Upload
others
View
19
Download
6
Embed Size (px)
Citation preview
Windowsi-põhiste kohtvõrkude turbe
juhend
Tallinn 2019
Sisukord Saateks .................................................................................................................................. 5
1 Arhitektuuri haldus ......................................................................................................... 6
1.1 Väikese asutuse lahendus ................................................................................................ 8
1.2 Keskmise suurusega asutuse lahendus ............................................................................ 9
2 Andmete haldus ........................................................................................................... 10
2.1 Liikumises ....................................................................................................................... 10
2.1.1 Virtuaalne privaatvõrk (VPN) ................................................................................. 10
2.1.2 Proksi ...................................................................................................................... 34
2.1.3 Töökoha tulemüür ................................................................................................. 35
2.1.4 Telemeetria ............................................................................................................ 48
2.2 Andmete haldus talletades ............................................................................................ 50
2.2.1 Failiserveri kaitse seadistus .................................................................................... 50
2.2.2 Krüpteerimine ........................................................................................................ 58
2.2.3 BIOS/ EFI paroolikaitse ja olulisemad seadistused ................................................ 71
2.3 Andmete haldus pilves ................................................................................................... 75
2.3.1 Pilveteenuse riskid ja turvalisus ............................................................................. 76
2.3.2 Office 365 ja G Suite ............................................................................................... 77
3 Tarkvara haldus ............................................................................................................ 80
3.1 Windows Server Update Services .................................................................................. 81
3.1.1 WSUS teenuse paigaldamine ja seadistamine ....................................................... 81
3.1.2 Paigaldusjärgne seadistamine ................................................................................ 86
3.1.3 Tooted ja klassifikatsioonid .................................................................................... 89
3.1.4 Uuenduste piirangud ............................................................................................. 94
3.1.5 Arvutite lisamine ja grupeerimine ......................................................................... 94
3.1.6 Arvutite käsitsi lisamine ......................................................................................... 95
3.1.7 Arvutite lisamine rühmapoliitika abil ..................................................................... 97
3.1.8 SSL/HTTPS seadistamine ...................................................................................... 101
3.1.9 Andmebaasi puhastamine ................................................................................... 104
3.1.10 Ligipääs väljastpoolt sisevõrku ..................................................................... 105
3.2 WSUS Package Publisher .............................................................................................. 105
3.2.1 Paigaldamine ja seadistamine .............................................................................. 105
3.2.2 Sertifikaadi loomine, serverile ja klientidele paigaldamine ................................. 107
3.2.3 Pakettide loomine ja haldamine .......................................................................... 109
3.2.4 Pakettide paigaldamine ja jälgimine .................................................................... 113
3.3 System Center Configuration Manager ....................................................................... 114
3.3.1 Windows 10 versioonivärskendused ................................................................... 114
3.3.2 Automaatne paigaldamine ................................................................................... 115
3.3.3 Tarkvarapakettide loomine .................................................................................. 117
3.3.4 Tarkvarapakettide paigaldamine ......................................................................... 119
3.3.5 Ligipääs väljastpoolt sisevõrku ............................................................................. 120
3.3.6 Segamudeli soovitused ........................................................................................ 120
4 Identiteedihaldus ....................................................................................................... 121
4.1 Autentimine ................................................................................................................. 121
4.1.1 MFA (Multifactor authentication) ehk mitmeastmeline autentimine ................. 123
4.1.2 SSO ....................................................................................................................... 124
4.1.3 Paroolipoliitika GPO ............................................................................................. 125
4.1.4 Paroolipoliitika PSO (Password Settings Objects) abil ......................................... 126
4.1.5 Kasutaja sisselogimise piiramine seadmega ........................................................ 128
4.1.6 Konto aegumise määramine ................................................................................ 129
4.1.7 LAPS häälestus ..................................................................................................... 131
4.1.8 Windows Defender Credential Guard .................................................................. 134
4.2 Tulemüüri autentimine ................................................................................................ 135
5 BYOD (bring your own device) .................................................................................... 136
5.1 Võrgu seadistus ............................................................................................................ 136
5.1.1 Võrgu eraldamine................................................................................................. 137
5.1.2 Switchide seadistus .............................................................................................. 138
5.2 Riistvaraliidesed ........................................................................................................... 144
5.3 Mobiilsed seadmed (telefonid, sülearvutid ja tahvelarvutid) ...................................... 145
5.3.1 Office 365 mobiilipoliitika loomine ...................................................................... 146
5.4 Muud soovitused ......................................................................................................... 149
6 Rühmapoliitikate rakendamine Windows 10 põhises kohtvõrgus ................................. 151
6.1 Seadistamine ................................................................................................................ 151
6.2 Igapäevases praktikas kasulikuks osutunud GPOd Windows 10 tööjaamadele .......... 154
6.2.1 Lokaalse tööjaama paroolide vahemälu seadistamine ........................................ 154
6.2.2 Windows Defender Application Control .............................................................. 155
6.2.3 Tarkvarapiirangud ................................................................................................ 159
6.2.4 Veebisirvija seadistamine rühmapoliitikaga. ....................................................... 162
6.2.5 Tarkvara paigaldamine rühmapoliitika abil .......................................................... 166
6.2.6 Muud turvalisusega seotud rühmapoliitikad ....................................................... 168
7 Intsidendi halduse protsess ......................................................................................... 171
7.1 Pahavara tuvastus ........................................................................................................ 171
7.1.1 Sissejuhatus (milleks seda on vaja, millised on võimalused, ELAM) .................... 171
7.1.2 Windowsi omavahendid ...................................................................................... 172
7.1.3 Kolmanda osapoole vahendid .............................................................................. 179
7.2 Logimine ....................................................................................................................... 180
7.2.1 Windowsi teenuste logimine ............................................................................... 181
7.2.2 Süvalogimine ........................................................................................................ 188
7.2.3 Võrguseadmete logimine ..................................................................................... 188
7.2.4 Logide keskhaldus ................................................................................................ 189
8 Segamudeli soovitused ............................................................................................... 197
8.1 Erinevate OS masinate halduspoliitika ........................................................................ 197
8.1.1 Aegunud ebaturvaliste funktsioonide välja lülitamine GPOga ............................ 197
8.1.2 Serverite GPOd, mis nõuavad kõrgemat turvalisust ............................................ 200
8.2 Automaatne paikamine................................................................................................ 201
9 Võrgu ja võrguseadmete füüsiline turvalisus ............................................................... 202
10 Tööjaamade varunduslahendused ............................................................................... 203
11 Lõppkasutaja turvakoolituse korraldamine .................................................................. 207
Saateks
Käesolev juhendmaterjal on suunatud eelkõige väikese kuni keskmise suurusega asutuste (sh kohalikud
omavalitsused) võrkude süsteemiadministraatorile, toetamaks teda kaasaegse kohtvõrgu haldamise ja
kasutamisega seotud turvariskides orienteerumisel ning pakub abi levinud turvalahenduste hulgast
sobiva valimisel. Juhend ei käsitle uue taristu loomist, vaid keskendub olemasoleva arendamisele ja
turvamisele.
