Aktiivihakemisto- ja tietoturvaratkaisu opiskeluympäristölle
Ammattikorkeakoulututkinnon opinnäytetyö Visamäen kampus, Tietojenkäsittely
Kevät 2019 Markus Lepistö
Tietojenkäsittely Visamäki
Tekijä Markus Lepistö Vuosi 2019
Työn nimi Aktiivihakemisto- ja tietoturvaratkaisu koulutusympäristölle Työn ohjaaja /t Erkki Laine
TIIVISTELMÄ
Opinnäytetyön tavoitteena on luoda Windows Server 2016 -ohjelmistoa ja Windows 10 käyttöjärjestelmää käyttäen aktiivihakemistojärjestelmä, jota voidaan muokata kunkin asiakkaan tarpeiden mukaan. Lisäksi tämän aktii- vihakemiston toimivuus testataan asiakasjärjestelmällä, joka on liitetty ak- tiivihakemiston toimialueeseen. Tässä opinnäytetyössä asiakas järjestel- mänä on ollut Windows 10.
Idea opinnäytetyön aiheeseen tuli opintojen myötä syntyneestä mielen- kiinnosta palvelinten luontiin sekä ylläpitoon. Työn käytännön osuus to- teutetaan virtuaalisessa ympäristössä Microsoftin tarjoamassa Hyper-V- virtuaalipalvelussa.
Opinnäytetyön teoriaosuudessa käydään läpi yleisiä tietoturvaan liittyviä asioita, aktiivihakemiston historiaa, tietoturvauhkia, käytännön esimerk- kejä tietoturvasta, salausjärjestelmiä sekä yleistä tietoa pilvipalveluista.
Lähteistä työhön valittiin ainoastaan asianmukaisimmat. Työtä tehdessä tarvittiin taitoja, joita virtualisoinnin sekä Windows aktiivihakemistokurs- seilla opetettiin. Opinnäytetyö onnistui alkuongelmien ratkettua hyvin.
Tiettyjä ominaisuuksia jäi puuttumaan, mutta ne jäivät toiminnallisuuden kannalta pois. Näistä ominaisuuksista tärkeimmät olivat kolmannen osa- puolen ulkoisen palomuuriohjelmiston asennus sekä aktiivihakemiston varmuuskopiointi.
Tärkeimmät työkalut työssä olivat Microsoft Hyper-V virtualisointipalvelu, Windows Server 2016 Aktiivihakemisto ja hallintapalvelu.
Opinnäytetyöllä ei ollut toimeksiantajaa tai työllistäjää. Aihe oli oma ja työ on omaan käyttöön. Työ on esimerkki siitä, miten voidaan yksinkertaisesti luoda toimiva aiheen mukainen ratkaisu.
Avainsanat Tietoturva, palvelin, ylläpito, aktiivihakemisto Sivut 21 sivua, joista liitteitä 0 sivua
ABSTRACT
Business Information Technology Visemic
Author Markus Lepistö Year 2019
Subject Active Directory and Information Security Solution for Educational Environment
Supervisors Erkki Laine
ABSTRACT
The goal of this thesis is, by using the Windows Server 2016 software and the Windows 10 operating system, to create an active directory system, which can be configured based on the customer’s needs, and tested with a customer client – in this case using Windows 10. The idea for the thesis was born from the author’s previous studies and through his personal in- terest in creating servers and maintaining them. The practical part of the thesis is realized using Hyper-V virtual service provided by Microsoft.
The theory section of the thesis consists of general knowledge of infor- mation security, the history of active directory, the threats to information security, as well as practical examples of information security, encryption systems, and general knowledge of cloud services. The skills required for the work were acquired during the Windows Active Directory and Virtual- ization courses. The source information used for the work was selected carefully. The thesis turned out to be successful after the starting problems were solved. Some of the functions are intentionally missing due to the potential problems with adding them. The most important ones of the missing features were an installation of an external third-party firewall software and backup of the active directory.
The most important tools used in this thesis were the Microsoft Hyper-V Virtualization Service, Windows Server 2016 with Active Directory & Do- main Controller services and Windows 10 Operating System.
The thesis was neither commissioned, nor it had an assignor. The student has made it for his own purpose. The thesis is an example of how to simply create a working solution based on subject.
Keywords information security, server, maintenance, active directory Pages 21 pages including appendices 0 pages
SISÄLLYS
1 JOHDANTO ... 1
2 WINDOWS SERVER ... 1
2.1 Historia, virtualisointi ja PFSense ... 1
3 AKTIIVIHAKEMISTO JA TÄMÄN PALVELUT ... 3
4 TIETOTURVA ... 4
4.1 Yleistä tietoturvasta/valmiussuunnitelma ... 4
4.2 Tietoturvan eri osa-alueet ... 6
5 TIETOTURVAAN LIITTYVÄT UHAT ... 7
5.1 Haittaohjelmat ja henkilöstön tuomat uhat ... 7
6 TIETOTURVA KÄYTÄNNÖSSÄ ... 8
6.1 Tietoturvaohjelmisto ... 8
6.2 Fyysinen ja virtuaalinen palvelin ... 8
6.3 Salasanat ja salaus ... 9
6.4 Pilvipalvelu ja käyttöoikeudet ... 9
7 AKTIIVIHAKEMISTORATKAISUN ASENNUS- JA KÄYTTÖÖNOTTOPROSESSI ... 10
7.1 Windows Serverin asennus- ja määritysprosessi ... 10
7.2 Windows Serverin testausprosessi ... 18
8 YHTEENVETO ... 20
LÄHTEET ... 21
1 JOHDANTO
Opinnäytetyön aiheena on luoda koulutusympäristölle aktiivihakemisto- ratkaisu salattujen tietojen ja yleisten tiedostojen säilytystä varten. Tämä aihe kiinnostaa minua, sillä erikoistun opinnoissani aktiivihakemisto- ja palvelinylläpitopuolelle, joten tämän aiheen valinta tuntui itsestään sel- vältä. Työelämässä eteeni tulee varmasti vastaavia tehtäviä, joten tästäkin syystä aihe on hyödyllinen.
