Embed Size (px)
Citation preview
EVTEK-ammattikorkeakouluTietotekniikan koulutusohjelma
Asko Ikävalko
Tietojärjestelmän ylläpitorutiinien kehittäminen
Insinöörityö 1.5.2007
Ohjaaja: hallintopäällikkö Sari HeleniusOhjaava opettaja: yliopettaja Erik Pätynen
EVTEK-ammattikorkeakoulu INSINÖÖRITYÖNTIIVISTELMÄ
TekijäOtsikko
SivumääräAika
Asko IkävalkoTietojärjestelmän ylläpitorutiinien kehittäminen
56 sivua1.5.2007
Koulutusohjelma tietotekniikka
Tutkinto insinööri (AMK)
OhjaajaOhjaava opettaja
hallintopäällikkö Sari Heleniusyliopettaja Erik Pätynen
Insinöörityön tavoitteena oli analysoida tavarataloketju Malliyritys Oy:n tietojärjestelmien nykytila ja ylläpitomenetelmät. Työssä pyritään etsimään IT-osaston toimintamalleista ja palvelimien asetuksista parantamista kaipaavat kohteet ja luomaan niille kehitysehdotukset. Vuoden 2006 aikana myös toteutettiin tärkeimmät kehitysehdotuksista.
Insinöörityössä kartoitettiin yrityksen työasemat, palvelimet, lähiverkko ja tietoturva. Työasemien asennukseen liittyviä työrutiineja tehostettiin ja dokumentoitiin. Palvelimille asennettiin Windows-päivitysten levitystyökalu, tarkistettiin ja yhtenäistettiin F-secure keskushallinnan sääntöjä sekä parannettiin sähköpostin käytettävyyttä. Myös yrityksen varmistusjärjestelmä uusittiin ja tuon hankintaprojektin eri vaiheet on selostettu tässä insinöörityössä. Ne kehitysehdotukset, joita ei tämän työn puitteissa ehditty toteuttamaan, on listattu työn loppuosaan jatkokehitysideoina.
Tämä insinöörityö on jatkossa hyödyllinen sellaisille IT-ylläpitäjille, jotka suunnittelevat F-secure keskushallinnan sääntöjen tai Exchange-sähköpostijärjestelmän roskapostisuodatuksen kehittämistä tai harkitsevat WSUS-palvelun käyttöönottoa. Insinöörityön osuus, joka kertoo varmistusjärjestelmän hankintaprojektista, antaa lukijalle hyvän kuvan melko laajan IT-projektin läpiviemisestä.
Tämä insinöörityö koostuu useista eri käytännön tehtävistä, jotka kaikki ovat osaltaan parantaneet yrityksen tietojärjestelmän käytettävyyttä ja tietoturvaa. Lisäksi ylläpitäjien työrutiineja on selkiytetty ja päivittäistä työtä helpottamaan on kirjoitettu ohjeita ja toimintamalleja.
Hakusanat Exchange, sähköpostipalvelin, tietoturva, toimintamalli, ylläpito, varmuuskopiointi, virustorjunta, WSUS.
EVTEK University of Applied Sciences ABSTRACT
Institute of Technology
AuthorName of Thesis
PagesDate
Asko IkävalkoDeveloping IT-maintenance routines
561 May 2007
Degree Programme Information Technology
Degree Bachelor of Engineering
InstructorSupervisor
Sari Helenius, Administrative directorErik Pätynen, Senior Lecturer
The goal of the thesis is to analyze the current state of the IT-system and management routines used in our example corporation aiming to create proposals how to strengthen weak parts of the maintenance principles and server configurations. Some of the most important development proposals have been carried out in practise during year 2006.
The workstations, servers, local area network and information security have been analysed in this thesis. Working routines concerning workstation installations were intensified and documented. A Windows update distribution tool has been installed to the servers, the rules of the F-secure central management have been adjusted and standardized, and the usability of email has been improved. The backup system of the corporation has been renewed and the phases of the purchase project have also been explained. Those development proposals which have not been carried out during the year 2006 are listed as future developing proposals in the end of the thesis.
This thesis will be useful for such IT administrators, who are planning to develop rules for the F-secure central management, to improve junk mail protection in the Exchange email system, or to install Windows Server Update Services (WSUS). The part of the thesis which discusses the purchase project of a new backup system, gives the reader a good view of the administration of a quite large IT-project.
This thesis consists of diverse practical tasks, all of which have contributed in making the usability and information security of an IT-system better than before. In addition, the work routines of IT-administrators have been made clearer. A few manuals and job procedures have also been introduced to help in the daily work.
Keywords antivirus, backup, email server, Exchange, information security, maintenance routine, WSUS.
Sisällys
TiivistelmäAbstractLyhenneluettelo
1 Johdanto 71.1 Yritysesittely 71.2 Työn tavoite 7
2 Teoriaa tietojärjestelmän hallinnasta 92.1 Lähiverkkojen historia Suomessa 92.2 Verkkojen hallinta ja valvonta 102.3 Keskushallintatyökalut 11
2.3.1 F-secure Policy Manager keskushallinta 112.3.2 Windows-päivitysten keskitetty jakelu 12
3 Lähtötilanteen esittely 143.1 Työasemat 14
3.1.1 Laitehankinnat 143.1.2 NT4-käyttöjärjestelmä 15
3.2 Palvelimet 163.2.1 Active Directory 163.2.2 Myymälät 163.2.3 Materiaalihallinto 173.2.4 Taloushallinto 183.2.5 F-secure-keskushallinta 183.2.6 Exchange-sähköposti 20
3.3 Lähiverkko 213.3.1 Verkkotopologia 213.3.2 Tietoliikennelaitteet 213.3.3 Tulostimet 223.3.4 Dokumentointi 22
3.4 Tietoturva 223.4.1 Käyttäjätunnukset 233.4.2 Salasanojen säilytys 233.4.3 Varmuuskopiointi 23
3.5 Koulutus 243.5.1 Ylläpitäjät 243.5.2 Peruskäyttäjät 24
4 Kehityssuunnitelma 254.1 Työasemat 254.2 Palvelimet 26
4.2.1 F-secure-keskushallinta 264.2.2 Exchange-sähköposti 274.2.3 Windows-päivitykset 28
4.3 Lähiverkko 294.4 Tietoturva 30
4.4.1 Varmuuskopiointi 304.4.2 Salasanojen säilytys 31
4.5 Dokumentointi 32
5 Toteutusraportti 335.1 Työasemat 33
5.1.1 Uudet kassapäätteet 335.1.2 NT4-työasemat 35
5.2 Palvelimet 355.2.1 F-secure-keskushallinta 365.2.2 Exchange-sähköposti 395.2.3 Windows-päivitysten jakelu 435.2.4 Uusi varmistusjärjestelmä 44
5.3 Tietoturva 465.4 Dokumentointi 475.5 Muita parannuksia 48
6 Yhteenveto 506.1 Saavutukset 506.2 Jatkokehitysideoita 52
6.2.1 Tietoliikenne 526.2.2 Muut kehitysideat 53
Lähteet 54
LiitteetLiite 1: Oy Malliyritys Ab verkkokuva 55Liite 2: Toistuvien töiden taulukko 56
Lyhenneluettelo
AD Active Directory; Windows toimialueen nimitys.
ADSL Asymmetric Digital Subscriber Line; Yleinen etäyhteystekniikka.
DMZ Demilitarized Zone; Palvelimille tarkoitettu lähiverkkosegmentti.
DNS Domain Name System; Internetin nimipalvelu.
IETF Internet Engineering Task Force; Internet-standardeja kehittävä järjestö.
IIS Internet Information Services; Microsoftin web-palvelinohjelmisto.
IMAP Internet Message Access Protocol; Sähköpostiprotokolla.
IMF Intelligent Message Filtering; Exchange-sähköpostin roskapostisuodatin.
LTO Linear Tape-Open; Suuren kapasiteetin tallennusnauha.
MIB Management Information Base; Asetusten määrittelyjoukkio.
RBL Realtime Black List; Roskapostin suodatukseen käytetty tekniikka.
SAN Storage Area Network; Palvelimien ulkopuolinen tallennusjärjestelmä.
SCL Spam Confidense Level; Roskapostin ja hyötypostin välinen raja-arvo.
SMS System Management Server; Microsoft palvelimien keskushallintatuote.
SMTP Simple Mail Transfer Protocol; Sähköpostiprotokolla.
SNMP Simple Network Management Protocol; Verkonvalvontaprotokolla.
SPF Sender Policy Framework; Roskapostin suodatukseen käytetty tekniikka.
UDP User Datagram Protocol; Internetissä käytetty tietoliikenneprotokolla.
UPS Uninterruptible Power Supply; Virtakatkon aikana toimiva sähkönsyöttö.
WAN Wide Area Network; Organisaation ulkomaailmaan liittävä verkkoyhteys.
VLAN Virtual Local Area Network; Verkkosegmentointiin käytetty tekniikka.
WLAN Wireless Local Area Network; Langaton lähiverkko.
VPN Virtual Private Network; Salattuihin etäyhteyksiin käytetty tekniikka.
WSUS Windows Server Update Services; Windows-päivitysten keskushallinta.
1 Johdanto
1.1 Yritysesittely
Malliyritys Oy on kaupan alalla toimiva yritys. Yrityksellä on nykyisin toimipisteet
kaikissa suurimmissa kaupungeissa.
Yritys aloitti toimintansa Itä-Suomen alueella, ja Helsinkiin ensimmäinen myymälä
avattiin 1900-luvun puolivälin jälkeen. Yrityksen pääkonttori siirtyi 1900-luvun lopulla
Helsinkiin, ja sen jälkeen yritys on kasvanut tasaisesti, nykyisin toimipisteitä löytyy eri
puolilta Suomea. (1, s. 4.)
Malliyrityksen IT-osasto ylläpitää noin 120:tä Windows-pohjaista kassakonetta, 100:aa
työasemaa ja 20:tä sovelluspalvelinta. Lisäksi IT-osasto ylläpitää työntekijöiden
älypuhelimia, tulostimia sekä yrityksen muita teknisiä laitteita.
1.2 Työn tavoite
Insinöörityöni tavoitteena on analysoida, millaisilla työmenetelmillä yrityksen
tietojärjestelmää ylläpidetään ja mikä on tietojärjestelmän nykytila kokonaisuutena
tarkasteltuna. Analyysin perusteella luon kehitysehdotuksen, mihin suuntaan
tietojärjestelmän ylläpitoa tulisi kehittää ja mihin epäkohtiin tulisi puuttua. Tavoitteena
on myös, että tämä insinöörityö toimii jatkossa osana yrityksen tietojärjestelmän
dokumentointia.
Pyrin etsimään kehitettäviä kohtia IT-osaston työtavoissa ja tarkistamaan olemassa
olevien sovellusten ja laitteiden konfiguroinnit oikeiksi. Selvitän myös, millaisia
valvontatyökaluja IT-osastolla on käytettävissään, ja asennan sellaiset työkalut, jotka
tuovat lisää tehokkuutta ylläpitäjien työhön.
7
Lisäksi toteutan ja raportoin muutamia tärkeimmiksi katsomiani kehitysehdotuksia
touko–joulukuussa 2006. Ne kehitysehdotukset, joita en ehdi toteuttamaan insinöörityön
puitteissa, kirjaan työn loppuosaan jatkokehitysideoina.
8
2 Teoriaa tietojärjestelmän hallinnasta
2.1 Lähiverkkojen historia Suomessa
Suomen ensimmäiset lähiverkot rakennettiin 1980-luvun alkupuolella tehostamaan
paperitehtaiden tuotannonohjausta. Tehtaissa oli suuri määrä erimerkkisiä tietokoneita
ja ne saatiin liitettyä yhteiseen Dataway-väylään, joka toimi nopeudella 250 kbit/s. (2, s.
37.)
Lähiverkkojen alkuaikoina suurin osa päätelaitteista oli tekstipäätteitä, jotka oli kytketty
RS-232-liitännällä keskustietokoneeseen, joka puolestaan keskusteli esimerkiksi
Dataway-väylän kautta muiden keskustietokoneiden tai tuotantolaitteiden kanssa.
Tultaessa 1990-luvun puoliväliin, tekstipäätteet olivat suurelta osin korvaantuneet
henkilökohtaisilla työasemilla, joissa oli käyttöjärjestelmänä Windows 3.11 tai
Windows NT. Työasemilla käytettiin jo sähköpostia ja web-selaimella toimivia
yrityksen sisäisiä intranet-sivustoja. Lisäksi tietokoneisiin oli asennettu pääte-
emulaattori, jolla voitiin ottaa yhteys myös vanhempiin keskustietokoneisiin.
Lähiverkkoratkaisuina käytettiin muun muassa tähtitopologian mukaista Ethernetiä ja
väylätopologian mukaista Token ring -verkkoa. (2, s. 42.)
Tätä kirjoitettaessa vuonna 2007 on koaksiaalikaapelia käyttävistä väylätopologian
muotoisista lähiverkoista jo luovuttu ja ne on korvattu tähtitopologian muotoisilla
Ethernet-verkoilla. Tärkeimmät yhteydet on kahdennettu niin, ettei yhden pisteen
vikaantuminen lamauta koko verkkoa. Normaaleissa toimistoverkoissa käytetään
yleisesti nopeuksia 1 Gbit/s ja 100 Mbit/s. Paremmissa verkkolaitteissa on käytännössä
aina sisäänrakennettu hallintaliittymä, jolla voidaan itse määritellä laitteen asetukset ja
käyttöönottaa esimerkiksi SNMP-pohjainen verkonvalvonta.
9
2.2 Verkkojen hallinta ja valvonta
Verkonhallintajärjestelmät helpottavat IT-ylläpitäjien työskentelyä ja nopeuttavat
vianhakua. Hyvin toimivan hallintajärjestelmän kautta ylläpitäjät voivat saada
vikatilanteista tiedon jo ennen kuin käyttäjät raportoivat verkossa olevasta viasta.
Yksittäisen verkkolaitteen toimintaa seuraavat valvonta-agentit ovat yleensä
valmistajakohtaisia, mutta ylemmän tason hallintajärjestelmät toimivat myös muiden
valmistajien valvonta-agenttien kanssa. Yhden valmistajan laitteita käytettäessä verkon
valvonta ja hallinta on kuitenkin helpompaa. (3, s. 45.)