Juhend kirjeldab Windows 10 põhise kohtvõrgu ülesehituse põhimõtteid turvalisuse aspektist ning
annab praktiliselt rakendatavaid juhiseid meetmete kasutuselevõtuks, arvestades ISKE (infosüsteemide
kolmeastmeline etalonturbe süsteem) nõudeid.
Paljudel asutustel ei ole otstarbekas palgal pidada arvutiparki terviklikult haldavat täiskohaga
süsteemiadministraatorit ning teenused ostetakse sisse kolmandalt osapoolelt. Selliste lahenduste
kasutamine viib asutused tihti probleemini, kus infosüsteemi erinevate osade seadistused on tehtud eri
osapoolte poolt ja seetõttu puudub terviklik ülevaade infosüsteemist. Juhend annab tuge pädevate
otsuste tegemiseks IT teenuse (ka osalise) sisseostmise korral.
Teemade juures on toodud rühmapoliitika (GPO) näidisseadistus imporditavate konfiguratsioonifailidena
ning Powershelli skriptidena. Serveritarkvara kirjeldamisel on lähtutud juhendi koostamise ajal kõige
enam levinud versioonist Windows Server 2016, tööjaama tarkvara kirjeldamisel versioonist Windows
10 v1809. Nii üldine turvakontekst kui asutuste võimalused on pidevas muutumises - lisaks valmis
skriptitoorikutele ja poliitikatele (mis ei pruugi pärast järgmist tarkvarauuendust enam eeldatud viisil
toimida) sisaldab juhend ka turvateemadele lähenemise üldiste meetodite kirjeldusi.
Meetmete rakendamise prioritiseerimisel soovitame järgida RIA poolt välja antud ettevõtte
infoturbealase küpsustaseme hindamise juhendit (https://www.ria.ee/sites/default/files/content-
editors/KIIK/lisa_2_-_kupsustasemete_maaramise_juhend.pdf ) ja infoturbemeetmete kataloogi
(https://www.ria.ee/sites/default/files/content-editors/KIIK/lisa_3_-
_eto_infoturvameetmete_kataloog.xlsx ), mis on küpsustaseme hindamise aluseks.
Käesoleva dokumendi koostas AS BALTIC COMPUTER SYSTEMS Riigi Infosüsteemi Ameti tellimusel
Euroopa Liidu struktuuritoetuse toetusskeemi „Infoühiskonna teadlikkuse tõstmine“ raames Euroopa
Regionaalarengu Fondi rahastusel.
1 Arhitektuuri haldus
IT süsteemide arhitektuur peab katma asutuse IT vajadused ja arvestama sellega, et kõik ressursid
oleksid kättesaadavad ja kaitstud. Turvaline võrguplaneerimine on hädavajalik, et kaitsta teenuseid ja
informatsiooni pahatahtliku tegevuse eest. Planeerimise puhul tuleb arvestada võrgu ülesehitust, millist
riistvara ning tarkvara kasutada ja kuidas kõik peab olema seadistatud.
Eesmärgid, mida turvalise arhitektuuri juures meeles pidada:
Sisevõrk (tööjaamad, serverid ja ka muud seadmed) peab olema kaitstud internetist tulevate
rünnakute eest.
Kui mõnda süsteemi rünnatakse, peab arhitektuur toetama rünnaku pinna piiramist.
Kõik toimingud peavad olema logitud ning võimalusel võiks olla kasutuses sissetungi tuvastamise
süsteemi (IDS) või sissetungi tõkestamise süsteemi (IPS) tehnoloogiad.
Selleks, et neid eesmärke saavutada, on mõistlik lähtuda järgnevatest printsiipidest:
Võrgu segmenteerimine – erinevate eesmärkidega teenused ja seadmed peaksid asuma
erinevates võrkudes või tsoonides ja nende ligipääsud üksteisele peavad olema piiratud
(lähtudes vähima õiguse printsiibist). Segmenteerimisel peab planeerima tsoonid vastavalt
teenustele. Tavaline eraldatus, mida tasub alati rakendada, on eraldi sisevõrk, serverite võrk ja
külaliste võrk. Järgmise astmena tasub eraldada võrk, kuhu luuakse VPN ühendus, tõsta eraldi
võrku võrguseadmed ja telefonid ning serverite võrgu puhul eraldada serverid, mis on ainult
sisemiseks kasutamiseks ning serverid, mis on väljast kättesaadavad.