Työlle ei ole toimeksiantajaa. Teen työn Hämeen Ammattikorkeakoulun tarjoamissa tiloissa sekä kotona. Työssäni keskityn aktiivihakemiston his- toriaan ja sen kehitykseen, ominaisuuksiin, tietoturvaan yleisesti sekä po- tentiaalisiin uhkiin, sillä nämä ovat erittäin relevantteja aiheita palvelin- maailmassa. Tavoitteenani työssä on virtuaalikonepalvelun kautta luoda aktiivihakemisto ja määrittää se käyttökuntoon, jotta koulutusympäristö voisi ottaa palvelun käyttöön välittömästi. Työn aikana tutkin, onko virtu- aalinen alusta fyysiseen palvelimeen verrattuna tarpeeksi luotettava ja va- kaa aktiivihakemistolle, jotta kustannukset vähenisivät.
Hyödynnän opinnäytetyössä lisäksi koulutuksen aikana oppimiani tietoja ja taitoja, ja koulun tarjoamia muita työkaluja, jotta ratkaisusta saadaan mahdollisimman toimiva. Tärkeimmät työkalut työssä olivat Microsoft Hy- per-V virtualisointipalvelu, Windows Server 2016 Aktiivihakemisto- ja toi- mialueen hallintapalvelu.
2 WINDOWS SERVER
2.1 Historia, virtualisointi ja PFSense
Vuonna 1993 Microsoft loi ensimmäisen todellisen palvelinjärjestelmänsä.
NT Server 3.1 oli 32-bittinen järjestelmä. Sen arkkitehtuuri suunniteltiin puhtaalta pöydältä, ja tämän järjestelmän tarkoitus oli olla versio OS/2- pohjaisesta järjestelmästä, jonka Microsoft loi IBM:n kanssa. (Computer Hope 2018)
Vuosi tästä eteenpäin NT Server 3.5 sai julkaisupäivänsä syyskuun 21.
päivä. Tämä versio tarjosi huomattavasti paranneltua suorituskykyä ja va-
kautta verrattuna edelliseen versioon. NT Server 3.5:llä pääsi myös ensim- mäistä kertaa tutustumaan työasemaan ja palvelimeen omina tuotenimi- nään. (Computer Hope 2018)
Toukokuun 30.päivä, vuonna 1995 julkaistiin Microsoftin kolmas palvelin- järjestelmä, NT Server 3.51. Järjestelmässä oli uusina toimintoina ja päivi- tyksinä palvelimen ja työaseman välinen yhteensopivuus pian julkaista- vaan Windows 95-käyttöjärjestelmään, NTFS-formaatin kompressointi, va- kaan IP-reititys TCP/IP:ssä, vaihdettava WinLogon sekä 3D tuki OpenGL:llä.
(Computer Hope 2018)
Microsoft julkaisi vuonna 1996 NT-linjaston neljännen palvelinjärjestel- mänsä joka oli NT Server 4.0. Tämä 32-bittinen järjestelmä ja visuaalinen käyttöliittymä vastasivat täysin kuluttajaluokan Windows 95-käyttöjärjes- telmää, mutta sisälsi myös muita lisäosia kuten Windows Shellin sekä NT Explorerin. (Computer Hope 2018)
Uuden vuosituhannen alettua, Microsoft julkaisi viidennen ja samalla vii- meisen NT-linjaston palvelinjärjestelmänsä, Windows 2000 Serverin. Tämä tuli kolmena eri versiona: palvelimena, edistyneenä palvelimena sekä da- takeskuksena. (Computer Hope 2018)
Windows 2000 Server oli suunniteltu toimimaan kuluttajien Windows 2000-käyttöjärjestelmän kanssa, joka myös julkaistiin samoihin aikoihin.
Windows 2000 Server oli ensimmäinen palvelinjärjestelmä, joka toi muka- naan aktiivihakemistopalvelut. (Computer Hope 2018)
Microsoft Server 2003 oli Microsoftin palvelinjärjestelmäperheen kuudes jäsen. Siinä oli uutuutena Windows XP-käyttöjärjestelmän visuaalinen käyttöliittymä, ja se tarjosi parempaa vakautta, tietoturvaa sekä paranne- tun aktiivihakemistopalvelun. Tässä julkaisussa Microsoft halusi laajentaa palvelintaan .NET Frameworkiin ja .NET brändäykseen.
Joulukuun 6. päivänä 2005 Windows Server 2003 sai R2-tyyppimerkinnän alla
uudelleenjulkaisun. Tämä versio oli saatavilla 32 bitin ja 64 bitin alustoille.