Laajimmin käytetty protokolla verkon hallinnassa on SNMP (Simple Network
Management Protocol). Se toimii IP-verkossa, tarkemmin ilmaistuna UDP-protokollan
(User Datagram Protocol) päällä. Monissa hallittavissa verkkolaitteissa SNMP on
vakio-ominaisuutena, ja sitä hyödyntäen laitteen valvonta-agentti voi lähettää
poikkeustapauksista tiedon ylläpitäjän käyttämään hallintajärjestelmään ns. trap-
sanomana.
Vikatilanteessa automaattisesti lähetettävien trap-sanomien lisäksi ylläpitäjä voi kysyä
SNMP-hallittavan verkkolaitteen tilaa ns. get-sanomalla. Get-sanomiin liitetään MIB-
polku (Management Information Base), jolla viitataan johonkin tarkasti yksilöityyn
järjestelmäparametriin. MIB-polku voi viitata esimerkiksi sellaiseen muuttujaan, joka
kertoo tietyn portin kautta lähetettyjen IP-pakettien lukumäärän. Get-pyynnön saatuaan
hallittava verkkolaite lähettää lyhyen vastauksen hallintajärjestelmälle, jossa laite kertoo
kysytyn muuttujan sen hetkisen arvon.
SNMP on helppo ottaa käyttöön, sillä se on IETF (Internet Engineering Task Force)
teollisuusstandardin mukainen protokolla ja tuki sille löytyy useimmista
verkkolaitteista. SNMP on jo alun perin suunniteltu Internetiin kytkettyjen laitteiden
valvomiseksi, ja se on nykyisin hyvin laajasti käytetty protokolla valvonta-agenttien ja
hallintajärjestelmien väliseen liikennöintiin. (3, s. 104.)
10
2.3 Keskushallintatyökalut
Nykyisin kaikissa kustannustehokkaasti ylläpidetyissä keskisuurissa ympäristöissä
käytetään etä- ja keskushallintatyökaluja. Etähallintatyökaluilla voidaan ottaa yhteys
johonkin kauempana sijaitsevaan laitteeseen ja hallita sitä etäyhteyden välityksellä.
Keskushallintatyökaluilla puolestaan voidaan yhden keskitetyn pisteen kautta hallita
useita laitteita.
Seuraavassa esittelen kaksi keskushallintatyökalua, joista ensimmäinen on tarkoitettu F-
securen tietoturvaohjelmistojen keskitettyyn hallintaan ja jälkimmäinen on tarkoitettu
Microsoftin julkaisemien Windows-päivitysten keskitettyyn hallintaan ja jakeluun.
2.3.1 F-secure Policy Manager keskushallinta
F-secure Policy Manager -keskushallintapalvelin on tarkoitettu työasemille asennettujen
F-securen tietoturvatuotteiden keskitettyyn hallintaan. Työasemille voidaan
keskushallinnan kautta asentaa F-secure Client Security -tuote, joka sisältää
vakoiluohjelmia ja viruksia poistavan antiviruskomponentin sekä haitallista
verkkoliikennettä suodattavan palomuurikomponentin. Asennuksen jälkeen työasema
noutaa virustunnisteet ja yrityksen ylläpitäjän määrittelemät ohjelman asetukset ns.
Policy Manager -keskushallintapalvelimelta. (4, s. 16.)
Keskushallintapalvelimen kautta ylläpitäjä voi hallita kaikkia yrityksen työasemia
yhden käyttöliittymän kautta ja ryhmitellä työasemia eri ryhmien alle, joille kullekin
voidaan luoda omat palomuurisäännöt ja virustorjunnan asetukset. Mahdollinen
virusaalto on helppo havaita keskushallintapalvelimen tarjoamista raportointi- ja
lokitiedoista, jotka voidaan myös ohjata esimerkiksi ylläpitäjän sähköpostiin. Myös
uusien F-secure ohjelmaversioiden levitys on keskushallinnan kautta huomattavasti
helpompaa verrattuna aikaisempaan menetelmään, jossa kaikki työasemat piti erikseen
kiertää läpi aina kun niihin haluttiin tehdä muutoksia.
11
Policy Manager -keskushallintapalvelimen tärkeimmät komponentit ovat
ylläpitokäyttöliittymän tarjoava Policy Manager Console ja asetustiedostoja säilyttävä
Policy Manager Server. Lisäksi keskushallintapalvelimelta löytyy erillinen Web
Reporting -käyttöliittymä, joka tarjoaa selkeitä graafisia raportteja keskushallintaan
liitettyjen työasemien virustorjuntaohjelmistojen tilasta. (4, s. 18.)
Keskushallintapalvelimen toiminta pohjautuu sisäänrakennettuun Apachen web-
palvelimeen. Työasemien ja keskushallintapalvelimen välinen liikenne kulkee HTTP-
protokollan välityksellä ja jokainen keskushallintapalvelimelta työasemille siirtyvä
päivityspaketti on sähköisesti allekirjoitettu, mikä auttaa erottamaan vihamielisen
valepalvelimen oikeasta tuotantopalvelimesta. HTTP-protokollan lisäksi F-securen
tuotteet osaavat kommunikoida myös SNMP-protokollan välityksellä eri valmistajien
tekemien verkonhallintajärjestelmien kanssa. (4, s. 33.)
2.3.2 Windows-päivitysten keskitetty jakelu
Microsoftin tarjoamista keskushallintatyökaluista tunnetuimpia lienevät Windows
Server Update Services (WSUS) ja System Management Server (SMS).
SMS mahdollistaa esimerkiksi toimisto-ohjelmistopakettien asennuksen työasemille
keskushallinnan kautta, ja sillä voi kartoittaa myös olemassa olevat asennukset, mikä
auttaa ylläpitäjää esimerkiksi lisenssirekisteriä päivitettäessä. Lisäksi SMS tehostaa
työasemien valvontaa Active Directoryn ja Windows-käyttöjärjestelmän
sisäänrakennettuja ominaisuuksia hyödyntäen. SMS hallintatyökalua voi käyttää myös
tietoturvapäivitysten jakeluun, mutta pelkästään siihen käyttöön tämä tuote on hieman
ylimitoitettu ratkaisu. SMS on erillismaksullinen tuote ja vaatii oman dedikoidun
palvelimen. (5.)
WSUS puolestaan on tarkoitettu kuukausittain julkaistavien Windows-päivitysten
hallittuun levittämiseen. Lisäksi sillä voi tarkistaa, mitkä Windows-päivitykset tiettyyn
työasemaan on asennettu onnistuneesti, mutta esimerkiksi toimisto-ohjelmia ei voi
12
WSUS-palvelun avulla valvoa. WSUS on ilmainen tuote, ja sen voi asentaa mihin
tahansa palvelimeen, jossa ei ennestään ole mitään IIS-palveluja käytössä (Internet
Information Services).
Ilman WSUS-palvelua kukin työasema noutaa päivitykset automaattisesti suoraan
Microsoftilta. WSUS-palvelun avulla Internet-liikenne vähenee, kun ainoastaan WSUS-
palvelin noutaa päivitykset Microsoftilta ja sisäverkon työasemat noutavat päivitykset
WSUS-palvelimelta. Yksittäinen työasema päivittyy lähiverkossa olevan
päivityspalvelimen kautta huomattavasti nopeammin verrattuna siihen, että työasema
noutaisi päivitykset Internetissä olevilta Microsoftin palvelimilta.
Keskitettyä WSUS-palvelua käytettäessä ylläpitäjällä on myös mahdollisuus valita
työasemien päivittämiseen sellainen vuorokaudenaika, jolloin päivitykset eivät häiritse
käyttäjien työskentelyä eivätkä esimerkiksi varmuuskopioiden tekoa.
WSUS-palvelimella voidaan luoda työasemaryhmiä tai valita erikseen kuhunkin
työasemaan asennettavat päivitykset. Näin voidaan hallitusti testata isommat päivitykset
etukäteen määritellyllä pilottiryhmällä, ennen kuin päivitykset julkaistaan kaikille
yrityksen työasemille.
13
3 Lähtötilanteen esittely
Tässä luvussa esittelen Malliyritys Oy:n tietojärjestelmän lähtötilanteen saapuessani
yrityksen palvelukseen vuoden 2005 lopussa. Malliyrityksen IT-osastolla on
työskennellyt kaksi kokopäiväistä ylläpitäjää. Heistä toisen siirtyessä muihin haasteisiin
vapautui minulle yrityksestä kokopäiväinen IT-asiantuntijan paikka joulukuun lopussa
vuonna 2005.
Aloitin ympäristöön tutustumisen lukemalla läpi kaiken olemassa olevan ajantasaisen
dokumentaation ja lisäksi tein kollegoilleni tarkentavia kysymyksiä tietojärjestelmän
kokoonpanosta. Melko nopeasti pääsin suorittamaan käytännön ylläpitotoimia oikeassa
tuotantoympäristössä ja sitä kautta tutustuin paremmin yrityksen tietojärjestelmiin.
3.1 Työasemat
Työasemina on suosittu Hewlett Packardin toimistomalleja. Samaa mallia on pyritty
kerralla ostamaan useita samanlaisia, mutta aikojen saatossa on luonnollisesti ajauduttu
tilanteeseen, jossa kaikki työasemat eivät ole täsmälleen samaa mallia, vaan käytössä on
vielä jopa NT4-aikakauden laitteita. Suurin osa työasemista on kuitenkin alle viisi
vuotta vanhoja Windows 2000 ja Windows XP -laitteita.
Työasemia uusitaan sen verran harvoin, että levynkuvia ei ole käytetty asentamisen
apuvälineenä. Tällä hetkellä yrityksen pääkonttorilla on noin 20 pöytäkonetta ja 15
kannettavaa työasemaa. Myymälöissä on ns. taustatyöasemia yhteensä noin 70 kpl.
Windows-pohjaisia kassakoneita on myymälöissä noin 120 kpl.
3.1.1 Laitehankinnat
Laitehankintoja tehtäessä yrityksessä on ollut tapana ostaa pidemmän elinkaaren
laitteita. Pidemmän elinkaaren laitteet eivät yleensä ole hankintahinnaltaan kaikkein
14
edullisimpia, mutta Malliyritys Oy:n IT-ympäristöön ne soveltuvat erinomaisesti.
Kestävät laitteet kaipaavat harvemmin huoltoa, jolloin yritys säästää muun muassa IT-
osaston matkakuluissa. Vaatemyymälät ovat myös hyvin pölyisiä ympäristöjä, jolloin
PC-laitteiden on oltava kestäviä ja niillä on hyvä olla pitkät takuusopimukset.
Laitetoimittajaa valittaessa on myös huomioitu, että tunnetulla merkkivalmistajalla on
takuuhuollot ja tukipalvelut paremmin saatavilla kuin pienemmillä laitevalmistajilla.
3.1.2 NT4-käyttöjärjestelmä
NT4-käyttöjärjestelmän tuki on lakannut joulukuussa 2004 (6). Sen jälkeen
käyttöjärjestelmälle ei enää ole julkaistu tietoturvapäivityksiä. Tämä tarkoittaa sitä, että
NT4-käyttöjärjestelmästä mahdollisesti vielä löytyviä uusia tietoturva-aukkoja voidaan
mahdollisesti hyödyntää, jos koneisiin pääsee käsiksi palomuurin läpi. Riski Malliyritys
Oy:n ympäristössä ei ole kovin suuri, sillä palomuuriin ei ole avattu sellaisia portteja,
joista pääsisi suoraan NT4-koneisiin käsiksi.
Kaikista NT4-koneista on kuitenkin tarkoitus luopua samalla kun kassajärjestelmä
vaihdetaan ja NT4-pohjaiset myymäläpalvelimet voidaan sammuttaa.
Myymäläpalvelimien lisäksi myymälöissä on vielä vanhoja NT4-pohjaisia
taustatyöasemia noin 10 kpl, ja ne on myös tarkoitus uusia vuoden 2006 loppuun
mennessä.
15
3.2 Palvelimet
Kaikki yrityksen palvelimet toimivat Windows-käyttöjärjestelmällä. Windowsin
versioita on käytössä useita: NT4, 2000 ja 2003.
Yrityksen pääkonttorissa on fyysisiä palvelimia seitsemän kappaletta, joiden tärkeimmät
toiminnot esittelen myöhemmin tässä luvussa. Suurin osa palvelimista on Hewlett
Packardin räkkipalvelimia, mutta lisäksi joukossa on yksi IBM:n räkkipalvelin.
3.2.1 Active Directory
Käyttöoikeuksien hallintaan käytetään Active Directoryä, joka on olemassa olevien
NT4-koneiden vuoksi jätetty Windows 2000 mixed moodiin. Hakemisto on kahdennettu
kahdelle erilliselle Windows 2003 -palvelimelle. Näistä palvelimista toiseen on
asennettu lisäksi F-secure-keskushallinta ja toiseen Exchange 2003 SP2
-sähköpostipalvelu.
Kaikki myymälät ja pääkonttori kuuluvat samaan toimialueeseen, jota ei ole pilkottu
toimipaikkojen mukaisiin erillisiin osiin. Group Policyjä käytetään työasemien tiettyjen
asetusten hallinnointiin.
3.2.2 Myymälät
Jokaisessa myymälässä on oma myymäläpalvelin, jonka pääasialliset tehtävät on noutaa
uudet tuotetiedot pääkonttorissa sijaitsevalta ketjunohjauspalvelimelta, ylläpitää
tietokantaa kassoilta tulevasta myyntitiedosta ja välittää myyntitiedot myös
pääkonttorilla sijaitseville ketjunohjaus-, varastonhallinta- ja taloushallintopalvelimille.
Kassajärjestelmää ollaan parhaillaan uusimassa. Vanha järjestelmä on DOS-pohjainen
Profit-kassajärjestelmä, jota tällä hetkellä ajetaan NT4-pohjaisilla myymäläpalvelimilla.
16
Uusi kassajärjestelmä on TP.net-pohjainen ohjelmisto, jota on testattu vuoden 2005
syksystä lähtien kahdessa pilottimyymälässä Windows 2003 -myymäläpalvelimilla.