Õiguseid ja ligipääse anda lähtuvalt vähima õiguse printsiibist. See tähendab, et tuleb uurida
täpselt mida kasutaja või programm soovib teha ning anda õigused ja ligipääsud ainult selle
jaoks, kuigi võib esmapilgul olla kergem anda näiteks administraatoriligipääs või avada kõik
pordid serveril. Täpsemalt võib sellest lugeda siit: www.us-
cert.gov/bsi/articles/knowledge/principles/least-privilege (vt Arhitektuur_1.pdf).
Kasutada kõige turvalisemaid lahendusi:
o Kasutada turvalisi krüptograafilisi lahendusi.
o Kui lahendustes on turvaauke, tuleb need kohe paigata.
o Kui selgub, et mõni kasutuses olev lahendus pole enam turvaline (ja selle paikamine ei
ole võimalik), selle kasutamine lõpetada.
o Lülitada välja ebaturvalised protokollid ning keelata nende kasutamine.
Kontrollida pidevalt võrku. Kuna võrk on pidevas muutumises ja uued lahendused või vanade
eemaldamine võivad segada loodud seadistusi, siis tasub pidevalt kontrollida juba loodud võrku:
o Kontrollida pidevalt logisid, selle lihtsustamiseks võib korjata logid kesksesse serverisse
ja luua reeglid, mis võimaldavad paremini kõike jälgida.
o Rakendada IDS või võimalusel IPS süsteeme. Suurem osa tulemüüre pakub seda
võimalust, et võrguliiklusele IPS süsteem rakendada. Seda tasub teha, et tuvastada
rünnakute esinemist või kahtlast liiklust. Kõrgema turvalisuse puhul tasub võtta
kasutusele ka lahendusi, mis võimaldavad seda rakendada ka tööjaamadele.
o Jälgida, et kõik muudatused, mis sisse viiakse, on autoriseeritud (et administraatorid ei
teeks muudatusi oma suva järgi).
o Kontrollida regulaarselt loodud tulemüüri jms reegleid, et kõigi vanade teenuste reeglid
oleks eemaldatud.
o Kontrollida, et kõik loodud reeglid ning erandid oleks dokumenteeritud.
o Kontrollida, et kõik uued teenused oleks järelvalve all ja logitud.
o Jälgida kõiki sisemisi võrke ja WAN ühendust haavatavuse skaneerimise tööriistadega.
Neid on saadaval nii tasulisi (näiteks Nessus, saadaval
www.tenable.com/products/nessus/nessus-professional, F-Secure Radar, saadaval
www.f-secure.com/en/web/business_global/radar, GFI Languard, saadaval
www.gfi.com/products-and-solutions/network-security-solutions/gfi-languard, Qualys
Vulnerability Managment, saadaval www.qualys.com/apps/vulnerability-management/)
kui tasuta (näiteks OpenVAS, saadaval www.openvas.org/ ) ja need võimaldavad
tuvastada, kas võrgus on nõrkusi, mida varem seal ei olnud.
Käesolevas juhendis kirjeldame kahte lahendust – väike asutus paarikümne töötajaga ning keskmise
suurusega asutus 50+ töötaja ja mitme asukohaga.
1.1 Väikese asutuse lahendus
Väikeses asutuses on üks Microsoft Hyper-V Server 2016, millele on paigaldatud kaks virtuaalset
Windows 2016 Standard serverit. Ühe Windows serveri peal on AD, DNS, DHCP, CA, NPS ja VPN rollid,
teise Windows serveri peal on WSUS ja failiserveri rollid. Kasutajad töötavad nii kontoris kui
kodukontoris. Tulemüür on piisava võimekusega, et toetada veebi- ja rakendusfiltreid. Asutuse
tööjaamad on Windows 10 Professional ning kõik on domeeni liikmed. Asutuse serverid, tööjaamad ja
muud seadmed asuvad samas võrgus. E-mailid asuvad välise teenusepakkuja juures.
Internet
LANTööjaamad
Füüsiline serverWindows HYPER-V 2016
Virtuaalne server 1AD, DHCP, DNS, CA, VPN
Virtuaalne server 2WSUS, failiserver
Tulemüür
1.2 Keskmise suurusega asutuse lahendus
Suuremal asutusel on kahest füüsilisest Windows 2016 serverist koosnev klaster. Mõlema klastrisõlme
peal asub üks Windows 2016 AD, DNS, DHCP server. DHCP serverite skoobid on omavahel klastris ehk
siis ainult üks neist jagab IP aadresse ja probleemide korral on üleminek automaatne. Ühe AD serveri
peal on täiendavalt CA roll ja teisel AD serveril lisaks NPS ja VPN roll. Süsteemis on ka virtuaalne
logiserver, failiserver ja WSUS/CCM server rolli täitvad Windows 2016 serverid. Asutusel on ka teine
kontor, võrgud on ühendatud tulemüüride vahelise IPSec VPN kanali abil, kogu teise kontori võrguliiklus
suunatakse välja läbi peamaja tulemüüri. Allasutuse DHCP-d teeb tulemüür. Tulemüürid on piisava
võimekusega, et toetada veebi- ja rakendusfiltreid. Asutuse tööjaamad on Windows 10 Enterprise ning
on lisatud domeeni. Serverid asuvad tööjaamadest eraldatud võrgus. E-mailid asuvad välise
teenusepakkuja juures.