Tärkeimpiin ominaisuuksiin kuuluivat paranneltu extranet-tuki, parannel- lut hallintatyökalut, WAN-tyyppisen datan replikointi eli kopiointi sekä pa- rannettu DFS. (Computer Hope 2018)
Microsoft liittyi mukaan virtualisoinnin maailmaan vuonna 2008 julkistaen Server 2008-tuotteen. Tämä palvelinjärjestelmä pohjautui täysin Windows Vista-kuluttajakäyttöjärjestelmään ja sisälsi paljon ominaisuuksia edeltä- jältänsä, mutta toi julki lisäksi NTFS ja Hyper-V -järjestelmät, jotka ovat kes- keisessä roolissa virtualisoinnissa. (Computer Hope 2018)
Windows Server 2012 oli seuraava palvelinjärjestelmä, joka korvasi Win- dows Server 2008 -version. Se on kehitetty samanaikaisesti Windows 8:n kanssa. RTM-julkaisu tuli elokuussa, ja se julkaistiin virallisesti syyskuussa
2012. Ominaisuuksiin kuuluivat uudistettu palvelimenhallintakonsoli, IIS 8, uusi versio Hyper-V:stä, jossa uudistettiin verkkovirtualisointi, monivuoti- set säilöntäresurssit, ristikkäisjärjestelmien väliset yhteydet ja varmuusko- pioinnin pilvipalvelut. Toisin kuin Server 2008, 2012:ta oli saatavilla vain neljässä eri versiossa: Standard, Datacenter, Foundation, Essentials. (Com- puter Hope 2018)
Seuraavaksi tuli Windows Server 2012 R2, joka julkaistiin yhdessä Win- dows 8.1:n kanssa lokakuussa 2013. Versio sisälsi identtisen käyttöliitty- män Windows 8.1-käyttöjärjestelmän kanssa. Tärkeimpiin uusiin ominai- suuksiin kuuluivat uusi Windows PowerShell v4, Office 365 -integrointi (Es- sentials edition), IIS 8.5, nopeutettu VM-asennus, VHD-kopiointi sekä pa- rannellut ryhmäkäytännöt uusia ominaisuuksia varten. (Computer Hope 2018)
PfSense on avoimeen lähdekoodiin perustuva palomuuri- ja reititinohjel- misto, joka pohjautuu FreeBSD:hen. Tämä asennetaan fyysiselle tietoko- neelle tai virtuaalikoneelle, jolla luodaan verkolle palomuuri/reititinpal- velu. PfSense voidaan määrittää halutuksi käyttämällä verkkosivupohjaista käyttöliittymää, eikä käyttäjällä tarvitse olla ennalta tietoa, miten hallita FreeBSD-pohjaista järjestelmää. PfSense on tunnetuimpia ja käytetyimpiä ohjelmistoja palomuurien, reitittimien, langattomien verkkopisteiden, DHCP- ja DNS-palvelinten sekä VPN-päätepisteiden asentamiseen. PfSense tukee ulkopuolisten palveluiden asentamista omaa paketinhallintajärjes- telmää käyttäen.
3 AKTIIVIHAKEMISTO JA TÄMÄN PALVELUT
Kun puhutaan aktiivihakemistosta, tarkoitetaan palvelinta, joka toimii or- ganisaation sisäverkossa ja joka pitää tallessa organisaation henkilöihin liit- tyviä tietoja kuten käyttäjätunnukset, salasanat ja muut perustiedot (nimi, syntymäaika, postiosoite jne.). Tämän palvelimen kautta saadaan selville, onko jollain käyttäjätunnuksella riittävät oikeudet päästä käyttämään jär- jestelmää, johon käyttäjätunnus on pyytänyt kirjautumisluvan. Aktiiviha- kemisto hallitsee käyttäjätunnusten ja näiden käyttöoikeuksien lisäksi muita Windows-pohjaisia palvelimia, verkkolaitteita ja näiden asetuksia ja käytäntöjä, sovelluksia, sähköpostipalvelimia ja muita hakemistoja. Ku- vassa 1 on kuvattu aktiivihakemiston perustoiminta englanniksi. (Perttu Tolvanen 2011)
Aktiivihakemisto (englanniksi: Active Directory) on Microsoftin kehittämä hakemistopalvelu, joka on suunniteltu toimimaan Microsoftin omissa Win- dows-pohjaisten toimialueiden sisäverkoissa. Tämä hakemistopalvelu on
saatavilla useimmissa Windows Server-pohjaisissa järjestelmissä osana yleispalveluita ja -prosesseja. (Perttu Tolvanen 2011)
Kuva 1. Aktiivihakemiston perustoimivuus englanniksi (Microsoft 2014)
Aktiivihakemiston toimialuepalvelut (Active Directory Domain Services, AD DS) on toimialueen sisäverkon kulmakivi. Toimialuepalvelut tallentavat tie- dot toimialueen jäsenistä ja laitteista, valtuuttaa kirjautumistiedot ja mää- rittää käyttäjien käyttöoikeudet. Kevyet aktiivihakemistopalvelut (Active Directory Lightweight Directory Services, AD LDS) sisältää saman lähdekoo- din kuin AD DS, ja on muuten sama palvelu, mutta ei tarvitse erityistä toi- mialuetta eikä toimialueen hallintakonetta (Domain Controller).