Alkuvuodesta 2006 kassaohjelmistossa on edelleen merkittäviäkin puutteita, mutta ne
on tarkoitus saada korjattua maaliskuuhun 2006 mennessä. Helsingissä sijaitsevassa
myymälässä tehdään mittavaa remonttia ja sinne on tarkoitus saada uusi
kassajärjestelmä asennettua ennen myymälän avajaisia. Kassaohjelmasta pyritään
kitkemään ongelmat pois, jotta päästäisiin lopulliseen levitysversioon ennen ko.
myymälän remontin valmistumista.
Tämän työn puitteissa sain tehtäväkseni koordinoida sähkömiesten työskentelyä ja
varmistaa, että kuhunkin kassapisteeseen tulee riittävä määrä sähkö- ja Ethernet-
pistokkeita ja että ne tulee numeroitua loogisesti.
3.2.3 Materiaalihallinto
Varaston hallintaan käytetään nimeltä mainitsematonta ohjelmistoa, jonka eräs
englantilainen konsulttitoimisto on räätälöinyt Malliyrityksen tarpeisiin sopivaksi.
Suomessa ei ole millään toisella yrityksellä tätä samaa ohjelmistoa käytössä.
Malliyrityksen vanhin IT-asiantuntija on ollut räätälöintiprojektin alusta lähtien jo
vuosien ajan mukana kehittämässä varaston hallintaohjelmistoa, ja hän tuntee
ohjelmiston toiminnan melko hyvin, mutta tarvittavat muutokset ohjelmakoodiin
tilataan kuitenkin aina Englannista. Ohjelmisto pyörii dedikoidulla Windows 2000
-palvelimella.
17
3.2.4 Taloushallinto
Taloushallintoa hoidetaan Scala-ohjelmistolla, jolle on dedikoitu oma Windows 2003
-palvelin. Rajapintoja varaston hallinnan, Scalan ja kassajärjestelmän välillä on useita
erilaisia, joiden läpi kulkee asiakastiedot, varastosaldot ja myynnit järjestelmästä
toiseen. Esimerkiksi uudet laskutusasiakkaat perustetaan pääkonttorilla Scalaan, josta ne
siirtyvät automaattisina yöajoina kassajärjestelmään. Varastosaldot puolestaan siirtyvät
uudessa TP.net-kassajärjestelmässä varaston hallintapalvelimelta aina yksittäiselle
kassakoneelle asti, josta myyjä voi tarkistaa tuotteen saatavuuden varastokyselynä.
3.2.5 F-secure-keskushallinta
Keskushallintapalvelimen versio 6.00 on toiseksi uusin. Työasemilla versioiden kirjo on
erittäin vaihteleva, joillakin koneilla vielä käytössä vanhoja 5.xx-sarjan versioita.
Keskushallinnassa on tiedot yhteensä 90 työasemasta. Kuvassa 1 on esitetty, minkä
verran eri versioita on keskushallintaan liitetty.
18
Kuva 1. Työasemien F-secure-versiojakauma 27.3.2006.
Keskushallintapalvelimella on myös tietoja vanhoista jo käytöstä poistetuista
työasemista. Nämä aiheuttavat turhaan hälytyksiä keskushallinnassa, kun ne eivät ole
noutaneet tuoreimpia virustunnisteita.
Sen lisäksi että F-securesta on paljon eri versioita käytössä, on osa asennuksista tehty
jostain syystä yksittäisasennuksina, vaikka keskushallintakin on ollut käytettävissä.
Asennuksia tehtäessä on myös lähes kaikilta työasemilta jätetty palomuurikomponentti
asentamatta ja asennettu ainoastaan virustorjunta. Osa työasemista on niin vanhoja ja
hitaita, ettei niihin kaikkiin ole asennettu F-securea lainkaan.
F-secure-keskushallinnan on aikoinaan asentanut ulkopuolinen toimittaja eikä IT-
osaston henkilöstöä ole kovin perusteellisesti koulutettu virustorjuntaohjelmiston
keskushallinnan käyttöön. Niinpä sen asetukset on jäänyt oletusarvoille eikä
keskushallinnan kaikkia ominaisuuksia ole otettu tehokkaasti käyttöön.
19
3.2.6 Exchange-sähköposti
Malliyritys Oy:n sähköpostipalvelimella on sähköpostilaatikot noin 200 käyttäjällä.
Soneran palvelimia käytetään SMTP-reititykseen, joten Exchangen SMTP-portti ei
suoraan näy julkiseen Internetiin. Sähköpostilaatikoita hallitaan kuitenkin itsenäisesti
omalla Exchange-palvelimella.
Yksittäisen sähköpostilaatikon tallennustila on Exchangessa oletuksena rajattoman
suuri. Pääkonttorin käyttäjille postilaatikko on jätetty oletusasetuksille, mutta
myymäläkäyttäjille on erikseen säädetty kullekin käyttäjälle pienempi postilaatikon
koko. Myymäläkäyttäjille on myönnetty vain 10 Mt:n kokoisia postilaatikoita, ettei
Exchangen sisäänrakennettu tietokannan 16 Gt:n maksimikoko täyttyisi (7). Itse asiassa
vuoden 2006 alussa ollaan jo hyvin lähellä tuota raja-arvoa ja pelkona on ollut
tietokannan lukkiutuminen. Sainkin tehtäväkseni ohjeistaa ja avustaa käyttäjiä vanhojen
sähköpostiviestien siirtämiseksi työaseman paikalliselle levylle arkisto-tiedostoon.
Roskapostin määrä on ollut kasvava ongelma myös Malliyrityksessä. Toistaiseksi se ei
vielä ole ylikuormittanut tietoliikenneyhteyksiä, mutta käyttäjien työskentelyä se
häiritsee ja siitä on tullut palautetta IT-osastolle. Käyttäjät ovat ilmoittaneet ylläpidolle
roskapostiviesteistä lähettävän sähköpostiosoitteen, jonka ylläpitäjät ovat käsin lisänneet
Exchangen kieltolistalle. Tämä on ollut aikaa vievää käsityötä ja melko tehotonta
sellaista, sillä roskapostittajat vaihtavat lähettäjäkentässä näkyvää osoitettaan jopa
jokaisen yksittäisen lähetyserän välissä. Sain tehtäväkseni tutustua erilaisiin
ratkaisuihin, joilla roskapostiongelmaan voitaisiin puuttua.
Outlook Web Access -ominaisuutta ei ole yrityksessä käytetty, siihen pääsy julkisesta
Internetistä on estetty palomuurilla. Sen sijaan käytetään Soneran Mobiilitoimisto-
palvelua, johon kuuluu muun muassa webmail-toiminto. Mobiilitoimistoa pyörittävä
Soneran palvelin ottaa yhteyden Exchangeen IMAP-portin kautta ja tuo IMAP-portti on
palomuurilla rajattu näkyväksi ainoastaan tälle yhdelle Soneran palvelimelle.
20
3.3 Lähiverkko
3.3.1 Verkkotopologia
Pääkonttorin ja myymälöiden lähiverkkoja ylläpitää yrityksen oma IT-osasto, mutta
etäyhteydet on ostettu Soneralta kokonaispalveluna, joka sisältää muun muassa VPN-
yhteyksien ja palomuuritoimintojen hallinnoinnin. Myymälät on yhdistetty
pääkonttoriin Soneran Datanet-palvelun kautta, joka tarjoaa kullekin myymälälle oman
IP-aliverkon yksityisillä IP-osoitteilla toteutettuna (ks. liite 1). Julkisen Internetin ja
Datanetin välissä on Soneran palomuuripalvelu, johon Malliyrityksen ylläpitäjät voivat
tehdä palomuurisääntöjä koskevia muutospyyntöjä web-hallintatyökalun avulla.
Julkiseen Internetiin menevä liikenne on oletuksena kielletty ja tarvittavat portit on
erikseen sallittu. Tämä estää tehokkaasti muun muassa vertaisverkko-ohjelmien käytön
ja web-radioiden kuuntelun yrityksen verkossa.
Kahdennetun Datanet-yhteyden lisäksi pääkonttorilta lähtee Framerelay-yhteys, jonka
kautta vanhan kassajärjestelmän pankkikorttivarmennukset hoidetaan. Uuden
kassajärjestelmän pankkikorttivarmennukset lähtevät suoraan myymälästä kiinteää
VPN-yhteyttä pitkin kolmannen osapuolen tiloissa sijaitsevaan varmennuskeskukseen.
Verkkokuva on esitetty liitteessä 1.
3.3.2 Tietoliikennelaitteet
Pääkonttorin 100 Mbps:n lähiverkko on toteutettu HP:n hallittavilla ProCurve
-kytkimillä. Kussakin kytkimessä on 24 porttia ja kytkimiä on yhteensä alle 10 kpl.
Kytkimet on yhdistetty toisiinsa 1 Gbps:n kuituyhteyksillä. Kahdennettuja yhteyksiä
eikä VLAN-virtuualiverkkoja käytetä. Näin ollen kytkinten välisiä ristiriitoja estävä
Spanning-Tree-protokollakaan ei ole tarpeen.
Kytkimien lisäksi pääkonttorilla on kahdennettu DSL-yhteys, ja siihen liittyvät Ciscon
reitittimet ovat Soneralta vuokrattuja ja Soneran ylläpitämiä.
21
Myymälöissä on yleensä 24-porttisia kytkimiä 1-2 kpl samassa ristikytkentäkaapissa
ADSL-modeemin kanssa.
Langattomia lähiverkkoja Malliyrityksellä ei ole käytössä.
3.3.3 Tulostimet
Tulostiminakin yrityksessä suositaan Hewlett Packardin valmistamia laitteita. Osa
vanhemmista tulostimista on suoraan tietokoneisiin kytkettyjä LPT-liitäntäisiä
lasertulostimia, mutta suurin osa on jo suoraan lähiverkkoon liitettäviä
verkkotulostimia. Nykyisin on pyritty vakioimaan pienryhmäkäyttöön tulostinmalliksi
HP LaserJet 1320n ja tehokäyttäjille HP LaserJet 4250n. Joissain myymälöissä on yksi
väritulostin ja lisäksi pääkonttorissa niitä on kaksi.
3.3.4 Dokumentointi
Malliyrityksen tietojärjestelmästä ei ole olemassa kattavaa dokumentointia. Eri
palvelinsovelluksista on olemassa vaihtelevan tasoisia dokumentteja, mutta niitä ei ole
koottu yhtenäiseksi kaiken kattavaksi dokumentaatioksi.
Rutiininomaisesti tehtävistä toistuvista töistä ei ole olemassa listaa. Listan käyttäminen
helpottaisi uusia ylläpitäjiä muistamaan kaikki toistuvat työt, ja listasta olisi helppo
seurata mitä milloinkin on tehty.
3.4 Tietoturva
Malliyritys Oy:ssä ei tehdä tuotekehitystä, eikä teknistä tietoturvaakaan ole viety
äärimmilleen, vaan ennemminkin on panostettu järjestelmien helppokäyttöisyyteen.
Vaatemyyjille pyritään tarjoamaan helppo pääsy tietokoneille eikä käyttäjän
22
todennukseen haluta liikaa kuluttaa vaatemyyjien työaikaa. Näin ollen muun muassa
salasanat on pyritty pitämään melko yksinkertaisina.
Lähiverkon ja sähköpostin salasanoja hallitaan Active Directoryn vakiotyökaluilla ja
varaston hallintapalvelimen ja Scalan salasanoja niiden omilla vakiotyökaluilla. Mitään
eri järjestelmille tarkoitettua yhteistä käyttäjäntodennuspalvelinta ei ole käytössä.
3.4.1 Käyttäjätunnukset
Pääkonttorilla on jokaisella käyttäjällä omat AD-käyttäjätunnukset, joilla he kirjautuvat
omille henkilökohtaisille työasemilleen.
Myymälöissä ainakin myymäläpäälliköillä ja osastonhoitajilla on henkilökohtaiset
käyttäjätunnukset, joilla he pääsevät omaan sähköpostiinsa käsiksi. Muillekin myyjille
voidaan lisäksi perustaa sähköpostilaatikoita, mikäli myymälänjohtaja antaa siihen
valtuutuksen.
3.4.2 Salasanojen säilytys
Käyttäjien salasanoja ei talleteta, vaan ne tuhotaan heti, kun tunnukset on luotu ja
salasana ilmoitettu käyttäjälle.
3.4.3 Varmuuskopiointi
Vanhan varmistusjärjestelmän kapasiteetti on ollut riittämätön.
Nyt aiotaan käynnistää projekti varmistusjärjestelmän uusimiseksi ja IT-osasto on
käynyt ennen minun rekrytointia tutustumassa erään toimittajan SAN-levyjärjestelmää
käyttävään ratkaisuun. Sain heti alussa tehtäväkseni listata kohteet, joita olisi syytä
23
ruveta varmistamaan, ja lisäksi minun tulisi selvittää, millaisella laitteistolla kyseinen
datamäärä olisi järkevintä varmistaa.
3.5 Koulutus
3.5.1 Ylläpitäjät
Malliyrityksen IT-ylläpitäjille ei ole varattu kiinteätä koulutusbudjettia. Ylläpitäjiä
koulutetaan tarpeen mukaan ja myös heidän omat kiinnostuksensa huomioidaan
kurssisuunnitelmia laadittaessa.
3.5.2 Peruskäyttäjät
Pääkonttorin työntekijät osaavat melko hyvin tarvitsemiensa sovellusohjelmien ja ATK-
laitteiden käytön. Kovin syvällistä koulutusta järjestelmien käyttöön ei työnantajan
puolesta ole järjestetty, eikä enemmistö sellaista tunnu kaipaavankaan. Osa ihmisistä on
kuitenkin kertonut, että kaipaisi lisää perehdytystä sovellusohjelmien entistä
tehokkaampaan hyödyntämiseen. Monimutkaisimmat Malliyrityksen sovellusohjelmista
ovat materiaalinhallinto sekä mainososaston käyttämät kuvankäsittely- ja sivuntaitto-
ohjelmat. Lisäksi osa työntekijöistä haluaisi perusohjelmienkin käyttöön syventävää ja
työrutiineja tehostavaa koulutusta.
