Loppukäyttäjän työaseman koventamisen automatisointi
Kylmä, Juho (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121737593
https://urn.fi/URN:NBN:fi:amk-2025121737593
Tiivistelmä
Windows 10 -käyttöjärjestelmän oletusasetukset eivät sellaisenaan tarjoa riittävää tietoturvatasoa organisaatiokäyttöön. Tarvittavien koventamisasetusten asettaminen manuaalisesti on kuitenkin aikaa vievää ja virhealtista. Näiden haasteiden ratkaiseminen edellytti automatisoitua menetelmää, joka nopeuttaa prosessia ja varmistaa asetusten yhdenmukaisen käyttöönoton sekä toistettavuuden.
Opinnäytetyön toimeksiantajana toimi Jyväskylän ammattikorkeakoulun IT-instituutti ja työn tavoitteena oli luoda automatisoitu menetelmä, joka tukee asetusten yhdenmukaista käyttöönottoa CIS Benchmarks –suositusten mukaisesti. Työ toteutettiin soveltavana kehitystyönä hyödyntäen PowerShell-teknologiaa. Skripti suunniteltiin modulaariseksi ja dokumentoitiin kattavasti, jotta sen käyttö olisi joustavaa ja läpinäkyvää.
CIS-CAT Lite -työkalua käytettiin auditointiin ennen ja jälkeen skriptin ajon, mikä todisti ratkaisun toimivuuden. Auditointiraportit osoittivat merkittävää parannusta tietoturvatasossa. Lisäksi skripti testattiin Windows 11 -käyttöjärjestelmällä, jossa saavutettiin 86 % onnistumistaso, mikä osoittaa hyvän yhteensopivuuden ja laajennettavuuden.
Työn vahvuutena oli skriptin riippumattomuus työssä luodusta ryhmäkäytäntövarmuuskopiosta, mikä mahdollistaa käyttäjän omien asetusten hyödyntämisen. Haasteita aiheutti ryhmäkäytäntöjen asettaminen palvelimelle, mutta ne liittyivät palveluiden puuttumiseen. Kehitystyön aikana tunnistettiin useita jatkokehitysmahdollisuuksia, kuten täydellinen Windows 11 –tuki, useiden varmuuskopioiden hallinta ja automaattinen organisaatioyksikköön liittäminen.
Organisaation näkökulmasta ratkaisu vähensi manuaalisen työn määrää ja virheiden riskiä mikä säästi aikaa ja resursseja. Lisäksi tietoturvan taso parani merkittävästi, ja kovennukset voitiin toteuttaa nopeasti ja toistettavasti. The default settings of the Windows 10 operating system do not provide a sufficient level of security for organizational use. However, manually applying the necessary hardening configurations is time-consuming and prone to errors. Addressing these challenges required an automated method to accelerate the process and ensure the consistent and repeatable implementation of settings.
Commissioned by the IT Institute of Jyväskylä University of Applied Sciences, the thesis aimed to create an automated method that ensures consistent implementation of settings in accordance with CIS Benchmarks recommendations. The work was carried out as an applied development project utilizing PowerShell technology. The script was designed to be modular and thoroughly documented to ensure flexibility and transparency.
CIS-CAT Lite was used for auditing before and after running the script, which confirmed the effectiveness
of the solution. The audit reports indicated a significant improvement in the security level. In addition, the script was tested against a Windows 11 workstation, achieving an 86% compliance score, which demonstrates good compatibility and scalability.
The strengths of the solution included independence from the predefined Group Policy backup, allowing users to apply their own configurations. Challenges were related to setting Group Policies on the server, which were likely caused by missing services. Several development opportunities were identified during
the process, such as full Windows 11 support, management of multiple backups, and automated assignment of computers to organizational units.
From an organizational perspective, the solution reduced manual workload and the risk of errors, saving time and resources. Furthermore, the security level improved significantly, and hardening could be performed quickly and consistently.
Opinnäytetyön toimeksiantajana toimi Jyväskylän ammattikorkeakoulun IT-instituutti ja työn tavoitteena oli luoda automatisoitu menetelmä, joka tukee asetusten yhdenmukaista käyttöönottoa CIS Benchmarks –suositusten mukaisesti. Työ toteutettiin soveltavana kehitystyönä hyödyntäen PowerShell-teknologiaa. Skripti suunniteltiin modulaariseksi ja dokumentoitiin kattavasti, jotta sen käyttö olisi joustavaa ja läpinäkyvää.
CIS-CAT Lite -työkalua käytettiin auditointiin ennen ja jälkeen skriptin ajon, mikä todisti ratkaisun toimivuuden. Auditointiraportit osoittivat merkittävää parannusta tietoturvatasossa. Lisäksi skripti testattiin Windows 11 -käyttöjärjestelmällä, jossa saavutettiin 86 % onnistumistaso, mikä osoittaa hyvän yhteensopivuuden ja laajennettavuuden.
Työn vahvuutena oli skriptin riippumattomuus työssä luodusta ryhmäkäytäntövarmuuskopiosta, mikä mahdollistaa käyttäjän omien asetusten hyödyntämisen. Haasteita aiheutti ryhmäkäytäntöjen asettaminen palvelimelle, mutta ne liittyivät palveluiden puuttumiseen. Kehitystyön aikana tunnistettiin useita jatkokehitysmahdollisuuksia, kuten täydellinen Windows 11 –tuki, useiden varmuuskopioiden hallinta ja automaattinen organisaatioyksikköön liittäminen.
Organisaation näkökulmasta ratkaisu vähensi manuaalisen työn määrää ja virheiden riskiä mikä säästi aikaa ja resursseja. Lisäksi tietoturvan taso parani merkittävästi, ja kovennukset voitiin toteuttaa nopeasti ja toistettavasti.
Commissioned by the IT Institute of Jyväskylä University of Applied Sciences, the thesis aimed to create an automated method that ensures consistent implementation of settings in accordance with CIS Benchmarks recommendations. The work was carried out as an applied development project utilizing PowerShell technology. The script was designed to be modular and thoroughly documented to ensure flexibility and transparency.
CIS-CAT Lite was used for auditing before and after running the script, which confirmed the effectiveness
of the solution. The audit reports indicated a significant improvement in the security level. In addition, the script was tested against a Windows 11 workstation, achieving an 86% compliance score, which demonstrates good compatibility and scalability.
The strengths of the solution included independence from the predefined Group Policy backup, allowing users to apply their own configurations. Challenges were related to setting Group Policies on the server, which were likely caused by missing services. Several development opportunities were identified during
the process, such as full Windows 11 support, management of multiple backups, and automated assignment of computers to organizational units.
From an organizational perspective, the solution reduced manual workload and the risk of errors, saving time and resources. Furthermore, the security level improved significantly, and hardening could be performed quickly and consistently.