4 TIETOTURVA
4.1 Yleistä tietoturvasta/valmiussuunnitelma
Tietoturva (Information Security) on joukko strategioita, joilla hallitaan prosesseja, välineitä ja toimintatapoja, jotka ovat välttämättömiä digitaa- listen ja ei-digitaalisten tietojen uhkailua, havaitsemista, dokumentointia ja uhkia vastaan. Tietoturvan vastuualueisiin kuuluu luoda sellaisia liiketoi- mintaprosesseja, jotka suojaavat tietovälineitä, riippumatta siitä, miten tiedot alustetaan. (TechTarget 2017)
Tietoturvaohjelmat rakentuvat kolmijohdon keskeisten tavoitteiden luot- tamuksellisuuden (Confidentiality), eheyden (Intergrity) sekä saatavuuden (Availability) ympärille. Näillä tavoitteilla varmistetaan, että arkaluonteiset tiedot luovutetaan vain valtuutetuille osapuolille. Tässä korostuu luotta- muksellisuus. Näin myös estetään tietojen luvaton muuttaminen (eheys) sekä varmistetaan, että nämä valtuutetut osapuolet saavat oikeudet käyt- tää annettua tietoa tarvittaessa (saatavuus). (TechTarget 2017)
Monilla suurilla yrityksillä on oma tietoturvaryhmänsä, joka toteuttaa ja ylläpitää organisaation tietoturvaa. Tietoturvaryhmä on yleensä vas- tuussa riskienhallinnan toteuttamisesta eli prosessista, jonka kautta heik- kouksia ja tietovälineisiin kohdistuvia uhkia arvioidaan jatkuvasti, pääte- tään asianmukaisista suojatoimista ja toteutetaan ne. Organisaation arvo on tämän suojauksen sisällä. Sen turvallisuus on kriittinen liiketoiminnalle luottamuksen säilyttämisen ja asiakkaiden luottamuksen saamisen kan- nalta. (TechTarget 2017)
Tietoturvaprosesseihin- ja käytäntöihin liittyy tyypillisesti fyysisiä ja digi- taalisia turvatoimenpiteitä tietojen suojaamiseksi luvattomalta käytöltä, kopioinnilta tai tuhoamiselta. Näihin toimenpiteisiin voivat kuulua esimer- kiksi salaus, havainnointijärjestelmä tunkeutujia varten ja salasanan luon- tisäännöt. Organisaation tietoturva voidaan tarkistaa suorittamalla tes- tausympäristössä toimenpiteitä seuraten tiettyjä erikseen asetettuja kri- teereitä. (TechTarget 2017)
Arkaluontoisten ja yksityisten tietojen uhkia esiintyy muun muassa haitta- ohjelmien, phishing-hyökkäyksien, identiteettivarkauksien tai lunastusoh- jelmien muodossa. Hyökkääjien estämiseksi ja haavoittuvuuksien vähen- tämiseksi luodaan strategia vaadittujen ominaisuuksien mukaan, joiden pohjalta tietoturvaratkaisu toteutetaan. Jotta tietoturvaratkaisu olisi hy- väksyttävä, tietoturvaryhmällä on hyvä olla valmiussuunnitelma. (Tech- Target 2017)
Tapahtumien valmiussuunnitelma on joukko kirjallisia ohjeita tietoturva- tapahtuman havaitsemiseen, sekä tämän vastaamiseen ja rajoittamiseen.
Valmiussuunnitelmalla pyritään vastaamaan mahdollisimman moneen eri skenaarioon, kuten esimerkiksi murto- ja palvelunestohyökkäyksiin, viruk- siin tai muihin haittaohjelmiin. Jos valmiussuunnitelmaa ei olisi, organisaa- tiot eivät voisi varautua mahdollisiin hyökkäyksiin.
4.2 Tietoturvan eri osa-alueet
Kuva 2. Havainnollinen kuva osa-alueista (Kitunen 2014.)
Tietoturva jaetaan kahdeksaan eri osa-alueeseen. Yllä oleva kuva (Kuva 2.) selittää, miten eri osa-alueet toimivat keskenään.
Hallinnollisella turvallisuudella varmistetaan tietoturvan hallitseminen ja muu ylläpito. Tähän osa-alueeseen kuuluu valittu tietoturvaryhmä tai -henkilö riippuen organisaation koosta. Tässä ryhmässä olevien jäsenten tehtävänä on arvioida tietoturvakäytäntöihin liittyviä lakipykäliin pohjau- tuvia sopimuksia. (Hakala 2006, 10.)
Henkilöstöturvallisuuteen kuuluvat asiat ja toimenpiteet, joissa organisaa- tioihin kuuluvien tietojen ja järjestelmien tarkastelu joillakin henkilöillä py- ritään rajaamaan. Yleensä tästä on vastuussa organisaation henkilöstön jä- senistä koottu osasto, joka tekee yhteistyötä tietoturvasta vastaavien kanssa. (Hakala 2006, 11.)
Fyysiseen turvallisuuteen kuuluvat kiinteistöt, näiden tilat sekä näiden lait- teiston suojaaminen fyysisiltä riskeiltä kuten murtovarkauksilta, tulipa- loilta, ilkivallalta, vesivahingoilta tai muilta toimintahäiriöiltä. Tästä on vas- tuussa erillinen ryhmä ammattilaisia, jotka ovat erikoistuneet kiinteistö- alaan. On suositeltavaa, että tietoturvasta vastaavat ottavat osaa myös fyysiseen turvallisuuteen. Esimerkiksi palvelinhuoneiden pitää olla fyysi- sesti hyvin suojattuja. (Hakala 2006, 11.)
Tietoliikenneturvallisuudella tarkoitetaan sisäisiin ja ulkoisiin verkkoihin liittyviä tiedonsiirrollisia ratkaisuja, sekä erilaisia turvallisuusratkaisuja viestinnän järjestelmiin. Tätä voidaan soveltaa käytännön puolelle, sillä
tällä tarkoitetaan laitteistoihin, ohjelmistoihin ja tietoaineistoon liittyvää turvallisuutta. (Hakala 2006, 12.)
Laitteistoturvallisuudessa ylläpidetään ja huolletaan tietojärjestelmiin kyt- kettyjä laitteita, kuten palvelinkoneita ja muita tietokoneita, sekä suorite- taan testausprosessit yms. Tehtäväkenttään liittyy lisäksi vaaratekijät ku- ten esimerkiksi sähköiskut ja näiden arviointi ja minimointi. Laitteistotur- vallisuudesta ovat yleensä vastuussa tietohallinnon vastaavat henkilöt.
(Hakala 2006, 12.)
Ohjelmistoturvallisuuteen kuuluvat ohjelmistotestaus, yhteensopivuus käytettyyn laitteistoon ja varalaitteistoon, toiminnollisuus ja virheettö- myys. Tähän kuuluu myös lisenssien ja eri ohjelmistoversioiden hallinta.