Myymälöissä työntekijöiden tietotekninen osaaminen vaihtelee huomattavasti enemmän
kuin pääkonttorilla. Osa myyjistä ei ole käyttänyt PC-työasemaa ikinä, ja heille uuden
Windows-pohjaisen kassajärjestelmän opettelukin on hieman haastavampaa.
Kassajärjestelmän käytöstä projektipäällikkö järjestää myyjille käyttöönoton yhteydessä
pari tuntia kestävän pienryhmäkoulutuksen, jonka jälkeen he pääsevät harjoittelemaan
kassakoneen tuotantokäyttöä IT-tukihenkilöiden opastamina.
24
4 Kehityssuunnitelma
Tässä luvussa tartun tärkeimmiksi katsomiini epäkohtiin, jotka olen Malliyrityksen
tietojärjestelmän ylläpitorutiineissa ja teknisissä määrittelyissä havainnut. Lisäksi kerron
toteutussuunnitelman, jonka mukaan aion ongelmat korjata kesän ja syksyn 2006
aikana.
Tässä luvussa mainittujen kehityskohteiden lisäksi listaan vielä työni loppuosaan
jatkokehitysideoita (ks. luku 6.2). Ne ovat epäkohtia, joiden olemassaolon olen
tiedostanut, mutta tämän työn puitteissa en ehdi niihin tarkemmin paneutumaan.
4.1 Työasemat
Malliyrityksessä ei ole käytetty tietokoneiden kloonaamisen mahdollistavaa levynkuva-
tekniikkaa, sillä yleensä työasemia ei uusita kovin montaa kerrallaan ja laitemallit
ehtivät useimmiten vaihtumaan uusimiskierrosten välillä. Sen sijaan asennuksia
voitaisiin nopeuttaa hankkimalla sellainen Windows XP -asennusmedia, joka sisältää
valmiiksi Service Pack 2 -päivityksen, ettei päivitystä tarvitse joka koneeseen erikseen
asentaa käyttöjärjestelmäasennuksen jälkeen. Kun SP2-päivitystä ei tarvitse enää tehdä
käsityönä, nopeutuu yksittäisen työaseman asennus noin 40 minuutilla.
NT4-käyttöjärjestelmällä pyörivät taustatyöasemat ovat melko vanhoja koneita ja niiden
keskuudessa laiterikkojen todennäköisyys on kasvava riski. Tällaisia työasemia on
yrityksellä vielä noin 10 aktiivikäytössä. Työasemat on tarkoitus uusia vuoden 2006
loppuun mennessä. Viimeistään kassajärjestelmän asennuskiertueen jälkeen vanhoja
kassakeskusyksiköitä jää ylimääräisiksi, joista osa on palvellut kassakoneina vasta
muutaman vuoden. Niistä voitaisiin uudelleenasentamalla tehdä Windows XP
-työasemia myymälöihin. Nämä keskusyksiköt riittävät hyvin myymälöiden käyttöön,
sillä käyttötarve myymälöissä on melko satunnaista ja siihen riittää hieman hitaampikin
laite.
25
4.2 Palvelimet
Windows-palvelimien ylläpitoon käytetään etäyhteyttä, jolla palvelimen näyttökuvaa
voidaan tarkastella ylläpitäjän omalta työasemalta.
Palvelimet pyritään käynnistämään säännöllisesti kerran kuukaudessa illalla
myymälöiden sulkeuduttua. Palvelinten käynnistämisen jälkeen olisi hyvä selata kunkin
palvelimen Windows-lokit läpi ainakin kerran kuukaudessa. Lokien lukemisen ja
uudelleenkäynnistämisen aion lisätä ns. toistuvien töiden taulukkoon, jonka tulen
esittelemään myöhemmin tässä raportissa.
Windows-päivityksiä ei ole säädetty asentumaan automaattisesti, vaan ylläpitäjät ovat
asentaneet niitä käsin. Mitään seurantaa ei ole käytetty, josta näkisi, mille koneelle
tuoreimmat päivitykset on asennettu. Tämän epäkohdan aion korjata WSUS-palvelun
(Windows Server Update Services) avulla, joka tulee jatkossa asentamaan Windows-
päivitykset täysautomaattisesti myös palvelimiin sellaiseen vuorokauden aikaan kun
mitään tuotantokäyttöä eikä yöajoja ole käynnissä.
Seuraavassa kerron WSUS-palvelun asennussuunnitelman lisäksi myös tarkemmat
kehitysehdotukseni F-secure- ja Exchange-palvelimien osalta.
4.2.1 F-secure-keskushallinta
F-secure-keskushallinta on minulle entuudestaan tuttu. Olen käynyt EVTEKissä
muutaman F-secureen liittyvän kurssin ja edellisen työnantajan palveluksessa olen
ylläpitänyt useiden asiakkaiden F-secure keskushallintapalvelimia. Niinpä minulla oli
heti alusta lähtien useita kehitysehdotuksia mielessä Malliyrityksen F-secure-
keskushallintapalvelinta koskien.
Aikaisempiin kokemuksiini perustuen tiesin muun muassa, että keskushallinnan version
korotus versiosta 6.00 versioon 6.01 onnistuu yleensä ongelmitta. Varmuuden vuoksi
26
kannattaa ottaa Commdir-hakemisto talteen, mutta yleensä sitä ei ole jouduttu
päivityksen jälkeen käyttämään.
Kun keskushallinta on päivitetty, ryhdytään seuraavaksi päivittämään työasemia
tuoreimpaan F-secure Client Security 6.01 -versioon. Työasemaohjelmistot myös
yhtenäistetään niin, että jatkossa kaikissa työasemissa on virustorjunnan lisäksi myös F-
securen palomuurikomponentti mukana.
Aluksi palomuurisääntöjen on oltava melko avoimet, ja niitä on pikkuhiljaa ryhdyttävä
hallitusti testaamaan ja tiukentamaan. Pilottiryhmänä on mielestäni käytettävä alle 20 %
kaikista yrityksen työasemista, ettei saateta kerralla liian montaa konetta
käyttökelvottomaan kuntoon mahdollisesti tuotantoa häiritsevien palomuurisääntöjen
vuoksi.
Kun kaikkiin työasemiin on saatu yhtenäiset versiot ja työasemat keskustelevat
normaalisti keskushallinnan kanssa, voidaan seuraavaksi ryhtyä testaamaan uusia
palomuurisääntöjä ja tiukentamaan virusskannauksen asetuksia. Esimerkiksi työasemilta
ulos suuntautuva SMTP-liikenne voitaisiin kokonaan kieltää. Sillä estetään mass-
mailer-tyyppisten troijalaisten toiminta Malliyrityksen työasemissa. Lisäksi voitaisiin
luoda sääntö, jolla kielletään www-selaus kassakoneilta. Nykyisin www-selausta ei ole
kassoilta estetty millään muulla keinolla, kuin jättämällä selaimen
välityspalvelinasetukset määrittelemättä.
4.2.2 Exchange-sähköposti
Roskapostiongelmaa vastaan on Malliyrityksessä taisteltu melko tehottomalla tavalla,
kun IT-ylläpitäjät ovat käsin lisäilleet yksittäisiä lähettäjäosoitteita Exchangen
kieltolistalle. Nykyisin yksittäinen roskapostin lähettäjä harvoin käyttää samaa
lähettäjäosoitetta useammin kuin kerran, sillä tuo osoite on erittäin helppo väärentää
erilaiseksi vaikka jokaisen lähetyskerran välissä. Päätin pyytää tarjoukset Soneran
suodatuspalvelusta sekä F-securen uudesta Messaging Security Gateway -tuotteesta,
joka on Exchangen ja Internetin väliin liitettävä rautapohjainen virus- ja
27
roskapostisuodatin. Samalla päätin kuitenkin ennen mitään varsinaisia hankintoja
tutustua internetin keskustelupalstojen kautta tarkemmin muiden organisaatioiden
käyttämiin roskapostin torjuntakeinoihin ja sitä kautta löysin Exchangen vakio-
ominaisuuksiin kuuluvan Intelligent Message Filtering -ominaisuuden, jota
Malliyrityksessä ei vielä ollut lainkaan käytössä.
Myös postilaatikoiden 10 Mt:n kokorajoitus on nykypäivän yrityskäytössä aivan liian
pieni. Laatikoiden kokoa ei kuitenkaan ole voitu kasvattaa, sillä Exchange Standard
-versiossa on tietokannan maksimikoko rajoitettu 16 gigatavuun ja tietokanta oli jo
tammikuussa 2006 huomattavan lähellä tuota raja-arvoa.
Päätin, että kun tietokannan kokorajoitukseen liittyvä ongelma saadaan ratkaistuksi,
ryhdyn kasvattamaan myymälähenkilöstön postilaatikoiden kokorajoitusta 10 Mt:n
arvosta ylöspäin. Alun perin rajoitus oli sikäli nurinkurisesti toteutettukin, että uutta
käyttäjää perustettaessa tälle tulee automaattisesti rajattoman suuri postilaatikko, ellei
erikseen muisteta asettaa tätä 10 Mt:n rajoitusta. Ajattelin, että oletusarvo voisi
äärettömän sijasta olla 100 Mt ja tuota oletusarvoa voitaisiin sitten käyttäjäkohtaisesti
säätää esimerkiksi myymäläpäälliköiden ja pääkonttorin henkilöstön kohdalla
suuremmaksi. Näin ei pääse kenellekään syntymään ylisuurta postilaatikkoa, jos IT-
ylläpitäjä unohtaa asettaa oletusarvosta poikkeavan kokorajoituksen uutta käyttäjää
perustettaessa.
4.2.3 Windows-päivitykset
Malliyrityksessä on jo aiemmin yritetty käyttöönottaa WSUS-palvelua (Windows
Server Update Services). Asennus ei kuitenkaan ole onnistunut, eikä epäonnistumisen
syy ole tiedossa. Itse arvelisin, että asennusta on kenties yritetty sellaiselle palvelimelle,
jossa on ennestään ollut joitain IIS-palveluita käytössä. Toinen todennäköinen
kompastuskivi voisi olla Group Policy -määrittelyt, joita tiedän WSUS-asennuksessa
tarvittavan. Itse en aiemmin ole WSUS-palvelua asentanut, mutta tiedän silti
pääperiaatteen, jolla tuo palvelu toimii.
28
Päätin, että asennan WSUS-palvelun samalle palvelimelle, jolle tulee uusi
varmistusjärjestelmäkin. Tällöin asennus on mahdollisimman helppo, kun palvelimella
ei ennestään ole mitään IIS-palveluita ja muutenkin palvelimen historia on tiedossani
sen koko lyhyen elinkaaren ajalta.
Löysin Microsoftin sivuilta selkeän ohjeen, joka on mielestäni niin yksinkertaisen
näköinen, että ensikertalaisenkin pitäisi sen avulla onnistua WSUS-palvelun
asentamisessa. Samalla kun varmistusjärjestelmää vielä asennetaan, aloin jo lukea
ohjetta läpi ja mielessäni suunnittelemaan asennusta. (8.)
Pilottiryhmäksi aion valita 10–20 tietokonetta Malliyrityksen verkosta, niin että otos
kattaa myymälöiden taustatyöasemia, pääkonttorin työasemia, myymäläpalvelimia ja
pääkonttorin palvelimia. Työasemiksi kannattaa valita ns. valppaiden käyttäjien
työasemia, joilta uskon saavani relevanttia palautetta, mikäli he huomaavat Windows-
päivitysten käytettävyydessä jotain oleellisesti poikkeavaa aikaisempaan verrattuna.
Myymäläpalvelimiksi kannattaa varmuuden vuoksi valita lähellä sijaitsevia myymälöitä
ja pääkonttorin palvelimista vähiten kriittisiä palvelimia, ettei uuden palvelun
käyttöönotolla vahingossakaan saada kovin suurta tuhoa aikaiseksi.
4.3 Lähiverkko
Lähiverkot ovat tekniikaltaan ja tehoiltaan nykytarpeisiin täysin riittäviä. Kaikkien
myymälöidenkin lähiverkot on toteutettu kytkentäisellä 100 Mbps:n Ethernetillä, eikä
vanhanaikaisia hubeja enää käytetä. Nykyisestä 100 Mbps:n nopeustasosta ei ole
aiheutunut ongelmia, eikä sitä näin ollen tarvitse vielä päivittää nopeammaksi.
Pääkonttorille voisi rakentaa vierailijoille mahdollisuuden käyttää Internetiä omilla
kannettavillaan, ilman että he pääsevät Malliyrityksen sisäverkon palveluihin lainkaan
käsiksi. Vierailijaverkossa voisi olla mahdollisuus myös langattomaan kytkeytymiseen,
jonka kautta Malliyrityksen omatkin työntekijät pääsisivät neuvotteluhuoneista omilla
kannettavillaan WLAN ja VPN-yhteyksien kautta sisäverkon palveluihin käsiksi.
29
4.4 Tietoturva
Tietoturvan kannalta yksi Malliyrityksen tärkeimpiä kehityskohteita on
varmuuskopioinnin kehittäminen. Nykyinen varmistusjärjestelmä on kapasiteetiltaan
selkeästi liian pieni, eikä sillä saada kaikkea liiketoiminnan kannalta tärkeää tietoa
varmuuskopioiduksi. Varmuuskopioinnin kehittämisestä kerron tarkemmin luvussa
4.5.2.
Salasanojen hakumenettely on Malliyrityksessä mietitty jo ennestään hyvin toimivaksi.
Kun myymälään rekrytoidaan uusi työntekijä, täyttää hän yhdessä myymäläpäällikön
kanssa tietojärjestelmän käyttösopimuksen. Myymäläpäällikkö vahvistaa omalla
kuittauksellaan listan tarvittavista palveluista, joihin työntekijä tarvitsee oikeudet.
Kun uudet käyttäjätunnukset on luotu, laitetaan käyttösopimuslomake mappiin ja
salasanalomake hävitetään paperisilppurilla. IT-osastolla ei ole mitään tarvetta säilyttää
yksittäisten käyttäjien salasanoja, sillä ne voidaan tarvittaessa nollata, jos ne pääsevät
käyttäjältä unohtumaan. Sen sijaan pääkäyttäjien salasanat olisi hyvä olla varmassa
tallessa, sillä niitä ei aina pystytä nollaamaan ilman koko järjestelmän
uudelleenasennusta. Luvussa 4.5.3 kerron tarkemmin salasanojen säilyttämisestä.