LAN
Internet
DMZFüüsiline server1
Windows Server 2016
Virtuaalne server 1AD, DHCP, DNS, CA
Virtuaalne server 2AD,DHCP,DNS, NPS, VPN
Peamaja Tulemüür
Füüsiline server2Windows Server 2016
Tööjaamad
Allasutuse tulemüür
LAN
Tööjaamad
KLASTER
Virtuaalne server 3Failiserver
Virtuaalne server 4SCCM/WSUS
Virtuaalne server 6Logiserver
2 Andmete haldus
2.1 Liikumises
2.1.1 Virtuaalne privaatvõrk (VPN)
Virtuaalne privaatvõrk (VPN) on krüpteeritud tunnel kahe asukoha vahel (vt ka ISKE M 3.65w). See
tunnel võib olla kahe võrgu vahel (Site-to-Site) või seadme ning võrgu vahel (End-to-Site, ligipääsu VPN).
Virtuaalset privaatvõrku kahe võrgu vahel kasutatakse tavaliselt kahe asutuse (näiteks koostööpartnerid,
peamajafiliaalid, ühe asutuse kaks maja jne) vahelise ühenduse loomiseks ning VPN luuakse tavaliselt
tulemüürist/ruuterist teise tulemüüri/ruuterini. Ligipääsu VPN on mõeldud selleks, et kasutajad saaksid
ühendust oma töövõrguga. Tänapäeval, kus väga palju tööd tehakse väljaspool kontorit, on taoline
võimalus äärmiselt vajalik ning antud juhendis keskendumegi peamiselt sellele. Lisaks asjaolule, et see
loob otsetunneli töövõrku, kaitseb see andmeid, mis arvutist üle selle tunneli liiguvad – need võivad olla
kõik andmed või siis ainult andmed, mis liiguvad töökoha ja arvuti vahel. ISKE-s käsitletakse antud
teemat punktis B 4.4.
2.1.1.1 Erinevad lahendused
VPN lahendusi on mitmesuguseid ja erineva turvalisuse astme ja seadistamise keerukusega. Windowsis
on võimalik seadistada SSTP, PPTP, L2TP/IPSec ja IKEv2/IPSec VPN versioone. Väga populaarne ja
võimekas VPN on OpenVPN ning paljud tulemüürid pakuvad ka enda SSL VPN lahendust. Sõltuvalt
lahenduse turvalisusest ja võimalustest tuleb teha kõige mõistlikum valik oma võrgu jaoks. Sobiva VPN
süsteemi valiku tegemine on käsitletud ka ISKE kataloogis M2.419 ja M 5.76w. Valiku tegemisel tuleks
arvestada, kas on vajalik ka mitmeastmeline autentimine (MFA ehk multi-factor authentication) –
täpsemalt peatükkides VPN ja MFA.
2.1.1.1.1 PPTP
PPTP (Point-to-Point Tunneling Protocol) on vana ja ebaturvaline lahendus ning selle liiklust on võimalik
dekrüpteerida. PPTP kasutab ühenduse loomiseks GRE protokolli ja 1723 porti. Paljud viirusetõrjed ja
kodused ISPd blokeerivad GRE protokolli ja samuti asudes mujal võrkudes ei pruugi olla pordi 1723 liiklus
lubatud ning VPN ühenduse loomine võib olla võimatu. PPTP ühendust on võimalik luua Windowsi
omavahenditega.
Soovitame rangelt seda mitte kasutada. Kui see on hetkel kasutusel, siis kindlasti kolida üle SSTP peale
või kui võrgus on teisi operatsioonisüsteeme peale Windowsi, siis OpenVPN peale.
2.1.1.1.2 IKEv2/IPSec
IKEv2/IPSec on turvaline lahendus, mis töötab nii Windows kui ka MacOS tööjaama puhul. Lahendus
kasutab UDP 500 ja UDP 4500 porti, mis võivad olla tulemüüri poolt blokeeritud ja seetõttu ei pruugi
VPN loomine kõikjalt olla võimalk.
IKEv2/IPSec lahendust soovitatakse kasutada mobiilide puhul, sest see suudab säilitada VPN ühenduse
isegi siis kui see vahepeal katkeb. Samuti, kui on soovi kasutada VPN reconnecti taasühendamise
tehnoloogiat (mis võimaldab vahetada võrku ilma, et VPN ühendus katkeks), on vajalik ka selleks
kasutada IKEv2/IPSec VPN lahendust.
Sobib lahendusena, kui on vaja luua VPN ühendus MacOS arvutist. Ühendust on võimalik luua Windows
ja MacOS omavahenditega.
2.1.1.1.3 L2TP/IPSec
L2TP/IPSec on turvaline lahendus, aga seda ei loeta nii turvaliseks kui IKEv2/IPSec ühendust.
Sobib lahenduseks, kui on vaja luua MacOS arvutis VPN ühendus. L2TP puhul on sama probleem kui
IKEv2 lahendusel, et kasutab ühenduseks UDP 500 ja UDP 4500 porti, mille tulemüür võib olla
blokeerinud ja seetõttu ei pruugi VPN ühenduse loomine õnnestuda. Ühendust on võimalik luua
Windows ja MacOS oma vahenditega.
Kui hetkel on kasutuses L2TP lahendus, siis tasuks see ümber teha IKEv2 lahenduse peale – kõik uuemad
operatsioonisüsteemid toetavad IKEv2 ühendust, see on turvalisem ja kiirem.