Tietohallinnon vastaavat henkilöt ovat vastuussa ohjelmistoturvallisuu- desta. (Hakala 2006, 12.)
Tietoaineistoturvallisuuteen kuuluvat tietoaineiston säilytystoimenpiteet, näiden tuhoaminen, palautus sekä turvaaminen. Tästä vastaavat tietohal- linto sekä arkistointia suorittava osasto organisaation sisällä. (Hakala 2006, 11.)
5 TIETOTURVAAN LIITTYVÄT UHAT
5.1 Haittaohjelmat ja henkilöstön tuomat uhat
Haittaohjelmat tietokoneympäristössä aiheuttavat yleensä tapahtumia, jotka altistavat ympäristön tiedon menettämiselle tai muulle tahalliselle tapahtumalle. Tämän vuoksi tietokoneympäristöihin asennetaan tietotur- vaohjelmisto. Erilaisia haittaohjelmatyyppejä käydään läpi seuraavaksi.
Trojan Horse, eli Troijan hevonen, näyttää tavalliselta ohjelmalta, mutta todellisuudessa se on haittaohjelma, joka vahingoittaa tietokonetta. Esi- merkkinä tästä on sähköposti, jossa on liitteenä hyperlinkki jollekin sivus- tolle. Sivusto näyttäisi olevan turvallinen, mutta todellisuudessa sisältääkin Troijan hevosen altistaen tietokoneesi haittaohjelmille.
Virukset ovat suoraa vahinkoa aiheuttava ohjelmia. Ne pääsevät käsiksi tie- tokoneen tietoihin verkkosivujen tai esimerkiksi ladattavien tiedostojen myötä. Mato eli Worm puolestaan yrittää tunkeutua tietokoneisiin, joiden tietoturvapäivitykset eivät ole ajan tasalla.
Vakoiluohjelma kerää isäntäkoneen tietoja ja lähettää nämä saadut tiedot ulkopuoliselle henkilölle. Kyseiset ohjelmat ovat hyvin piilotettuja, ja tä- män takia suositellaankin näihin erikoistuvaa vakoiluohjelmia torjuvaa oh-
jelmistoa. Vakoiluohjelmien takia ei myöskään suositella, että käyttäjätie- toja tallennetaan julkisille tietokoneille. Roskaposti on sähköpostipalve- luun saapuva viesti, jota lähetetään suurina määrinä kohdehenkilölle.
Suurimpana riskinä tietoturvaan liittyen pidetään henkilöstöä, joka on vas- tuussa tietoturvan ylläpidosta. Epäluotettavuuden uhka syntyy, kun henki- löstö esimerkiksi laiminlyö työaikoja, tunkeutuu suojattuihin tietoihin tai rikkoo salassapitovelvollisuutta. Näitä riskejä voidaan ennaltaehkäistä määrittämällä sopivat käyttöoikeudet, seuraamalla työaikoja ja tekemällä salassapitosopimus.
6 TIETOTURVA KÄYTÄNNÖSSÄ
6.1 Tietoturvaohjelmisto
Tietoturvaohjelmisto on haittaohjelmia pysäyttävä sovellus. Tällaisia so- velluksia ovat esimerkiksi palomuuri, vakoiluohjelmia poistavat ohjelmis- tot tai virustentorjuntaohjelmistot. Nämä selitetään tarkemmin seuraa- vaksi.
Palomuuri suojaa ja suodattaa tietoverkon liikennettä hyökkäyksiä vas- taan. Virustentorjuntaohjelmisto torjuu viruksia ja sulkee nämä karantee- niin, jotta virukset eivät voi aiheuttaa tuhoa tietokoneelle. Näitä ohjelmis- toja on saatavilla ilmaisversioina tai maksullisina lisäominaisuuksien kera.
Vakoiluohjelmia poistavat ohjelmistot (tunnetaan myös nimellä Anti- Spyware) etsivät ja poistavat nimensä mukaisesti vakoiluohjelmia ja muita haittaohjelmia.
6.2 Fyysinen ja virtuaalinen palvelin
Palvelin itsessään on tietokone, joka sisältää useita ohjelmistoja liittyen palvelimiin. Optimaalinen säilytystila palvelimelle on ns. palvelinhuone, joka on kohdennettu säilyttämään palvelimia. Jotta tämä palvelinhuone saadaan pidettyä turvallisena, on suotavaa, että tila suljetaan täysin ulko- puolisilta, ja vain parille luotettavalle taholle annetaan kulkuluvat. Näitä palvelinhuoneissa sijaitsevia palvelimia kutsutaan fyysisiksi palvelimiksi.
Virtuaalisia palvelimia käytetään organisaatioissa, joilla on jatkuva pelko, että fyysinen palvelin tulee hajoamaan ennemmin tai myöhemmin. Virtu- aalinen palvelin on muualla säilytettävä palvelinympäristö, johon voidaan
luontevasti varmuuskopioida fyysisen palvelimen sisältämä data. Tämä toi- menpide voidaan toteuttaa myös pilvessä.
6.3 Salasanat ja salaus
Valitun salasanan tulee olla luotettava ja monimutkainen. Hyvänä nyrkki- sääntönä on käyttää isoja ja pieniä kirjaimia, numeroita ja merkkejä, mutta samalla sen tulee kuitenkin olla salasanan luojalle helppo muistaa.
Tietoturvan parantamiseksi jotkin sivustot ilmoittavat, kun käyttäjätun- nukselle on kirjauduttu jostain muualta kuin jo valmiiksi tunnistetuista IP- osoitteista. Tietoa salattaessa halutaan, etteivät ulkopuoliset henkilöt saisi tietoa avattua. Salauksen päätarkoitus on muuttaa haluttu tieto formaat- tiin, jota voivat tulkita ainoastaan salauksen luojat ja valtuutetut henkilöt.