4.4.1 Varmuuskopiointi
Varmistusjärjestelmä on päätetty uusia, ja itse sain tehtäväkseni kartoittaa tarvittavan
kapasiteetin ja pyytää sen pohjalta tarjouksia eri toimittajilta. Aloitin ensin
kartoittamalla nykytilanteen. Tein listan kohteista, joita tällä hetkellä varmistetaan ja
kartoitin myös kohteet, jotka lisäksi pitäisi saada varmistettua.
Seuraavaksi tein laskelman, josta näkyy, kuinka paljon mikäkin kohde vaatii levytilaa.
Kävin katsomassa kultakin sovelluspalvelimelta, minkä verran niissä on varmistettavaa
tietoa ja lisäksi laskin hieman kasvunvaraa päälle. Sellaisille sovelluksille, joiden
tietokantojen tiesin pysyvän lähivuosina suunnilleen nykyisen kokoisina, laskin
30
kasvunvaraa noin 50 %, mutta esimerkiksi sähköpostitietokannoille varasin
varmistusnauhoille tilaa viisinkertaisen määrän nykyiseen sähköpostikannan kokoon
verrattuna. Myymälähenkilöstön sähköpostilaatikot olivat alun perin vain 10 Mt, mutta
varmistettavaa datamäärää laskiessani käytin jo suoraan arvoa 100 Mt, kun tiesin, että
lähitulevaisuudessa postilaatikoita joudutaan kasvattamaan nykyajan vaatimuksia
vastaaviksi. Pääkonttorin käyttäjien postilaatikoille laskin 1 Gt ja kotikansioille 2 Gt
käyttäjää kohden.
Lopputuloksena päädyin siihen, että varmistettavaa tietoa olisi näillä näkymin yhteensä
190 Gt, mutta pitkäikäistä laitehankintaa tehtäessä on varauduttava datamäärän jopa
kaksinkertaistuvan. Päätin ehdottaa vähintään 200/400 Gt:n Ultrium-nauhuria.
Seuraavaksi mietin, kuinka tehokas nauhuri olisi hankittava, että saadaan melko
massiivinen 190 Gt tietomäärä järkevästi varmistettua. Yksinkertaisella jakolaskulla
laskin, että varmistuslaitteen nopeuden on oltava 13 Mt/sek, jos halutaan saada 190 Gt
varmistettua neljässä tunnissa. Tähän nopeuteen pystyvät kaikki nykyaikaiset LTO
Ultrium -nauhurit.
4.4.2 Salasanojen säilytys
Ylläpitäjien käyttämät salasanat on tällä hetkellä IT-ylläpitäjien päässä ja osittain
ylläpitäjien omissa muistiinpanoissa. Kesän aikana aion kerätä kaikki tärkeät salasanat
johonkin turvalliseen säilytyspaikkaan ja lisäksi tulostan ne paperille, jonka annan
hallintopäällikön kassakaappiin säilytettäväksi. Salasanat on hyvä olla yhdellä kootulla
listalla muun muassa siltä varalta, että IT-ylläpitäjille voi sattua jotain vakavaa. Lista
helpottaa myös uusien työntekijöiden perehdyttämistä IT-osastolla, ettei kaikkea tarvitse
hetkessä oppia muistamaan ulkoa. Listan käyttöoikeudet on määriteltävä niin, että
kassakaapin haltijakin tietää, kenelle kaikille listan sisällön saa näyttää.
31
4.5 Dokumentointi
Päätin aloittaa järjestelmän dokumentoinnin piirtämällä yleisluontoisen verkkokuvan
järjestelmästä. Kuvassa tulevat näkymään eri verkkosegmentit ja tietoliikennelaitteet
sekä palvelimet tehtäväkuvauksineen. Lisäksi myöhemmin voisi piirtää kaaviokuvan,
josta kävisi ilmi eri palvelinten väliset rajapinnat.
Verkkokuvat helpottavat merkittävästi uusien IT-ylläpitäjien perehdyttämistä, ja niistä
on hyötyä myös silloin, kun IT-ympäristöä tarvitsee esitellä uusille
yhteistyökumppaneille. Kokeneillekin IT-ylläpitäjille verkkokuvista voi olla hyötyä
ongelmatilanteita selvitellessä, kun olemassa olevan verkkotopologian voi
havainnollisesta kuvasta hahmottaa yhdellä silmäyksellä.
Päivittäistä työtä helpottamaan ryhdyn myös listaamaan toistuvia ylläpitotoimia Excel-
taulukkoon, johon kuitataan aina, kun kyseinen ylläpitotoimi on suoritettu. Taulukon
avulla ylläpitäjien ei tarvitse muistaa ulkoa yksittäisiä säännöllisesti toistuvia tehtäviä.
Lisäksi listaa voidaan jälkikäteen käyttää vianhaun apuvälineenä, jos tarvitsee selvittää,
milloin mitäkin ylläpitotoimia on tehty.
32
5 Toteutusraportti
Seuraavilla sivuilla kerron, kuinka edellisessä luvussa esitellyt kehitysideat käytännössä
toteutettiin ja lisäksi arvioin, kuinka hyvin kunkin kehityskohteen toteutus
kokonaisuudessaan onnistui.
5.1 Työasemat
Kuten luvussa 4.2 kerroin, Malliyrityksen työasemista kiireisimmin uusittavia ovat
NT4-käyttöjärjestelmällä varustetut myymälöiden ns. taustakoneet. Lisäksi
Malliyrityksessä on meneillään kassaprojekti, jossa uusitaan kaikki kassapäätteet.
Luvussa 5.2.2 kerron omasta roolistani tässä melko mittavassa kassaprojektissa.
5.1.1 Uudet kassapäätteet
Kassaprojekti oli käynnistetty jo reilusti ennen oman työsuhteeni alkua keväällä 2005 ja
pilottimyymälöihin oli uusi järjestelmä kokonaan asennettukin jo vuoden 2005 puolella.
Keväällä 2006 pääsin itse ensimmäiseen asennukseen mukaan, kun Helsingin vasta
remontoituun myymälään asennettiin uusi kassajärjestelmä juuri ennen myymälän
avajaisia. Toinen asennus, jossa sain erään sairastapauksen vuoksi ottaa jo enemmän
vastuuta asennuksen kokonaisvaltaisesta sujumisesta, oli eräs toinen myymälä. Kaikki
loputkin myymälät saatiin asennetuiksi syksyn 2006 aikana.
Helsingin myymälän asennuksen jälkeen tein yrityksen toimialueeseen käyttäjän
sisäänkirjautumisen yhteydessä suoritettavan komentojonon, jolla levitetään kassoille
automaattisesti oikeat maa-asetukset ja verkkotulostimet. Näin niitä ei tarvitse yksitellen
tehdä asennuksen yhteydessä.
Ennen maakuntiin matkustamista päätin myös selvittää yhdessä myymäläpäälliköiden
kanssa vanhojen kassojen sijainnit myymälöissä ja suunnittelimme yhdessä uusien
33
kassojen paikat valmiiksi. Pääosin uudet kassat asennettiin samoihin kassapöytiin, joissa
vanhat kassat olivat olleet, mutta joissakin myymälöissä uusien ja vanhojen
kassakoneiden lukumäärä ei ollut sama. Piirsin asennussuunnitelmat puhtaaksi
tekemällä karkean pohjakuvan kustakin myymälästä ja merkitsemällä tuohon
pohjakuvaan kassakoneiden numerot. Näistä pohjakuvista oli merkittävää hyötyä
asennuskiertueen aikana myymälöissä. Jokaisella asentajalla oli pohjakuva koko ajan
mukanaan, ja siitä saattoi tarkistaa, mikä kassakone viedään millekin kassapöydälle.
Pohjakuvan avulla annettiin myös väliraportteja asennuksen etenemisestä
myymäläpäällikölle ja kassaprojektin päällikölle, sillä pohjakuvasta oli helppo näyttää,
mitä on asennettu ja mitä seuraavaksi asennetaan.
Pääkaupunkiseudun myymälöitä asentaessa ilmeni kassaohjelmistossa vielä muutamia
virheitä, joita korjattiin yhteistyössä ohjelmistotoimittajan kanssa. Asennuskiertue
maakunnissa sijaitseviin myymälöihin aloitettiin elokuussa, ja asennukset sujuivat jo
huomattavasti vähemmillä ongelmilla kuin pääkaupunkiseudun asennukset. Asennukset
saatiin valmiiksi syyskuun puolen välin jälkeen.
Asennuskiertueen aikana otin käyttöön myymäläpalvelimien mukana tulleet
etähallintakortit (IBM Remote Supervisor Adapter II). Säädin kortit niin, että ne
lähettävät sähköpostia IT-ylläpitäjille, mikäli palvelimessa ilmenee jotain vikaa. Joskus
myöhemmin ajattelin asentavani syslog-palvelimen, jolla voitaisiin keskitetysti valvoa
näiden etähallintakorttien lisäksi muiltakin verkkolaitteilta tulevia virheilmoituksia.
Windows-pohjaiset kassakoneet on suunniteltu niin, että ne toimisivat myös ns. offline-
tilanteessa täysin itsenäisesti. Muun muassa kaikki tuotetiedot sijaitsee jokaisen kassan
paikallisella kiintolevyllä ja myynti sujuu lähes normaaliin tapaan, vaikka
myymäläpalvelimessa tai WAN-yhteydessä olisi vikaa.
34
5.1.2 NT4-työasemat
Kassajärjestelmän asennuskiertueen jälkeen muutamia yli jääneitä melko uusia
kassakoneita kierrätettiin NT4-pohjaisten työasemien tilalle. Formatoin yli jääneistä
kassoista kovalevyt tyhjiksi ja asensin niihin Windows XP:n ja Office 2002
-ohjelmistopaketin sekä muutamia muita myymäläkäytössä tarvittavia sovellusohjelmia.
Valmiit koneet lähetin postipaketteina myymälöihin, joissa myymäläpäällikkö osasi IT-
osaston antaman puhelinopastuksen avulla kytkeä tietokoneen lähiverkkoon ja laittaa
sen käyntiin. Tämän jälkeen pääsin käyttämällämme PC-Duo-etähallintatyökalulla
työasemaan käsiksi ja sain asennuksen viimeisteltyä, asentaen muun muassa paikalliset
tulostimet sekä tarvittavien käyttäjien sähköpostiprofiilit työasemalle.
Konttorilla tehty työasemien esiasennus sujui tehokkaasti, kun pystyin asentamaan
useampaa konetta samaan aikaan. Työmäärä pysyi kohtuullisena, kun kenenkään IT-
osastolta ei tarvinnut matkustaa myymälään kytkemään konetta. Toisaalta hyvin tehty
esiasennus vähensi myymälähenkilöstönkin työmäärää, kun sen ei tarvinnut soitella
perään muistuttaakseen jonkin sovellusohjelman puuttumisesta.
Edelleenkin Malliyrityksen verkossa on muutama NT4-työasema. Viimeisestäkin
vanhasta työasemasta on tarkoitus luopua vuoden 2006 loppuun mennessä.
5.2 Palvelimet
Suurimmat palvelinympäristöön tekemäni muutokset olivat F-secure-keskushallinnan ja
työasemien ajantasaistaminen ja sääntöjen yhtenäistäminen. Lisäksi käyttöönotin
Windows-päivitysten keskitettyyn jakeluun tarkoitetun WSUS-palvelun ja parantelin
Exchange-sähköpostipalvelimen asetuksia.
Edellä kuvattujen ohjelmallisten muutosten lisäksi Malliyrityksen pääkonttoriin
hankittiin vajaan laiteräkillisen verran uutta laitteistoa, kun varmistusjärjestelmän
35
uusimisen myötä siirryttiin Blade-palvelinaikakauteen. Itse sain toimia
varmistusprojektin päävastuullisena vetäjänä IT-osaston puolelta.
5.2.1 F-secure-keskushallinta
Ihan ensimmäisenä päivitin Policy Manager -keskushallinnan versiosta 6.00 versioon
6.01. Päivitys sujui ilman ongelmia eikä commdir-hakemiston varmuuskopiosta
tarvinnut palauttaa mitään asetuksia takaisin.
Aluksi päätin poistaa kaikki vanhat keskushallintaan unohtuneet työasemat, jotka eivät
enää oikeasti ole käytössä. Samalla ryhdyin kartoittamaan laiterekisterin ja
verkkoskannaukseen tarkoitettujen työkalujen avulla, mitä työasemia yrityksessä
oikeasti on käytössä, ja ryhdyin asentamaan F-securea niihin, jotka eivät jostain syystä
olleet keskushallinnan piirissä.
Seuraavaksi ryhdyin tutustumaan keskushallinnan asetuksiin ja samalla tein muutamia
yksinkertaisia muutoksia. Esimerkkinä muutoksista mainittakoon, että aiemmin
sähköpostiliitteistä tarkistettiin vain tietyt tiedostopäätteet, mutta asetusmuutoksen
jälkeen F-secure tarkistaa kaikki sähköpostin liitetiedostot. Toisena esimerkkinä
kerrottakoon, että laitoin F-secure-ohjelman muistuttamaan käyttäjää virustunnisteiden
päivittämisestä, mikäli tunnisteet ovat yli seitsemän vuorokautta vanhoja eivätkä ole
automaattisesti päivittyneet.
F-securen Application Control -toimintoa ei ollut käytetty aikaisemmin ollenkaan. Tein
keskushallintapalvelimelle listat sallituista ja kielletyistä ohjelmista. Tätä listaa lähdin
aluksi tekemään riittävän varovaisesti, joten laitoin kiellettyjen listalle vain kaksi
ohjelmaa (Gain ja ErrorSafe), jotka varmasti ovat haittaohjelmia. Tein myös asetuksen,
joka sallii kaikki uudet ohjelmat oletuksena, ellei ylläpitäjä niitä erikseen kiellä
keskushallinnan kautta. Näitä asetuksia voidaan myöhemmin tarpeen mukaan kiristää
käyttäen testaamiseen erillistä pilottiryhmää.