2.1.1.1.4 SSTP
SSTP on turvaline Microsofti poolt loodud lahendus. Lahendus on peamiselt kasutatav Windows
operatsioonisüsteemiga, kuigi viimasel ajal on lisandunud võimalused ka Linux ja MacOS X jaoks.
Kuna Microsoft pole lähtekoodi avanud kõigile (aga on avaldanud protokolli kirjelduse leheküljel:
docs.microsoft.com/en-us/openspecs/windows_protocols/ms-sstp/c50ed240-56f3-4309-8e0c-
1644898f0ea8, vt Andmete_haldus_1.pdf), ei ole välised eksperdid seda täielikult uurinud ja ei saa
täielikult turvalisust kinnitada. Ühendus toimub üle pordi nr 443, mistõttu ei ole see enamikes võrkudes
piiratud. Ühendust on võimalik luua Windows omavahenditega.
Kui tööjaamad on Windows 10 peal ja serverid on Windows serverid, soovitame kasutada antud
lahendust, sest see on turvaline, võimaldab ühendust kõikjalt luua ning võimalik on seadistada õiguseid
AD põhiselt ning piirata ligipääse.
2.1.1.1.5 OpenVPN
OpenVPN on turvaline lahendus, mida toetavad kõik platvormid. Turvalisuse mõttes kasutab OpenVPN
AES krüpteeringut ja kuna lähtekood on avatud, on seda uuritud ka puuduste suhtes, mis teeb OpenVPN
lahenduse kõigist VPN süsteemidest kõige turvalisemaks. OpenVPN vaikimisi port on UDP port 1194, aga
seda on võimalik seadistada töötama ka port 443 pealt.
OpenVPN serverit saab seadistada nii Windowsi ja Linuxi operatsioonisüsteemidele, mõnele tulemüürile
ja NAS seadmetele. Tasub arvestada, et tulemüüri või NAS peal seadistades võivad seadistused olla
piiratud (näiteks ei saa muuta vaikimisi porti vms). Kasutamiseks peab tööjaama olema installeeritud
OpenVPN klient.
Lihtne juhend Windows serveri ja kliendile paigaldamiseks on saadaval siin:
community.openvpn.net/openvpn/wiki/Easy_Windows_Guide (vt Andmete_haldus_2.pdf), kuid
Windows AD keskkonnas tasuks kindlasti mõelda, et kasutada OpenVPN kommertstoodet OpenVPN
Access Server (saadaval: openvpn.net/vpn-server-resources/use-cases-for-the-openvpn-access-server-
product/, vt Andmete_haldus_3.pdf), mis võimaldab ka LDAP ühendust AD serveriga, saadaval
openvpn.net/vpn-server-resources/openvpn-access-server-on-active-directory-via-ldap/ (vt
Andmete_haldus_4.pdf). Selle skaleerumisega on olnud probleeme, suuremas ettevõttes tuleb
lahendust enne kasutusele võtmist testida.
Kui puudub Windows serveri keskkond, on see kõige mõistlikum lahendus (vt ISKE kataloog M 5.148).
Windows serveri võimaluse olemasolul soovitame kasutada ikkagi SSTP VPN süsteemi, sest see
võimaldab hallata kõige paremini kasutajakontosid ja ligipääse.
2.1.1.1.6 Tulemüüride VPN
Võimekamad tulemüürid nagu Sophos, Fortigate, Cisco jne pakuvad ka oma kliendile VPN süsteemi
paigadamise võimalust. Mitmed võimaldavad seadistada ka OpenVPN süsteemi, aga tavaliselt on
pakutavaks VPN variandiks tulemüüri tootja enda SSL VPN.
Need töötavad tavaliselt üle pordi 443 ja eeldavad ka antud tulemüüritootja klientprogrammi
installeerimist tööjaama ja mõningal juhul ka lisalitsentsi ostu. Seadistamise võimalused erinevatel
seadmetel on erinevad (vt näiteks: community.sophos.com/kb/en-us/122769 vt Andmete_haldus_5.pdf
või www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200533-
AnyConnect-Configure-Basic-SSLVPN-for-I.html, vt Andmete_haldus_6.pdf). SSL VPN lahendust loetakse
turvalisuselt samal tasemel olevaks kui SSTP ja OpenVPN.
Mõni tulemüür võimaldab ka ühendust AD serveriga ja sellisel juhul saab ligipääse hallata AD gruppide
või kontode kaudu.
2.1.1.2 Windows VPN seadistamine
Kuna Windows võrgu puhul on kõige mõistlikumaks lahenduseks Windows SSTP VPN, siis antud juhendis
käsitletakse Windows SSTP serveri ja kliendikonto seadistamist.
Windows VPN serveri seadistamise eelduseks loetakse toimivat AD serverit (VPN seadistamine on
võimalik ka ilma AD serverita, aga ei soovita) ja ka Windows CA serveri olemasolu.
Nende seadistamisega saab tutvuda järgmistel internetilehekülgedel: docs.microsoft.com/en-
us/windows-server/identity/ad-ds/deploy/install-active-directory-domain-services--level-100- (vt
Andmete_haldus_7.pdf) ja
docs.microsoft.com/en-us/Windows-server/networking/core-network-guide/cncg/server-certs/install-
the-certification-authority (vt Andmete_haldus_8.pdf)
2.1.1.3 Sertifikaadi valik
SSTP serveri identiteedi tuvastamiseks kliendi poolt on vaja serverile installeerida sertifikaat (vt juhendit
allpool).