On olemassa kahdentyyppisiä salausmenetelmiä, symmetrisiä ja epäsym- metrisiä.
Symmetrinen salaus koostuu yhdestä avaimesta, jota käytetään kaikkien salattujen tietojen avaamiseen/purkamiseen. Epäsymmetrinen salaus taas koostuu kahdesta eri tyyppisestä avaimesta. Toinen on yksityinen ja toinen on julkinen. Nämä toimivat siten, että yksityisellä avaimella voidaan avata julkisen tiedon salaus ja toisin päin.
6.4 Pilvipalvelu ja käyttöoikeudet
Pilvipalvelu (Cloud Service) on palvelu, johon voidaan päästä käsiksi pai- kasta riippumatta. Pilvipalvelun sisälle voidaan varmuuskopioida tietoa, mutta pitää muistaa pilvipalvelun oman tietoturvan luotettavuus ja mah- dolliset riskit, kuten esimerkiksi tiedon mahdollinen menetys ja pilvipalve- limen haavoittuvuus.
Kun luodaan käyttäjätunnuksia, on hyvä määritellä näille tunnuksille oike- anlaiset käyttöoikeudet: esimerkiksi opiskelijoille perusoikeudet, opetta- jille lisäksi valvontaoikeudet ja ylläpidolle kaikki muut vielä päälle. Vaikka tämä voi viedä huomattavasti aikaa, on käyttöoikeuksien määrittäminen erittäin hyvä keino parantaa organisaation tietoturvaa. Kun käyttöoikeu- det ovat oikeat, käyttäjät voivat käyttää vain määriteltyjä ohjelmistoja ei- vätkä voi täten sekoittaa järjestelmää.
Toisaalta oikeuksien rajaaminen voi Windows-ympäristössä altistaa järjes- telmän käyttöoikeuksien kiertämiselle. Käyttöoikeuksia ei määritellä käyt- täjäpohjaisesti, vaan nämä tehdään ryhmittäin. Esimerkiksi tämän opin- näytetyön käytännön osuudessa olisi ”Opiskelijat”, ”Opettajat” ja ”Yllä-
pito”, ja kaikille asetettaisiin erilaiset käyttöoikeudet. Näin säästetään ai- kaa ja varmistetaan, että henkilöt saavat oikeat käyttöoikeudet. Käyttäjä voi myös olla useamman kuin yhden ryhmän jäsen, jos tarve sitä vaatii.
Ryhmien välissä voi olla lisäksi käyttäjäkohtaisia käyttöoikeuksia, mikäli ei ole minkään ryhmän jäsen.
7 AKTIIVIHAKEMISTORATKAISUN ASENNUS- JA KÄYTTÖÖNOTTOPROSESSI
Käytännön osuudessa asennetaan ja testataan Windows Server 2016 oh- jelmisto, määritetään se opinnäytetyön aiheen mukaiseen käyttökuntoon ja testataan sitä käyttäen toista virtuaalikonetta, johon asennetaan Win- dows 10 käyttöjärjestelmä.
7.1 Windows Serverin asennus- ja määritysprosessi
Kuva 3. Windows Serverin asennuksen aloitusruutu
Windows Serverin asennus aloitetaan valitsemalla HAMK:n opiskelijaver- kon U-asemalta Windows Server 2016 imagetiedosto, joka liitetään (mountataan) sopivaan virtuaaliasemaan. Hetken kuluttua päästään ku- vassa 3 olevaan asennuksen aloitusruutuun. Tämän jälkeen valitaan ”In- stall now”, eli asenna nyt. Palvelinta pitää hallita samalta koneelta, joten tässä tapauksessa valitaan standardiasennus graafisella käyttöliittymällä.
Kuva 4. Windows Serverin asennuskohta 2.
Seuraavaksi päästään valitsemaan, halutaanko päivittää nykyinen Win- dows Server levykuvan versioon, vai halutaanko tehdä modifioitu asennus.
Kuvassa 4 on korostettu Windows Server asennus visuaalisella käyttöliitty- mällä. Tässä virtuaalikoneessa ei ole asennettuna Windows Serveriä jo en- nalta, joten modifioitu asennus on looginen valinta. Valikossa luodaan uusi levyosio Windows Serveria varten. Kun kaikki on valmista, voidaan varsi- nainen asennusprosessi aloittaa. Kuvassa 5 asennusprosessi ja sen etene- minen.
Kuva 5. Windows Serverin varsinainen asennusprosessi
Asennuksen valmistuttua ohjelma pyytää salasanaa ja salasanan varmis- tusta Järjestelmänvalvoja-tunnukselle. Tämän jälkeen asennus on valmis ja päästään kirjautumaan järjestelmän sisälle. Kirjautumisen jälkeen aukeaa palvelimen graafinen käyttöliittymä, ja sen oma hallintapaneeli. Kuvassa 6 Windows Serverin hallintapaneeli.
Kuva 6. Hallintapaneeli
Varsinainen asennus on tässä kohtaa todettu toimivaksi, ja voidaan lähteä asentamaan palvelimelle tarvittavia rooleja ja ominaisuuksia, joita opiske- luympäristössä tarvitaan. Rooleja ja ominaisuuksia päästään asentamaan valitsemalla valikosta Manage -> Add Roles and Features. Tähän palveli- meen ei haluta Remote palveluita, joten valitaan roolipohjainen tai omi- naisuuspohjainen asennus. Seuraavassa valikossa asennusohjelma pyytää valitsemaan palvelimen annetusta listasta. Valitaan oletusasetus ja jatke- taan asennusta. Tämän jälkeen päästään valitsemaan halutut roolit palve- linta varten. Tähän asennukseen halutaan aktiivihakemistopalvelut, ja DNS-palvelin. Kuvassa 7 valittuna DNS-palvelin ja aktiivihakemistopalvelut.