36
Suurin työvaihe oli versioiden yhtenäistäminen. Aloitin päivittämällä ensin kaikki
sellaiset työasemat, jotka jo valmiiksi olivat keskushallinnan alaisuudessa. Seuraavaksi
selvitin, mitä muita työasemia Malliyrityksen verkosta löytyy ja millaisia
käyttöjärjestelmiä niissä on. Enemmistö työasemista asentui ns. push-asennuksena
täysin automaattisesti, mutta joihinkin työasemiin jouduin ottamaan etäyhteyden ja
siirtämään asennuspaketin työasemalle käsityönä.
Kuvassa 2 on esitetty Malliyrityksen versiojakauma ennen yhtenäistämistä. Kaikista
tietokoneista 34 % oli varustettu uusimmalla CS 6.01 -versiolla ja merkittävä osa
työasemista oli vanhoja CS 5.5x -sarjan versioita. Palvelimista vain kolmessa oli tuorein
AVS 5.52 -versio ja viidessä palvelimessa vanhentuneet versiot.
Kuva 2. Työasemien F-secure-versiojakauma 27.3.2006.
37
Kuvassa 3 on versiojakauma yhtenäistämisen jälkeen. Viiteen vanhaan NT4-
työasemaan jätettiin CS 5.5x -sarjan tuotteet käyttöön siihen asti kunnes nuo työasemat
korvataan kokonaan uusilla tietokoneilla. Työasemista suurin osa on CS 6.01
-versiossa, ja niihin on kaikkiin asennettu myös palomuurikomponentti. Loppukesällä
2006 julkaistu CS 6.02 on ollut jo jonkin aikaa pilotissa ja lähiaikoina kaikki CS 6.01
-versiot tullaan hallitusti päivittämään CS 6.02 -versioon. Kaikki kahdeksan palvelinta
on yhtenäisesti AVS 5.52 -versiossa. Keskushallintaan oli ennestään liitetty yhteensä 90
tietokonetta. Kesän aikana on hankittu muutamia uusia työasemia, ja kun olen lisäksi
liittänyt vanhoja työasemia keskushallintaan, tällä hetkellä keskushallittuja tietokoneita
on yhteensä 109 kappaletta.
Kuva 3. Työasemien F-secure-versiojakauma 7.10.2006
Asennusten yhteydessä verkosta löytyi muutamia vanhoja NT4-koneita, joihin ei
uusinta F-securea voida asentaa. Päätin jättää nuo työasemat koskemattomiksi ja tein
niistä listan, jotta työasemat voidaan lähiaikoina korvata kokonaan uusilla työasemilla.
Uuden kassajärjestelmän asennukset venyivät pitkälle syksyyn, joten kassakoneille en
ehtinyt F-securea asentamaan.
38
F-secure-keskushallintaan tekemäni parannustyöt onnistuivat kohtuullisella työmäärällä.
Muutamaan työasemaan ohjelmistopäivitykset eivät asentuneet automaattisesti, mutta
onneksi sellaisia työasemia ei ollut kovin montaa. Tekemieni muutosten myötä
yrityksen ostamat F-secure-lisenssit tulivat entistä tehokkaampaan käyttöön, kun
aiemmin sivuun jätetty palomuurikomponenttikin otettiin nyt käyttöön.
Syksyn aikana pääsin jo hyödyntämäänkin siistiksi järjestämääni keskushallintaa, kun
hallintopäällikkömme toivoi kieltoa web-selailuun myymälöiden varastokoneilla.
Onnekseni nämä kaikki työasemat oli jo liitetty keskushallintaan, ja niissä oli toimiva
palomuurikomponentti asennettuna. Hallintopäällikön pyyntöön vastatakseni riitti siis,
että tein F-secureen uuden työsemaryhmän, jolle määrittelin palomuurisääntöihin kaiken
ulospäin lähtevän http- ja https-liikenteen kielletyiksi.
5.2.2 Exchange-sähköposti
Roskapostin torjunta
Käyttäjät olivat taloon tullessani enenevässä määrin kyselleet neuvoja IT-osastolta
roskapostin torjuntaan. IT-osaston aiemmin käsityönä ylläpitämät sähköposti-
osoitteeseen perustuvat mustat listat olivat osoittautuneet tehottomaksi vastakeinoksi
roskapostille, joten päätin ryhtyä selvittämään muita vaihtoehtoja. Sain roskapostin
torjunnasta tarjoukset sekä Soneralta että F-securelta. Soneran palvelu olisi ollut helppo
käyttöönottaa ja huoleton ylläpitäjille. Sen ongelmana pidettiin kuitenkin sitä, että
suodatukset ovat täysin Soneran hallitsemia eikä asiakkaalla olisi ollut mahdollisuutta
tehdä mitään omia poikkeussääntöjä suodattimiin.
F-securen laitetarjous vaikutti tehokkaalta ratkaisulta. Se olisi ollut monipuolisesti
konfiguroitavissa ja ehkä jopa liiankin työläs ylläpitää. Lisäksi se oli melko arvokas ja
aivan uusi tuote, joten pelkäsin siinä olevan ns. lastentautejakin.
Samaan aikaan, kun tarjoukset oli saatu, minulla oli jo Sorbsin RBL-listat (Realtime
Black List) testissä (9). Sorbs-yhteisö ylläpitää listaa sellaisista palvelimista, joiden
39
tiedetään lähettävän roskapostia Internetiin. Listan perusteella minullakin oli tarkoitus
suodattaa meille saapuvista SMTP-yhteydenotoista pois kaikki sellaiset
yhteydenottoyritykset, jotka tulevat joltain tunnetulta roskapostipalvelimelta. Tämä ei
kuitenkaan tehonnut ongelmaan millään tavalla ja nopeasti syyksi paljastuikin se, että
kaikki sähköpostipalvelimelle tulevat yhteydenottoyritykset tulevat vain ja ainoastaan
Soneran välityspalvelimelta, sillä Malliyrityksen oma palvelin ei näy suoraan julkiseen
Internetiin ollenkaan. Näin ollen RBL-listat piti unohtaa roskapostin suodatuskeinona.
Seuraavaksi löysin Exchange palvelimen vakio-ominaisuuksiin kuuluvan IMF-
toiminnon (Intelligent Message Filtering), joka käy kaikki ulkoa saapuvat viestit läpi
heuristisilla suodattimillaan ja laskee kullekin viestille SCL-arvon (Spam Confidense
Level) (10). Kuhunkin viestiin leimataan SCL-arvo 1…9, joista arvo yhdeksän
tarkoittaa selkokielellä: ”Tämä viesti on erittäin suurella todennäköisyydellä
roskapostia”.
Microsoft ei ole julkaissut tarkkaa kuvausta siitä, miten SCL-arvo lasketaan ja mitkä
kaikki tekijät siihen vaikuttavat, mutta silti useilla Internetin keskustelupalstoilla
suositeltiin ainakin kokeilemaan IMF-ominaisuutta.
IMF-toiminnon käyttöönotto on hyvin helppoa. Siihen liittyviä asetuksia on ainoastaan
kolme kappaletta. Ensin määritellään, mistä raja-arvosta lähtien palvelin puuttuu
viesteihin, ja toiseksi, mitä palvelin näille raja-arvon ylittäville viesteille tekee.
Kolmanneksi voidaan vielä määritellä hieman matalampi raja-arvo, jolla viestit
kulkeutuvat käyttäjille asti, mutta menevät Inboxin sijaan käyttäjän Junk-mail kansioon.
Päätin ottaa käyttöönoton varman päälle ja tein näillä kolmella asetuksella sellaiset
säännöt, että palvelin puuttuu ainoastaan sellaisiin viesteihin, joiden SCL-arvo on
yhdeksän, ja nekin se toimittaa omaan karanteeniin talteen sen sijaan, että suoraan
poistaisi viestejä. Työasemalle menevät viestit leimataan roskapostiksi aina kun SCL-
arvo on vähintään neljä. Jo näillä melko löysillä asetuksilla roskapostiongelmaan saatiin
tehokas lääke.
40
IMF-käyttöönoton jälkeen käyttäjiltä ei ole enää tullut ilmoituksia häiritsevän suuresta
roskapostimäärästä, ja he ovat olleet tyytyväisiä siihen, että roskaposti menee suoraan
Junk-mail-kansioon ja hyötypostille tarkoitettu Inbox-kansio pysyy siistinä. Hyötypostia
ei myöskään ole joutunut karanteeniin, kun palvelin siirtää vain korkeimmalla SCL-
arvolla leimattuja viestejä karanteeniin. Tällä hetkellä viestejä päätyy suoraan
palvelimen karanteeniin noin 10 kpl vuorokaudessa.
Roskapostiongelmaan löytyi lopulta edullinen ratkaisu, jolla saavutettiin hyvä
lopputulos. Sorbsin RBL-listojen kanssa tein aluksi hieman turhaa työtä, mutta
kokonaisuutena katsoen löysin melko pienellä työmäärällä hyvän ratkaisun useita
käyttäjiä häirinneeseen roskapostiongelmaan.
Postilaatikoiden kokorajoitukset
Helmikuussa 2006 oli Exchange-tietokannan koko jo erittäin lähellä 16 Gt:n raja-arvoa,
jonka ylityttyä tietokanta lukkiutuu odottamaan isomman tietokannan sallivaa
Enterprise-lisenssiä. Tuolloin ryhdyimme kyselemään eräältä toimittajaltamme neuvoja
Enterprise-version hankkimiseksi. Tarjouksen sijaan saimme heiltä arvokkaan vinkin,
että pelkällä Service Pack 2 -päivityksellä voidaan tietokannan koko kasvattaa jopa 75
gigatavuun. Päivityksen jälkeen tietokannan maksimikoko ei automaattisesti kasvanut
noin suureksi, vaan Microsoftin ohjeen mukaan ylläpitäjän on itse kerrottava
rekisterimuutoksella, että kuinka paljon hänellä on levytilaa ja kuinka isoksi hän sallii
tietokannan kasvavan (11).
Kun tietokannan kokorajoitus oli viimein saatu kasvatettua, ryhdyin tarkistamaan
yksittäisten käyttäjien postilaatikoiden kokorajoituksia. Pääsääntöisesti
myymäläkäyttäjille oli määritelty 10 Mt:n postilaatikot ja konttorin henkilöstölle oli
postilaatikon koko jätetty oletusasetuksilla rajattoman kokoiseksi.
Aluksi pohdin mahdollisuutta jakaa postilaatikon kokorajoitukset keskitetysti
esimerkiksi Active Directoryn ”group policy” -säännöillä, mutten löytänyt
mahdollisuutta käyttää niitä juuri haluamallani tavalla. Niinpä päädyin muuttamaan
41
käsityönä kaikkien 200 postilaatikon kokorajoitukset niin, että poistin
myymäläkäyttäjiltä kaikki vanhat asetukset, jolloin nämä käyttäjät saavat Exchangessa
määritellyn oletusarvon postilaatikkonsa kooksi. Tuon Exchangen oletusarvon muutin
äärettömästä 100 megatavuun. Konttorin henkilöstölle ja myymäläpäälliköille sitten
erikseen kasvatin kullekin käyttäjälle laatikon kooksi 1000 Mt:a.
Myymälöihin lähetetään välillä muun muassa mainosmateriaalia, joka voi sisältää
useiden megatavujen kokoisia liitetiedostoja, jolloin alkuperäinen 10 Mt:n postilaatikko
täyttyy melko nopeasti. Toisaalta myyjät eivät yleensä tarvitse säilyttää isoja viestejä
sähköpostissaan kyseisen mainoskampanjan jälkeen, joten uskon 100 Mt:n rajoituksen
riittävän heille oikein hyvin. Pääkonttorilla sen sijaan sähköpostia käytetään
työvälineenä paljon enemmän ja tiedän entuudestaan, että yrityksissä on yleensä usean
sadan megatavun postilaatikoita. En kuitenkaan halunnut jättää pääkonttorin
työntekijöille rajattoman suuria postilaatikoita, joten päätin raja-arvoksi 1000 Mt.
Seitsemälle käyttäjälle jouduin tilapäisesti antamaan suuremman postilaatikon, sillä
konttorillahan oli ollut aiemmin rajattoman suuret postilaatikot ja myymälöissäkin oli
muutama käyttäjä, joille ei aikoinaan ollut muistettu laittaa 10 Mt:n rajoitusta käyttöön.
Mielestäni nämä seitsemän poikkeustapausta on melko vähän, kun käyttäjiä yhteensä on
yli 200. Tämä tarkoittaa, että luomani kokorajoitukset eivät ole liian kireitä, kun suurin
osa käyttäjistä täytti nämä rajoitukset jo valmiiksi. Näille poikkeustapauksille laitoin
Exchangen lähettämään päivittäisen varoituksen postilaatikon suuresta koosta, ja
muutaman viikon päästä he olivatkin jo kaikki siivonneet postejansa niin, että pystyin
poistamaan kaikki poikkeussäännöt ja sain säännöt yhtenäistettyä kaikille samanlaisiksi.
Lopuksi tiedotin sähköpostitse kaikkia käyttäjiä uudesta politiikasta ja neuvoin ihmisiä
tarkkailemaan oman postilaatikkonsa tilankäyttöä Outlookin valikoista löytyvällä
toiminnolla. Neuvoin myös siirtämään arkistoitavat postit verkkolevyllä sijaitsevaan
erilliseen Outlookin datatiedostoon, mikäli postilaatikko täyttyy ja viestit täytyy sieltä
siirtää muualle.
Kokorajoitusten muokkaaminen sujui muuten hyvin, mutta käyttöönottopäivänä
pääkonttorille syntyi odottamaton katkos, joka esti postin lähettämisen. Kävi niin, että
42
Exchangen oletusasetukseksi määritelty 100 Mt tuli nopeammin käyttöön kuin
käyttäjäkohtaisiin asetuksiin määritellyt 1000 Mt:n rajoitukset, vaikka nämä
käyttäjäkohtaiset asetukset tehtiinkin ensin ja oikeassa järjestyksessä palvelimelle.