Selleks on mitmeid valikuid:
1. Ostetud sertifikaat
2. Lokaalse domeeni CA sertifikaat
3. Let's Encrypt sertifikaat
Ostetud sertifikaati on kõige mugavam kasutada, eriti kui see soetada pikaajaliselt – nimelt usaldab seda
enamik seadmetest ja see ei vaja pidevat vahetamist. Sertifikaati saab osta erinevate teenusepakkujate
käest, selle tellimiseks tuleb luua certificate request (vt juhendit allpool).
Lokaalse domeeni CA (vt ka ISKE M 2.232) sertifikaat võib tunduda mõistlik valik, sest selle saab koheselt
luua ja seda usaldavad kõik domeeniarvutid. Kui on soov kasutada VPN süsteemi mitte-domeeni arvutil,
siis tuleks sinna installeerida domeeni juur-CA. Kuid selleks, et sertifikaadi kehtivust kontrollida, peab
tööjaamal olema ligipääs CRL failile. Kui see pole õigesti seadistatud, ei suuda tööjaam VPN ühendust
luua.
CRL nimekirja ligipääsu võimaldamiseks on kõige mõistlikum jagada see välja veebi kaudu.
Siinkohal peab arvestama, et CRL nimekirjale ligipääsu tehes väljaspool sisevõrku peab veebiserver
olema avatud kogu internetile ja peab olema turvaliselt seadistatud (turvalisuse soovitused järgmisel
leheküljel: techcommunity.microsoft.com/t5/ITOps-Talk-Blog/Windows-Server-101-Hardening-IIS-via-
Security-Control/ba-p/329979, vt Andmete_haldus_9.pdf). Samuti toimib CRL nimekirja jagamine ainult
üle HTTP ühenduse. Kõike seda peab arvestama lokaalse CA sertifikaadi kasutusele võtmise juures ning
sellest tulenevalt ei ole see toodangukeskkonnas kõige parem lahendus.
Antud CRL ligipääsu seadistamise näite puhul asuvad CA server ja veebiserver sama serveri peal. Selleks
tuleb toimida järgnevalt:
1. Avada Server Manager rakenduse kaudu Certification Authority liides.
2. Teha paremklõps CA nimel, valida Properties ja avanenud aknas valida Extension vaheleht.
3. Valida Extension CRL distribution point (CDP) ja Add ning avanenud aknas määrata asukohaks
aadress, kuhu pääseks ligi nii seest kui väljast - selleks on vaja teha DNS kirjed nii sisemisse kui
välimisse DNSi ja perimeetritulemüüri olemasolul suunata port 80 antud serveri peale. Näiteks:
crl.test.ee/CertEnroll
4. Muutujate nimekirjast (Variables) lisada sinna (kasutades nuppu Insert)
<CaName><CRLNameSuffix><DeltaCRLAllowed> ning lõppu panna laiend .crl
Lõplik teekond oleks järgmine:
http://crl.test.ee/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Peale seda valida OK.
5. Märgistada loodud kirje ja valida sealt omadused Include in CRLs.
6. Valida laiendus Authority Information Access (AIA). Panna asukoht nagu punktis 4. Näiteks:
crl.test.ee/CertEnroll. Peale seda lisada muutujate nimekirjast
<ServerDNSName>_<CaName><CertificateName> ning lõppu laiend .crt. Lõplik teekond oleks
järgmine: crl.test.ee/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt
Märgistada loodud kirje ja valida omadus Include in the AIA extension of issued certificates.
7. Seejärel on CRL nimekiri kõikjalt kättesaadav ja tööjaamad saavad edukalt ka väljaspool
töövõrku sertifikaati autentida. Jälgida kindlasti, et serveri tulemüür lubaks pöördumist HTTP
pordi poole.
Vajalikud seadistused saab teha ka Powershell käsu abil nii:
Add-CACRLDistributionPoint -Uri "http://crl.test.ee/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl" -AddToCertificateCdp -AddToFreshestCrl -Force
Add-CAAuthorityInformationAccess -Uri "http://crl.test.ee/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt" -AddToCertificateAia –Force
Täpsemalt võib CRL jagamise kohta lugeda järgnevalt leheküljelt:
blogs.technet.microsoft.com/nexthop/2012/12/17/updated-creating-a-certificate-revocation-list-
distribution-point-for-your-internal-certification-authority/ (vt Andmete_haldus_10.pdf).
Sellest on võimalik mööda minna, luues tööjaamas vastav registrikirje (enne teha kindlasti registri
varundus):
1. Selleks minna registris asukohta
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\Parameters
2. Sinna luua registrikirje (REG_DWORD) “NoCertRevocationCheck” ja määrata selle väärtuseks 1.
Kuna see vähendab turvalisust, siis me rangelt soovitame seda väljaspool testimist mitte teha.
Let's Encrypt on CA süsteem, mis pakub tasuta lühiajalisi (90 päeva) sertifikaate, mida on võimalik
automaatselt uuendada (täpsemalt: letsencrypt.org/docs/). Ka seda usaldavad üldiselt kõik seadmed ja
selle kasutamiseks ei pea tegema tööjaamades tegema lisaseadistusi, aga kuna VPN sertifikaat aegub iga
90 päeva tagant, tekitab see administraatorile lisatööd. Kuigi on võimalik seadistada, et sertifikaat
uueneks automaatselt, siis VPN seadistuses see ei uuene ja muudatus tuleb teha käsitsi, mis omakorda
eeldab VPN serveri teenuse taaskäivitamist. Samuti tuleks kohe vanad sertifikaadid eemaldada, sest nad
võivad segada sätteid ja uus sertifikaat ei pruugi enne rakenduda, kui vanad on eemaldatud.