Kuva 7. Palvelinroolien valitseminen
Roolien valitsemisen jälkeen voidaan valita halutut ominaisuudet. Asennus on automaattisesti valinnut ryhmäkäytäntöjen hallinta-asetukset kuten kuvassa 8 näkyy. Näiden lisäksi valitaan lisäksi Windows Server Backup, jolla voidaan varmuuskopioida palvelin, jos jokin menee asennuksen ai- kana pieleen, näin turvataan mahdollisuus palvelimen palauttamiseen. AD DS ja DNS kohtiin jatketaan oletuksilla. Lopuksi hyväksytään asennus.
Kuva 8. Palvelinominaisuuksien valitseminen
Asennuksen valmistuttua pitää luoda toimialue, johon palvelin ja tämän asiakaskoneet liitetään. Tämä suoritetaan valitsemalla huutomerkin koh- dalta lipun kuvake sekä Promote this server to a domain controller. Aluksi pyydetään jo olemassa olevaa toimialueen nimeä, olemassa olevaa metsää toimialueesta tai täysin uutta metsää. Metsä on kokonaisuus, joka koostuu kaikista organisaation toimialueista. Tällä hetkellä ei ole saatavilla jo ole- massa olevaa toimialuetta, joten luodaan uusi metsä. Kuvassa 9 valittuna uusi metsä ja tämän nimeksi oppari.domain .
Kuva 9. Uuden toimialueen nimi
Tämän jälkeen annetaan hakemistopalveluiden palautustilan (DSRM, Di- rectory Service Recovery Mode) käyttöä varten salasana. Jatketaan oletus- asetuksilla eikä luoda DNS delegaatiota. Varmistetaan että NetBIOS-nimi on oikea. Tässä kohtaa on mahdollista, että AD DS ei lähde toimimaan joh- tuen asennuksen sijainnista. Sen vuoksi suositellaankin, että AD DS -asen- nuskansion sijainti vaihdettaisiin toiseen paikkaan. Tässä asennuksessa asennuskansion sijaintia ei vaihdettu. Kuvassa 10 oletussijainnit.
Kuva 10. AD DS asennuskansioiden sijainti
Kun kaikki on tarkistettu ja määritetty kuntoon, voidaan asentaa aktiiviha- kemiston toimialuepalvelut.
Tämän jälkeen päästään luomaan käyttäjätunnuksia ja ryhmiä sekä mää- rittämään näille käyttöoikeuksia, mutta aluksi pitää luoda tunnuksille ja ryhmille oma organisaatioyksikkö. Tämä tehdään päävalikosta valitsemalla Tools -> Active Directory Users and Computers. Toimialueen juuressa luo- daan organisaatioyksikkö nimeltä ”Opetus”. Kuvassa 11 kyseinen organi- saatioyksikkö luotuna.
Kuva 11. Organisaatioyksikön luonti
Organisaatioyksikön sisälle voidaan luoda käyttäjätunnuksia ja ryhmiä tun- nuksille. Lisäksi organisaatioyksikön kautta on helpompaa määrittää tä- män sisällä oleville ryhmille halutut käyttöoikeudet. Tähän opetusympäris- töön luodaan kaksi ryhmää: ”Henkilokunta” ja ”Opiskelijat”. Kuvassa 12 ryhmät luotuna.
Kuva 12. Ryhmien luonti organisaatioyksikön sisällä
Näiden ryhmien sisälle luodaan halutut käyttäjätunnukset. Kun luodaan tunnusta, ei saa käyttää kirjaimia ä tai ö kirjautumistiedoissa. Tämä on ylei- nen nyrkkisääntö. Kuvassa 13 on käytetty kirjautumisnimenä etunimen ja sukunimen kolmea ensimmäistä kirjainta pienaakkosin.
Kuva 13. Käyttäjätunnuksen luonti osa 1.
Salasanana kaikissa opiskelijoiden käyttäjätunnuksissa on ”qwerty22” ja opiskelijat joutuvat vaihtamaan tämän haluamakseen seuraavalla kirjautu- miskerralla. Tämä näkyy kuvassa 14.
Kuva 14. Käyttäjätunnukset luonti osa 2.
Kun halutut käyttäjätunnukset on luotu, nämä voidaan siirtää haluttuihin ryhmiin. Opinnäytetyön tapauksessa siirretään kaksi tunnusta Henkilo- kunta-ryhmään ja kolme tunnusta Opiskelijat-ryhmään. Kuvassa 15 kysei- set käyttäjät omissa ryhmissään.
Kuva 15. Käyttäjätunnukset omissa ryhmissään.
Tässä kohtaa voidaan luoda tunnuksille omat kotikansiot. Tämä aloitetaan luomalla palvelimen tallennustilaan kansio ja jakamalla se, jotta siihen voi- daan yhdistää asiakasjärjestelmän avulla. Kuvassa 16 on esimerkki kansion luonnista ja jakamisesta Käyttöoikeuksiin lisätään ”Domain Users”-ryhmä ja sille annetaan täydet oikeudet, jotta toimialueen käyttäjät pääsevät ot- tamaan käyttöön oman kotikansionsa.
Kuva 16. Kotikansion luonti ja jakaminen
Kansion jakamisen jälkeen tämä tallennustilassa sijaitseva kotikansio ava- taan jokaiselle käyttäjälle, jotta he saavat oman henkilökohtaisen alikansi- onsa käyttöön. Tämä tapahtuu tässä tapauksessa komennolla:
”\\WIN-SERVER-2016\kotikansiot$\%USERNAME%
Tarkemmin selitettynä tämä komento sisältää palvelimen nimen, tallen- nustilan kotikansion nimen ja %USERNAME% komennolla käyttäjä saa oman käyttäjätunnuksen mukaisen kansion, johon ainoastaan kyseinen käyttäjä pääsee käsiksi.