Akuuttina ratkaisuna päätin pitää käyttäjäkohtaiset asetukset sellaisina kuin olin ne juuri
saanut tehtyä ja korotin Exchangen oletusasetusta 100 Mt:sta 2000 Mt:uun, jolloin posti
taas lähti toimimaan. Viikonlopun jälkeen kokeilin taas pudottaa oletusasetuksen
takaisin 100 Mt:uun, jolloin asetus alkoikin toimia ihan loogisesti. Kaikki asetukset
eivät siis päivittyneetkään järjestelmään reaaliajassa, vaan niiden voimaantulossa oli
jotain viivettä, jota en etukäteen tiennyt.
Postilaatikoiden kokorajoituksiin tekemieni muutosten myötä lopputuloksena syntyi
aiempaan verrattuna loogisempi, selkeämpi ja helpommin ylläpidettävä käytäntö. Melko
pienellä työmäärällä saatiin aikaan käytäntö, joka kannustaa myös pääkonttorin
työntekijöitä siivoamaan sähköpostejaan silloin tällöin, kun palvelin muistuttaa
kokorajoituksen lähestymisestä.
5.2.3 Windows-päivitysten jakelu
WSUS-palvelun (Windows Server Update Services) perusasennus sujui helposti
Microsoftin ohjetta noudattaen. Ohjeessa oli myös vinkkejä suositelluista asetuksista
sekä hyvät kuvaukset siitä, miten eri asetukset vaikuttavat ympäristön toimintaan. (8.)
Tein Active Directoryyn pilottia varten uuden Organisational Unit -ryhmän, jonne
siirsin aluksi kolme IT-osaston työasemaa. Kun olin todennut Group Policy -asetusten
toimivan odotetulla tavalla, ryhdyin poimimaan lisää sopivia koneita pilottiryhmään.
Otin pilottiryhmään kolmesta eri myymälästä kaikki parilliset kassat sekä kaikista 13
myymälästä kustakin yhden taustatyöaseman. Pääkonttorilta otin pilottiin mukaan
jokaiselta osastolta yhden työaseman, jotta saadaan kattava otos eri osastojen käyttämiä
erikoissovelluksia mukaan. Myymäläpalvelimista otin mukaan vain yhden ja
pääkonttorin palvelimista otin pilottiin mukaan kaksi vähiten kriittistä palvelinta.
Yhteensä WSUS-pilottiin liitettiin koneita 33 kpl, mikä on noin 14 % kaikista yrityksen
43
tietokoneista. Näin ollen luvussa 4.3.2 suunnittelemani ihanteellinen pilottiryhmän koko
(alle 20 %) toteutui hyvin.
Ensimmäisinä päivinä ATK-päivystykseen tuli useita puheluita, joissa käyttäjät
ilmoittivat, että heidän työasemansa pyytää jatkuvasti lupaa uudelleenkäynnistykseen.
Syyksi paljastui, että noihin työasemiin ei ollut aikoihin asennettu yhtään Windows-
päivitystä ja nyt WSUS:n kautta tuli useiden päivitysten mukana myös sellaisia, jotka
vaativat Windowsin uudelleenkäynnistyksen.
Kokeilin myös uuden puhtaan koneen päivittämistä WSUS-palvelun kautta. Microsoftin
ohjeessa mainittiin muutama komentoriville annettava käsky, mutta niiden avulla
työasema ei ainakaan välittömästi lähtenyt hakemaan Windows-päivityksiä WSUS-
palvelimelta (8, s. 21). Sen sijaan huomasin, että kun kone saa muutaman tunnin olla
kaikessa rauhassa, niin se käy itsekseen noutamassa päivitykset WSUS-palvelimelta ja
tämän jälkeen pyytää lupaa asentaakseen uudet päivitykset.
Loppujen lopuksi WSUS-käyttöönoton ja ensimmäisten jaettujen tietoturvapäivitysten
jälkeen Malliyrityksen työasemakanta saatiin taas hieman yhtenäisemmäksi ja
turvallisemmaksi, vaikka isossa erässä tulleet päivitykset hieman häiritsivät joidenkin
käyttäjien työskentelyä pyytämällä lupaa useita kertoja peräkkäin työaseman
uudelleenkäynnistykseen.
5.2.4 Uusi varmistusjärjestelmä
Projektin käynnistäminen
Kun olin tehnyt luvussa 4.5.2 kuvatut alustavat suunnitelmat ja kirjannut muistiin
varmistettavan datan määrän sekä tarvittavan tallennusnopeuden, ryhdyin kirjoittamaan
tarjouspyyntöä. Saimme toimitusjohtajalta jo tässä vaiheessa suuntaa-antavan
budjettikehyksen, jonka perusteella päätin pyytää tarjousta nimenomaan kuituliitäntäistä
SAN-levyjärjestelmää käyttävästä Blade-palvelinympäristöstä. Pyysimme toimittajia
antamaan tarjouksensa 31.5.2006 mennessä.
44
Kesäkuussa pidimme palavereja eri toimittajien kanssa ja keskustelimme tarkemmin
tulevan järjestelmän toivotuista ominaisuuksista. Kesäkuun lopulla saimme viimeiset
tarkentavat tarjoukset ja heinäkuun alussa valitsimme lopullisen toimittajan. Toimittajan
kanssa sovittiin tavoiteaikataulu niin, että järjestelmä on tuotannossa 31.7. Saman tien
ryhdyttiin määrittelemään SAN-levyjärjestelmään ja 400/800 Gt Ultrium -nauhuriin
pohjautuvan Blade-server-laitteiston asennusta ja listattiin tarvittavat esivalmistelut
sähkönsyötöstä ja tilantarpeesta lähtien. Dataprotector-varmistusohjelmiston
asennuksesta pidettiin vielä erillinen suunnittelupalaveri Hewlett Packardin asentajan
kanssa.
Asennukset
Heinäkuun lopulla sain HP:lta tiedon, että laitteiston kanssa on toimitusvaikeuksia.
Lopulta laitteet tulivat elokuun alussa juuri ennen kuin me olimme lähdössä
kassajärjestelmän asennuskiertueelle. Laitteet saatiin kasaan, mutta seuraavaksi oli
ongelmia HP:n Rapid Deployment Pack -asennustyökalun kanssa, josta oli juuri tullut
uusi 3.0 -versio. HP:lta kävi kaksi eri miestä useaan otteeseen tuota sovellusta
tutkimassa ja lopulta päädyttiin käyttämään vanhempaa 2.2 -versiota, jossa on vastaava
toiminnallisuus ja joka on asentajien mukaan todettu toimivaksi tuotteeksi.
Dataprotector-varmistusohjelmiston asennus sujui aluksi hyvin, ja varmistukset lähtivät
kulkemaan nauhoille. Toiveeni oli kuitenkin, että varmistukset otettaisiin aluksi
kovalevylle ja sieltä ne kopioitaisiin nauhalle. Näin kovalevyllä säilyy aina edellisen
päivän varmuuskopiot ja sieltä palauttaminen on huomattavasti nopeampaa kuin
nauhalta palauttaminen. Toimittaja oli kuitenkin unohtanut tilata tarvittavan lisenssin
tätä kovalevyvarmistusta varten, joten toiminto otettiin käyttöön vasta syyskuun
puolella. Tämä käyttöönotto ei kuitenkaan onnistunut toivotulla tavalla, sillä
Dataprotector ryhtyi antamaan virheilmoitusta ”device already in use” aina, kun se yritti
kopioida kovalevylle tehdyn varmistuksen nauhalle turvaan. Ongelma saatiin korjattua
vasta kun oma HP-asentajamme tilasi etähuoltosession ulkomaalaiselta HP:n
erikoisasiantuntijalta.
45
Käyttöönotto
Dataprotectoriin liittyvien ongelmien ratkettua järjestelmä toimi reilun viikon verran jo
normaalissa tuotantokäytössä, mutta sitten alkoi kuitujärjestelmässä ilmetä häiriöitä.
Välillä satunnaisesti kahdennetun järjestelmän ensisijainen kuitupiiri lakkasi
toimimasta, ja tuotanto siirtyi itsekseen toissijaisen kuitupiirin varaan. HP kävi
vaihtamassa kuitukortin yhteen Blade-palvelimeen, mutta pari viikkoa myöhemmin vika
uusiutui. Tällöin päivitettiin ajureita, jonka jälkeen nauhuri lakkasi kokonaan
toimimasta. Seuraavalla viikolla taas eri asentaja löysi ajuripäivityksen yhteydessä
sattuneen virheen ja korjasi sen, jonka jälkeen järjestelmä taas lähti toimimaan lähes
normaalisti.
Joulukuussa 2006 vihdoin järjestelmä saatiin siinä määrin toimivaksi, että siitä pystyi
ottamaan arkistonauhan sivuun ja tallettamaan sen eri rakennuksessa sijaitsevaan
kassakaappiin. Tosin vieläkään ei voida olla lopullisesti varmoja, mikä aiheutti
ensisijaisen kuitupiirin katkokset, joten tilannetta seurataan edelleen.
Yhteenvetona voidaan todeta, että koko projektin aikataulu on venynyt huomattavasti
suunniteltua pidemmäksi. Tähän vaikutti jo heti alussa ilmenneet HP:n logistiikka-
yksikön toimitusvaikeudet. Ohjelmistojen asennuksessakin ilmeni useita eri ongelmia,
ja niiden ratkettua alkoivat sitten laitteet reistailla, eikä vieläkään ole varmaa, ovatko ne
nyt kunnossa. Toiminnallisilta ominaisuuksiltaan järjestelmä vastaa kuitenkin
toiveitamme, eikä projektissa mielestäni ole aikataulun venymisen lisäksi mitään muuta
moitittavaa.
5.3 Tietoturva
Kuten olen todennut, yrityksen suurimmat puutteet tietoturvassa liittyivät varmistusten
riittämättömyyteen. Varmistusprojektista kerroin tarkemmin luvussa 5.3.5. Tässä
luvussa kerron, kuinka ratkaisin salasanojen säilytyksen tietoturvallisella tavalla.
46
Salasanojen säilytystä varten sain kannettavan tietokoneen, jota käytetään jatkossa
ainoastaan salasanalistojen ylläpitoon. Teippasin koneessa olevan Ethernet-portin
umpeen ja laitoin liittimen päälle lapun, ettei konetta saa missään tapauksessa kytkeä
verkkoon. Näin voidaan olla täysin varmoja, ettei mikään keylogger-tyyppinen
haittaohjelma pääse ilmiantamaan yrityksen tietojärjestelmien kriittisimpiä salasanoja.
Salasanat tallensin kannettavan tietokoneen kovalevylle RTF-muotoisina
tekstitiedostoina ja otin varmuuskopiot salasanoista USB-muistitikulle. Näin niitä
voidaan jatkossa sujuvasti käsitellä myös jollain toisella kannettavalla tietokoneella, kun
tämä nykyinen melko iäkäs laite jonain päivänä hajoaa. Paperille salasanat voidaan
tulostaa USB-liitäntäisellä tulostimella, jolloin tulostukseenkaan ei tarvita Ethernet-
verkkoyhteyttä.
5.4 Dokumentointi
Tein suunnittelemani yleisluontoisen kuvan verkkotopologiasta Microsoft Visiolla,
kuva on esitetty liitteessä 1. Tarkempia kaaviokuvia eri palvelimien välisistä
rajapinnoista en tämän työn puitteissa ehtinyt piirtämään.
Lisäksi olen kirjoittanut IT-osaston omaa työtä helpottamaan muutamia ylläpidon
toimintaohjeita. Näistä esimerkkeinä mainittakoon työaseman asennusohje ja ohje
matkapuhelimen käyttäjävaihdoksia varten.
Työaseman asennusohjeessa on lueteltu kaikki pääkonttorilla ja myymälöissä tarvittavat
sovellusohjelmat sellaisessa järjestyksessä, kuin ne on järkevintä työasemalle asentaa.
Ohjeessa muistutetaan myös muun muassa koneen merkitsemisestä ja tietojen
syöttämisestä laiterekisteriin sekä käyttäjäkohtaisten tärkeimpien asetusten tekemisestä.
Ohjetta noudattamalla työasema-asennukset pysyvät jatkossa entistä yhtenäisempinä,
eikä ylläpitäjän enää tarvitse muistaa ulkoa jokaista pientä työvaihetta.
47
Matkapuhelimen käyttäjävaihdoksiin liittyen kirjoitin listan kaikista mahdollisista
asioista, jotka matkapuhelimesta pitää muistaa edellisen käyttäjän jäljiltä siivota pois,
etteivät henkilökohtaiset tiedot siirry puhelimen uudelle käyttäjälle. Osoitekirjat yms.
käyttäjätiedot eivät katoa, vaikka puhelin nollattaisiin tehdasasetuksille. Kaikki
käyttäjätiedot on erikseen tarkistettava uuden listan mukaan kohta kohdalta, että tiedot
on varmasti poistettu ennen puhelimen poisluovutusta.
5.5 Muita parannuksia
Edellä kerrottujen suurempien uudistusten lisäksi olen tehnyt yrityksen
tietojärjestelmään lukuisia pienempiä parannuksia, joista muutamia esimerkkejä
kerrotaan tässä luvussa.
Toistuvien töiden lista (ks. liite 2) on ylläpitäjien apuväline, jollaista Malliyrityksen IT-
osastolla ei ennestään ole käytetty. Kun tärkeät asiat on listattuina ja lista luetaan läpi
aina toistuvia töitä tehtäessä, ei mikään tärkeä säännöllinen tehtävä pääse vahingossa
unohtumaan. Etenkin kun ylläpitäjinä on useampia henkilöitä, on listasta lisäksi helppo
tarkistaa, mitä ylläpitotoimia on jo esimerkiksi kuluvan kuukauden aikana tehty, ettei
tehdä päällekkäistä työtä.
Käyttäjien kotihakemistoja säilyttäville kovalevyille olen laittanut Windows 2003
-palvelimen vakio-ominaisuuksiin kuuluvan Shadow Copy -toiminnon päälle. Tämän
toiminnon avulla peruskäyttäjä voi ilman ylläpitäjien apua pelastaa kotikansiosta
vahingossa tuhoamiaan tiedostoja. Lisäksi Shadow Copy -toiminto muistaa esimerkiksi
tämänkin insinöörityön edelliset versiot ja minä voisin halutessani palata vaikka viime
viikolla tallentamaani versioon. Palvelimet tekevät tämän varmuuskopion täysin
huomaamattomasti taustalla kerran päivässä, ja näiden kopioiden on sallittu käyttävän
enintään 10 % kyseisen kovalevyn kokonaiskapasiteetista.