2.1.1.4 SSTP VPN serveri seadistamine
2.1.1.4.1 Sertifikaadi loomine ja installeerimine
Nagu ka eespool on viidatud, on SSTP serveri seadistamiseks vajalik, et serverile oleks seadistatud
sertifikaat. Selle loomiseks tuleb teha IIS kaudu sertifikaadi taotlus:
1. Avada IIS Manager programm, vajutada sealt serveri nimele ning paremast aknast valida Server
Certificates
2. Avanenud vaates valida Action menüüst Create Certificate request käsklus. Täita taotluse andmed
vastavalt oma andmetele. Common name peab olema nimi, mille kaudu tööjaamad pöörduvad
serveri poole – näiteks vpn.test.ee. Bitipikkuseks valida vähemalt 2048. Taotluse salvestamise
asukohaks võib panna endale sobiva koha, kus salvestatud fail on hiljem kättesaadav.
Nime kohta peab looma DNS kirje, mis viitaks antud serveri välise IP peale (rangelt ei soovita
serverit otse internetis hoida) või tulemüüri välise IP aadressi peale, kus port 443 on suunatud
antud serveri peale.
3. Peale faili loomist, juhul kui sertifikaat ostetakse kolmandate osapoolte käest, võib selle faili antud
teenusepakkujale edastada (või sisestada see veebiliidese kaudu) ning peale vajaliku sertifikaadi
saamist kopeerida see serverisse. Edasi minna uuesti IIS Manageri ja samast kohast, kus sai loodud
sertifikaadi taotlus, valida Complete Certificate request käsklus ning näidata sertifikaadi asukoht.
4. Kui kasutada lokaalset CA süsteemi, saab antud taotluse sisestada veebi kaudu: CAserver/CertSrv.
Sealt valida Request a Certificate –> Advanced certificate request - Submit a certificate request by
using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-
encoded PKCS #7 file. Vastavussertifikaadiks valida Web server ja kopeerida punktis b loodud faili
sisu aknasse. Peale Submit vajutamist loob CA sertifikaadi, mille saab alla laadida ja paigaldada
samamoodi kui ostetud sertifikaati.
5. Peale sertifikaadi lisamist IIS süsteemi tuleks see muuta pordile 443 (HTTPS) sertifikaadiks. Selleks IIS
Manager-is Action menüüst valida Bindings, valida avanenud aknas HTTPS, Edit ja SSL Certificate alt
valida sertifikaat, mis sai lisatud eelmises punktis. Muudatuse rakendumise kindlustamiseks tasub ka
taaskäivitada, selleks anda käsuviibast (CMD) käsk IIS reset.
6. Nagu mainitud punktis 2, siis selleks, et VPN serverile saaks ligi üle interneti, peab tulemüüris olema
suunatud port 443 antud serveri peale. Samuti peab olema loodud DNS kirjed selle välise IP peale,
mille port 443 on suunatud serveri peale.
2.1.1.4.2 VPN serveri install ja üldiste parameetrite häälestus
1. Installeerida Kaugjuurdepääsu (Remote access) server:
a) Graafilise kasutajaliidese (GUI) programmi kaudu: Server Manager – Add Roles and Features,
valida Remote Access ning installeerida kõik vajalikud omadused, teenuste (Role Services) alt
valida otsene juurdepääs (DirectAccess and VPN (RAS))
b) Powershell (käivitada administraatori õigustes) käsuga:
Install-WindowsFeature RemoteAccess –IncludeManagementTools Install-WindowsFeature DirectAccess-VPN –IncludeManagementTools
2. Kui installeerimine oli edukas, siis saab alustada seadistust:
a) Avada aken Server Manager – Tools – Routing and Remote Access. Avanenud aknas teha
paremklõps serveri nimel ning valida käsklus Configure and Enable Routing and Remote Access.
b) Avanenud viisardil Configuration valikus valida Custom configuration
c) Järgnevalt lehelt teha valik VPN access, siis Next ja Finish
3. Virtuaalse privaatvõrgu (VPN) üldiste parameetrite seadistamine.
a) Avada Routing and Remote Access kaugjuurdepääsu aken ning paremklõps serveri nimel ja
Properties.
Security alt kontrollida, et Windows Authentication Method käskluse alt oleks valitud ainult EAP
ja MS-CHAP v2 ning SSL Certificate Binding oleks vaikimisi (Default) - siis server kasutab
sertifikaati, mis sai seadistatud sertifikaatide loomise punktis.
b) IPv4 all kasutab server vaikimisi dünaamilise hostikonfiguratsiooni protokolli (DHCP), aga on
võimalik ka staatiliselt määratleda, milliseid IP aadresse jagatakse.
4. Virtuaalse privaatvõrgu (VPN) ligipääsu jaoks võiks teha eraldi AD domeeni grupi näiteks nimega
VPN, mis kirjeldab sobivalt inimesi, kellele see ligipääs antakse. Kui on plaanis piirata privaatvõrgu
ligipääse vastavalt ISKE M2.418 (vt punkt - VPN seadistuse kaudu ressursside ligipääsu piiramine), on
võimalik luua erinevaid privaatvõrgu poliitikaid ja rakendada need erinevatele gruppidele.
