fi/URN:NBN:fi:amk-2025053018426
Tiivistelmä
Opinnäytetyössä tuotettiin toimeksiantajalle perusteet työasemien kovennusmallin määrittämiseksi, testaamiseksi ja julkaisemiseksi Microsoft Intune -työkalulla. Toimeksiantaja on konserni, jonka toimialoja ovat merenkulku, muu kuljetustoiminta ja ulkomaankauppa sekä näihin liittyvä palvelu, kauppa ja muu liiketoiminta.
Koventamisperusteissa otettiin kantaa myös työasemakovennuksen fyysiseen ulottuvuuteen ja huomioitiin toimeksiantajan vallitseva tietoturvaohjeistus, tunnistetut käyttötapaukset sekä toimintaympäristöä normittavat vaatimuskehikot.
Lähtökohtana opinnäytetyölle oli toimeksiantajan pilvisiirtymän ja Kyberturvallisuuslain voimaantulon yhteydessä tunnistama tarve siirtyä työasemien 'out-of-the-box' -konfiguraatiosta kohti vaatimuksenmukaisuutta ja yleisiä parhaita käytänteitä. Opinnäytetyön sivutuotteena syntyivät kehitysehdotukset toimeksiantajan hyväksyttävän käytön sääntöjen tarkentamisesta ja hyväksyttyjen ohjelmistojen listan laatimisesta.
Opinnäytetyö on luonteeltaan kehitystehtävä, jossa määriteltiin aluksi tavoitetila, luotiin katsaus vallitsevaan toimintaympäristöön, tunnistettiin käyttötapaukset sekä kartoitettiin toimintaa normittavat vaatimuskehikot.
Työn aikana tunnistettiin haasteita toimeksiantajan moniulotteisessa toimintaympäristössä muun muassa käytettyjen ohjelmistojen ja käyttöjärjestelmäversioiden variaatioiden vuoksi ja opinnäytetyön tavoitetilaa tarkennettiin alkuperäisestä avaimet käteen -ratkaisusta kovennusperusteiden määrittely-, testaus ja julkaisumalliksi.
Tavoitellun lopputilan saavuttamiseksi hyödynnettiin kirjallista tietoperustaa, havainnointi- ja haastattelututkimusta sekä tarkentavia tietopyyntöjä toimeksiantajalle. Pääosan opinnäytetyön tietoperustasta muodostivat Microsoftin sekä eri viranomaisten julkaisut.
Opinnäytetyön keskeinen löydös on, että valmiitkaan kovennuskäytänteet eivät sovellu sellaisenaan käyttöönotettaviksi vaan vaativat muokkaamisen ja testaamisen ennen käyttöönottoa. Toinen merkittävä löydös on kovennuskonfiguraation pohjaksi vaadittava ympäristön konsolidointi. Kolmas huomionarvoinen löydös on, että kaikkiin kolmannen osapuolen sovelluksiin ei ole mahdollista tehdä kovennuksia ryhmäkäytänteillä.
Opinnäytetyön tuloksena syntynyt kovennusmalli pohjautuu Microsoft Security baselines- ja CIS Benchmarks -käytännekokoelmiin, joita rikastetaan Australian Cyber Security Centre ohjeella Hardening Microsoft Windows 10 and Windows 11 workstations. Kovennuskonfiguraatiota testataan virtuaalisessa testiympäristössä ennen julkaisua tuotantotyöasemiin.
Toimeksiantajan pilvimaturiteetin kehittyessä on todennäköistä, että opinnäytetyön tuloksena syntyneet määrittely- ja julkaisumallit kehittyvät toimeksiantajalla ja kokonaisprosessi kovennuksen tarpeen suunnittelusta, testaamisesta ja julkaisusta nopeutuu.
Koventamisperusteissa otettiin kantaa myös työasemakovennuksen fyysiseen ulottuvuuteen ja huomioitiin toimeksiantajan vallitseva tietoturvaohjeistus, tunnistetut käyttötapaukset sekä toimintaympäristöä normittavat vaatimuskehikot.
Lähtökohtana opinnäytetyölle oli toimeksiantajan pilvisiirtymän ja Kyberturvallisuuslain voimaantulon yhteydessä tunnistama tarve siirtyä työasemien 'out-of-the-box' -konfiguraatiosta kohti vaatimuksenmukaisuutta ja yleisiä parhaita käytänteitä. Opinnäytetyön sivutuotteena syntyivät kehitysehdotukset toimeksiantajan hyväksyttävän käytön sääntöjen tarkentamisesta ja hyväksyttyjen ohjelmistojen listan laatimisesta.
Opinnäytetyö on luonteeltaan kehitystehtävä, jossa määriteltiin aluksi tavoitetila, luotiin katsaus vallitsevaan toimintaympäristöön, tunnistettiin käyttötapaukset sekä kartoitettiin toimintaa normittavat vaatimuskehikot.
Työn aikana tunnistettiin haasteita toimeksiantajan moniulotteisessa toimintaympäristössä muun muassa käytettyjen ohjelmistojen ja käyttöjärjestelmäversioiden variaatioiden vuoksi ja opinnäytetyön tavoitetilaa tarkennettiin alkuperäisestä avaimet käteen -ratkaisusta kovennusperusteiden määrittely-, testaus ja julkaisumalliksi.
Tavoitellun lopputilan saavuttamiseksi hyödynnettiin kirjallista tietoperustaa, havainnointi- ja haastattelututkimusta sekä tarkentavia tietopyyntöjä toimeksiantajalle. Pääosan opinnäytetyön tietoperustasta muodostivat Microsoftin sekä eri viranomaisten julkaisut.
Opinnäytetyön keskeinen löydös on, että valmiitkaan kovennuskäytänteet eivät sovellu sellaisenaan käyttöönotettaviksi vaan vaativat muokkaamisen ja testaamisen ennen käyttöönottoa. Toinen merkittävä löydös on kovennuskonfiguraation pohjaksi vaadittava ympäristön konsolidointi. Kolmas huomionarvoinen löydös on, että kaikkiin kolmannen osapuolen sovelluksiin ei ole mahdollista tehdä kovennuksia ryhmäkäytänteillä.
Opinnäytetyön tuloksena syntynyt kovennusmalli pohjautuu Microsoft Security baselines- ja CIS Benchmarks -käytännekokoelmiin, joita rikastetaan Australian Cyber Security Centre ohjeella Hardening Microsoft Windows 10 and Windows 11 workstations. Kovennuskonfiguraatiota testataan virtuaalisessa testiympäristössä ennen julkaisua tuotantotyöasemiin.
Toimeksiantajan pilvimaturiteetin kehittyessä on todennäköistä, että opinnäytetyön tuloksena syntyneet määrittely- ja julkaisumallit kehittyvät toimeksiantajalla ja kokonaisprosessi kovennuksen tarpeen suunnittelusta, testaamisesta ja julkaisusta nopeutuu.