Myymälöiden taustatyöasemilla käytetään Praiste-ohjelmaa A4-kokoisten hintalappujen
tekoon. Tähän Praisteen tulee visuaalisilta suunnittelijoiltamme muutaman kerran
vuodessa uusia hintalappupohjia, jotka IT-osasto on aiemmin levittänyt myymälöiden
48
kymmenille taustakoneille käsityönä kullekin koneelle erikseen. Tätä työtä
helpottamaan kirjoitin logon-skriptiin liitettävän BAT-komentojonon, joka kopioi uuden
Praisten automaattisesti työasemalle sen käynnistyessä. Tämä BAT-komentojono
aktivoidaan aina muutamaksi päiväksi kerrallaan, ja silloin kun sitä ei tarvita, se otetaan
pois käytöstä turhan verkkoliikenteen välttämiseksi.
49
6 Yhteenveto
6.1 Saavutukset
Tässä työssä esitellyt ylläpitotyön tehostamiseen tähtäävät parannukset onnistuivat
pääosin hyvin. F-secure-keskushallintaan saatiin paljon uusia työasemia, jotka aiemmin
oli asennettu yksittäisasennuksina. Lisäksi työasemilla käyttöönotettiin F-securen
palomuuriohjelmisto, joka on erittäin tärkeä olla varsinkin kannettavissa tietokoneissa
suojaamassa Internetistä tulevilta hyökkäysyrityksiltä. Loppuvuodesta 2006 F-secure
Client Security -työasemaohjelmistosta julkaistiin jo 6.03-versio, joka on nyt helppo
levittää, kun kaikki työasemat on valmiiksi liitetty keskushallintaan.
Sähköpostipalvelimeen kohdistuneet parannustoimetkin onnistuivat hyvin. Käyttäjiä
häiritsevän roskapostin määrää saatiin oleellisesti pienennetyksi, ja postilaatikoiden
kokorajoitukset ovat tarkoituksenmukaisia. Kokorajoituksia määriteltäessä syntyi
pääkonttorilla häiriötilanne (ks. luku 5.3.3), joka esti osaa käyttäjistä lähettämästä
sähköpostia parin tunnin ajan. Häiriö ei kuitenkaan kestänyt kovin pitkään, eikä
koskenut kuin muutamia käyttäjiä. Kokonaisuutena arvioiden sähköpostijärjestelmä
muuttui kuitenkin entistä käyttäjäystävällisemmäksi uuden roskapostisuodatuksen ja
tilavampien postilaatikoiden ansiosta.
Windows-päivitysten keskitetty jakelukin lähti hyvin toimimaan. Group Policyillä
toteutettu käyttöönotto onnistui yli 90 % työasemista ilman ongelmia. Loput työasemat
toimivat NT4- ja Windows 2000 -käyttöjärjestelmillä, joten ne saattavat vaatia vielä
joitakin Service Pack -päivityksiä ennen kuin WSUS lähtee niilläkin normaalisti
toimimaan.
WSUS-käyttöönotossa mukana ollut pilottiryhmä (ks. luku 5.3.4) oli mielestäni kattava,
selkeä ja sopivan kokoinen. Siinä oli kattavasti mukana palvelimia, kassoja ja työasemia
niin pääkonttorilta kuin myymälöistäkin. Selkeäksi ryhmän teki se, että kassoiksi oli
valittu parittomilla numeroilla olevat kassat ja taustakoneiksi jokaisen myymälän
taustakone numero yksi. Pilottiryhmässä oli yhteensä 33 tietokonetta, joka on 14 %
50
kaikista yrityksen tietokoneista. Samaa pilottiryhmää tulen jatkossakin käyttämään
uusien sovellusten ja isompien päivitysten testikäyttäjinä.
Sekä F-secure- että WSUS-keskushallintatyökalujen käyttö on osoittautunut erittäin
hyödylliseksi. Ne auttavat ylläpitäjiä muun muassa vianhaussa ja yhtenäistävät
laitekantaa helpommin hallittavaksi. Molempiin keskushallintatyökaluihin kuuluu myös
monipuoliset raportointiominaisuudet, joihin kuuluvat myös selkeästi esille tulevat
häiriöilmoitukset. Keskushallintatyökalujen käyttöönotto ohjaa ylläpitäjien työrutiineja
entistä järjestelmällisempään suuntaan, ja nämä työkalut myös parantavat yrityksen
tietoturvaa merkittävästi. Nyt kun työasemat on monipuolisesti liitetty
keskushallintapalvelimien alaisuuteen, olisi seuraavaksi hyvä suunnitella muidenkin
verkkoon liitettyjen aktiivilaitteiden keskitettyä valvontaa ja hallintaa.
Varmistusprojekti venyi aikataulun suhteen liian pitkäksi ja yrityksen varmistukset
olivat välillä jopa useamman viikon ajan kokonaan poissa tuotannosta. Tämä muodosti
merkittävän riskin, mutta onneksi yhtään palvelinta ei hajonnut varmistusprojektin
aikana. Projektin lopputuloksena saatiin kuitenkin sellainen järjestelmä, kuin olin
toivonut ja mitä oli myyntipuheissakin luvattu. Nyt yrityksen varmuuskopiointi on
huomattavasti kattavampaa ja varmatoimisempaa verrattuna edelliseen
varmistusjärjestelmään.
Yrityksen tietojärjestelmän dokumentointi on tämän työn puitteissa parantunut sen
verran, että käyttöohjeita ja toimintaperiaatteesta kertovia kuvauksia olen ehtinyt
yksittäisistä järjestelmistä jonkin verran kirjoittamaan. Esimerkiksi kaikki itse tekemäni
BAT-komentoskriptit olen kommentoinut kunnolla ja joistakin monimutkaisimmista
kirjoittanut vielä erillisen kuvauksenkin. Jatkossa täytyisi vielä kirjoittaa laajempia koko
järjestelmää koskevia kuvauksia, esimerkiksi eri palvelinten välisistä rajapinnoista.
Kassaprojektin asennuskiertueella käytetyillä myymälöiden pohjakuvilla oli mielestäni
merkittävä vaikutus siihen, että asennukset sujuivat järjestelmällisesti ja kaikki
asennukseen osallistuneet henkilöt saatiin pidettyä ajan tasalla siitä, mitä on asennettu ja
missä järjestyksessä asennusta jatketaan. Samoja pohjakuvia on myöhemmin käytetty
51
ATK-tukeen tulevien puheluiden yhteydessä, kun on tarvinnut yhdistää kassakoneen
numero ja sen sijainti toisiinsa. Käyttäjät eivät aina osaa sanoa ongelmia aiheuttaneen
kassakoneen numeroa, mutta he yleensä osaavat kertoa osaston, jossa tuo kassakone
sijaitsee. ATK-tuen toimintamallit ovat työni puitteissa selkiytyneet entisestään myös
sen ansiosta, että kirjoitin ns. asennusmuistion työasema-asennuksia varten, johon on
tarkkaan eritelty kaikki asennuksen työvaiheet.
6.2 Jatkokehitysideoita
6.2.1 Tietoliikenne
Verkkotopologiaa koskevien uudistusten jälkeen pitäisi myös yhteistyössä Soneran
kanssa tarkistaa domainiamme koskevat DNS-asetukset. Tälläkin hetkellä
Malliyrityksen MX-tietueissa on virheellisesti mainittu yrityksen oma postipalvelin,
johon ei kuitenkaan ole suoraa pääsyä julkisesta Internetistä. Soneran kanssa voitaisiin
myös selvittää, kuinka laajassa käytössä roskapostin vastaisessa taistelussa SPF-
tarkistus (Sender Policy Framework) on nykyään eri postipalvelimilla. Joka tapauksessa
voisi olla hyvä lisätä SPF-tietueet Malliyrityksenkin DNS-asetuksiin siltä varalta, että
vastapään postipalvelimet alkavat vaatia näitä tietoja joskus tulevaisuudessa. (12.)
Myös liikkuvien työntekijöiden etäyhteyksien parantamista pitäisi jatkossa miettiä.
Nykyisin heillä on kannettavissa tietokoneissaan erilliset GPRS-kortit ja VPN-client
ohjelmisto, jolla he saavat yhteyden pääkonttoriin. IT-osastolla on ollut joitakin
kuukausia testikäytössä Option Globe Trotter GT Max E 3G/HSDPA-kortit, joilla saa
parhaimmillaan lähes 10 kertaa nopeamman yhteyden tavalliseen GPRS-yhteyteen
verrattuna. Näillä monitaajuuskorteilla yhteyksien pitäisi toimia ulkomaillakin
luotettavasti.
Kannettaville tietokoneille tarjottavien tehokkaampien yhteyksien lisäksi pitäisi miettiä
myös älypuhelinten tehokkaampaa käyttöä. Nykyisin yrityksessä on Soneran
Mobiilitoimisto-palvelu, joka tarjoaa pääsyn sähköposteihin mistä tahansa maailmalta
web-selaimella. Tätä samaa web-käyttöliittymää on käytetty myös älypuhelimissa,
52
mutta sen käytettävyys on huono, sillä web-sivua ei ole suunniteltu käytettäväksi
pienellä puhelimen näytöllä. Itse asiassa tätä kirjoitettaessa on jo päätetty hankkia
uudempi pushmail-palvelu, jossa sähköpostit luetaan kätevästi puhelimen oman
sähköpostiohjelmiston kautta eikä web-selaimella. Pushmail-palvelua käyttöön-
otettaessa on huolehdittava puhelinten tietoturvakin sellaiselle tasolle, ettei kuka tahansa
puhelimen kadulta löytänyt henkilö pääse suoraan yrityksen sähköposteihin käsiksi.
6.2.2 Muut kehitysideat
Edellä olevien jatkokehitysideoiden lisäksi listaan tähän vielä muutamia muita ideoita,
jotka voisivat olla hyödyllisiä IT-ympäristön toimivuuden kannalta ja parantaa myös
yrityksen tietoturvaa.
Lisäksi ehdotan Mozilla Firefox selaimen kunnollista testausta ja pilotointia
Malliyrityksen ympäristössä. Todennäköisesti varastonhallinnan intranet-
käyttöliittymään tarvitaan pieniä muutoksia, mutta muilta osin Firefox voisi toimia
oikein hyvin Malliyrityksen ympäristössä. Firefoxia pidetään yleisesti tietoturvan ja
käytettävyyden kannalta parempana selaimena kuin Internet Exploreria, joka yrityksellä
on nykyisin käytössä.
Lopuksi mainittakoon vielä tietoturvan kannalta hyödyllinen, Microsoftin julkaisema
Remove Hidden Data -työkalu, joka poistaa Word- ja Excel-dokumenteista niissä
olevan metadatan. Tähän metadataan kuuluvat muun muassa dokumentin luojan nimi,
alkuperäinen otsikko, mahdollinen versiohistoria, paikalliset tulostimet, yms. tieto, jota
ei välttämättä aina haluta lähettää tiedostojen mukana yrityksen ulkopuolelle. Työkalun
ominaisuudet pitäisi etukäteen kunnolla selvittää ja sen käyttöönoton yhteydessä pitäisi
järjestää käyttäjille koulutusta, jossa voitaisiin kertoa tämän työkalun lisäksi muistakin
tietoturvaa parantavista työskentelytavoista.
53
Lähteet
1 Toimintaopas. Sisäinen ohje. Helsinki: Malliyritys Oy, 26.8.2005.
2 Forsman, Lauri: Mikrotuen kehittäminen. Jyväskylä: Suomen ATK-kustannus Oy,1996.
3 Subramanian, Mani: Network Management. USA: Addison-Wesley, 2000.
4 F-secure Policy Manager 6.0 Administrator’s Guide. F-secure Corporation, 2006.<http://www.f-secure.com/download-purchase/manuals/docs/manual/policyman/enu/fspm_601_enu.pdf>. Luettu 19.11.2006.
5 Microsoft System Management Server 2003 overview. (WWW-dokumentti.) Microsoft Corporation. <http://download.microsoft.com/download/f/0/7/f0751714-d295-4ac4-9235-57c13f43af9e/SMS2003_Datasheet_Overall4.doc>. 22.10.2003. Luettu 19.11.2006.
6 Retiring Windows NT 4.0 server. (WWW-dokumentti.) Microsoft Corporation.<http://www.microsoft.com/ntserver/ProductInfo/Availability/Retiring.asp>. 2.12.2004. Luettu 2.9.2006.
7 Microsoft Exchange server. (WWW-dokumentti.) Wikipedia.<http://en.wikipedia.org/wiki/Microsoft_Exchange_Server>. 31.8.2006. Luettu 2.9.2006.
8 Step-by-Step Guide to Getting Started with Microsoft Windows Server Update Services. (WWW-dokumentti.) Microsoft Corporation.<http://www.microsoft.com/downloads/details.aspx?FamilyID=3BA03939-A5A9-407B-A4B0-1290BA5182F8&displaylang=en>. 14.3.2005.Luettu 15.9.2006.
9 Sorbs yhteisön WWW-sivut. (WWW-dokumentti.) Sorbs.<http://www.sorbs.net>. Luettu 30.9.2006
10 Exchange Intelligent Message Filter. (WWW-dokumentti.) Microsoft Corporation. <http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/>.Luettu 30.9.2006.
11 Database Size Limit Configuration and Management. (WWW-dokumentti.) Microsoft Corporation. <http://www.microsoft.com/technet/prodtechnol/exchange/Guides/E2k3TechRef/6c4ce7bb-5289-4221-a87c-b9c78ab7c09c.mspx?mfr=true>. Luettu 30.9.2006.
12 Mehnle, Julian: Sender Policy Framework – Introduction. (WWW-dokumentti.)Openspf.org. <http://www.openspf.org/Introduction> 9.11.2006. Luettu 7.1.2007.
54
Liite 1: Oy Malliyritys Ab verkkokuva 55
Liite 2: Toistuvien töiden taulukko 56