7.2 Windows Serverin testausprosessi
Aktiivihakemiston testaus aloitetaan asentamalla toiselle virtuaalikoneelle Windows 10 -käyttöjärjestelmä, lisäämällä tämä kone oikeaan toimialuee- seen ja kirjautumalla sisään toimialueeseen kuuluvalla käyttäjätunnuk- sella. Tätä konetta tullaan käyttämään asiakaskoneena. Jotta asiakaskone voi havaita toimialueen, vaikka molemmat olisivat saman virtuaalikytki- men alla, asiakaskoneen DNS-osoite muutetaan samaksi, kuin mikä palve- limella on. Tässä tapauksessa palvelimen IP-osoite on 192.168.0.11, joten asiakaskoneen DNS-osoitteeksi tulee sama. Kuvassa 17 IP-osoitteen mää- rityksessä ensisijaisen DNS-palvelimen osoite.
Kuva 17. Asiakaskoneen DNS-osoite
Tämän jälkeen voidaan siirtyä asiakaskoneen liittämiseen toimialueeseen, jotta aktiivihakemiston määritykset saadaan testattua. Kun asiakaskone on liitetty, kirjaudutaan sisään toimialueeseen kuuluvalla käyttäjätunnuksella.
Jos kotikansiot on määritetty oikein, niin käyttäjätunnuksen mukainen kansio pitäisi näkyä omana levynään resurssienhallinnasta. Kuvassa 18 oi- kein näkyvä käyttäjän kotikansio.
Kuva 18. Käyttäjätunnuksen oma kotikansio
8 YHTEENVETO
Kyseiseen opinnäytetyön aiheeseen päädyin, koska tämä aihe kiinnostaa minua erittäin paljon, ja toivon että juuri tästä aiheesta ja toteutuksesta olisi hyötyä jatkossa.
Opinnäytetyön käytännön osuuden aloittamisessa ilmeni suuria ongelmia opintolaitoksen tarjoamassa virtuaaliympäristössä. Tämän takia päädyttiin opinnäytetyönohjaajan sekä toisen tukihenkilön kanssa ratkaisuun, missä käytännön osuus työstettiin oman koneen kautta luodulla virtuaaliympä- ristöllä. Fyysiseen alustaan verrattuna virtuaalinen on tarpeeksi toimiva ratkaisu, jos pyritään säästämään hieman ylläpitokuluissa.
Työtä tehdessä opin paljon aktiivihakemistoihin, palvelimiin ja tietotur- vaan liittyviä yleisiä asioita. Nämä ovat niitä asioita, joita tarvitsen alalla, johon erikoistun, sekä työelämässä. Tästä työstä voin päätellä, että mielui- ten tekisin kaikki palvelimiin liittyvät asiat paikan päällä fyysisessä ympä- ristössä johtuen virtualisoinnin aiheuttamista luonnollisista ongelmista.
Virtuaalinen alusta fyysiseen verrattuna on toimiva ja vakaa, jos löytyy tar- peeksi laskentatehoa palvelulta, joka virtualisoi. Yrityskäytössä palvelimen virtualisointi erityisesti on tehokas ratkaisu, sillä tämä säästää huomatta- vasti yrityksen kuluissa. Kotikäytössä suositellaan fyysisen alustan käyttöä.
Työn aikana ilmenneiden ongelmien takia, olisi ollut parempi ratkaisu käyt- tää työhön fyysistä alustaa. Lopputuotokseen olen tyytyväinen ja oppimis- tavoite toteutui.
LÄHTEET
Computer Hope (2018). Microsoft Windows history. Haettu 7.4.2018 osoitteesta https://www.computerhope.com/history/windows.htm
TechTarget (2017). Information Security. Haettu 7.4.2018 osoitteesta http://searchsecurity.techtarget.com/definition/information-security-in- fosec
TechTarget (2017). Incident Response Plan. Haettu 7.4.2018 osoitteesta http://searchsecurity.techtarget.com/definition/incident-response-plan- IRP
Perttu Tolvanen (2011). Käsitteet ojennukseen: Active Directory (AD), LDAP, SSO ja identiteetinhallinta. Haettu 15.4.2018 osoitteesta https://in- tranet-ostajanopas.fi/2011/04/29/kasitteet-ojennukseen-active-direc- tory-ad-ldap-sso-ja-identiteetinhallinta/
Nixu Oyj (2015). Tietosuoja kuntoon. Opas tietosuojavastuiden ja tehtä- vien organisointiin. Haettu 18.4.2018 osoitteesta
https://docplayer.fi/47934569-Tietosuoja-kuntoon-opas-tietosuojavastui- den-ja-tehtavien-organisointiin-nixu-oyj.html
NetGate (2018). pfSense Firewall Appliance Features. Haettu 20.4.2018 osoitteesta https://www.pfsense.org/about-pfsense/features.html
Kitunen, Martti. (2012). Yksityisen syöpäsairaalan tietoturvakartoitus.
Opinnäytetyö. Tietojenkäsittely. Haettu 20.4.2018 osoitteesta http://www.theseus.fi/bitstream/handle/10024/73259/kitu- nen_martti_yksityisen_syopasairaalan_tietoturvakartoitus.pdf
Microsoft (2014). Active Directory Collection. Haettu 21.4.2018 osoit- teesta https://technet.microsoft.com/en-us/lib-
rary/cc780036(v=ws.10).aspx
Hakala, Mika. (2006). Tietoturvallisuuden käsikirja. 1.painos. Helsinki: Do- cendo