On ka PowerShell käske, mille abil on teatuid VPN parameetreid võimalik seadistada või pärida
informatsiooni praeguse seadistuse kohta. Näiteks Get-RemoteAccess, mis annab üldise informatsiooni
VPNi kohta (sama on näha ka punktis 3 kirjeldatud graafilise liidese kaudu). Täpsemalt nende
käskude kohta: docs.microsoft.com/en-us/powershell/module/remoteaccess/?view=win10-ps vt
Andmete_haldus_39.pdf
2.1.1.4.3 Parooliga autentimise VPN võrgu seadistamine
Virtuaalse privaatvõrgu (VPN) puhul soovitame kindlasti kasutada sertifikaadiga autentimist, sest seda
loetakse turvalisemaks. Kuna teatud juhtudel pole see võimalik, tutvustame antud juhendis ka parooliga
autentimise seadistust. Selleks, et seadistada, kuidas on võimalik ühendada privaatvõrku, tuleb luua VPN
poliitika:
1. VPN poliitika loomiseks avada Server Manager kaudu Network Policy Server aken.
a) Valida Policies – Network Policies ja paremklõps New
b) Policy nimi panna endale sobiv ja Type of Network Access valida Remote Access Server, VPN Dial-
Up.
c) Conditons all valida Add ja määrata Windows grupp, mis sai loodud üldiste parameetrite loomise
punktis 4.
d) Access granted jätta samaks.
e) Configure Authentication Methods aknas eemaldada kõik ebaturvalised autentimismeetodid
(Less secure authentication methods). EAP Types alt valida Microsoft: Protected EAP. MS-CHAP-
v2 loetakse iseseivalt ebaturvaliseks, aga PEAP protokolli valides toimub autentimine üle TLS/SSL
tunneli ja nii on autentimise liiklus kaitstud.
PEAP Edit käskluse alt on näha, et serveri sertifikaat, mida see autentimiseks kasutab, on loodud
varasemalt ning EAP Types all on EAP-MSCHAP v2.
Siis võib valida Next, Next ja Finish - nendes akendes pole vaja hetkel midagi muuta.
f) NB! Kui on aktiveeritud Credential Guard, siis kasutades EAP-MSCHAP v2 ei toimi domeeni
kasutajaga automaatne VPNi sisselogimine ja kasutaja peab alati oma kasutajanime ja parooli
sisestama.
2.1.1.4.4 Sertifikaadiga autentimise virtuaalprivaatvõrgu (VPN) seadistamine
1. Sertifikaadiga autentimise seadistamiseks on punktid „a“ kuni „e“ samad. Peale PEAP protokolli
valimist tuleb EAP Types all määrata Smart Card or other certificate.
a) Selleks, et kasutajad saaks end serverisse autentida, peavad nad saama kas manuaalselt või
automaatselt kasutajasertifikaadi. Sertifikaat peab olema kindlasti mitteeksporditav.
b) Kasutajatele mitteeksporditava sertifikaadi pakkumiseks tuleb luua uus sertifikaadimall ja
määrata selle sätted:
i) Avada Server Manager kaudu Certification Authority aken. Avanenud aknas teha paremklõps
Certificate Templates peal ja valida Manage.
ii) Avaneb Certificate template Console. Teha paremkõps User Template peal ja valida
Duplicate template käsklus.
iii) General alla määrata mallile uus nimi – näiteks „VPN kasutaja sert“ vms. Sertifikaadi
kehtivusaega ei tasuks määrata pikemaks kui üks aasta.
iv) Request Handling all võtta ära linnuke Allow private key to be exported.
v) Security all eemaldada domeeni kasutajad (Domain Users) ja lisada loodud privaatvõrgu
(VPN) grupp. Kui on soov, et kasutajad päriks sertifikaate manuaalselt, siis määrata Enroll ja
kui vaja, et nad saaks ka need automaatselt AD kaudu, siis valida nii Enroll kui ka Autoenroll
vi) Valida OK ja väljuda Template konsoolist. Selleks, et kasutajad ei saaks kogemata tavalist
kasutajasertifikaati taotleda, tasub ka selle turvalisuse seadeid muuta ja eemaldada sealt
domeeni kasutajate grupp.
vii) CA aknas teha Certificate Templates peal paremklõps ja valida New – Certificate Template to
issue ning valida avanenud aknast loodud sertifikaadimall ja vajutada OK. Nüüd on see
kättesaadav kasutajatele, kes on õiges grupis.
viii) Sertifikaati saab manuaalselt pärida kahest kohast:
(1) CertSRV veebiliidesest (kirjeldatud sertifikaadi loomise punktis 4). Valida Request a
certificate, advanced certificate request, Create and submit a request to this CA.
Certificate Template alt valida see mall, mis sai loodud. Teised sätted võib samaks jätta
ja valida kinnita (Submit).
(2) MMC kaudu ühendada Certificate snap-in külge ja valida oma kasutajakonto (My user
account). Avanenud vaates teha paremklõps Personal kaustal ja valida All Tasks –
request New Certificates. Valida Next ja Next ning kui tuleb sertifikaatide valik, siis sealt
valida loodud mall ning vajutada Enroll.
ix) Selleks, et kasutaja saaks domeenis olles automaatselt sertifikaadi, tuleb luua
rühmapoliitika, mis seda domeenis lubab. Lisatud näidis rühmapoliitika nimega
1_VPN_Autoenroll. Luua uus rühmapoliitika (server manager – tools – Group Policy
Manager) sinna OU külge, kus asub kasutaja. Uue GPO loomise aknas minna User
configuration – Policies – Windows Setting - Security Settings – Public Key Policies. Seal on
omadus Certificate Services Client – Auto-Enrollment. Avage see topeltklõpsuga. Valida
Configuration Model – Enabled ning teha linnuke ette ka järgnevatele omadustele:
(1) Uuenda aegunud ja ootel sertifikaate ja eemalda kustutatud sertifikaadid (Renew
expired certificates, update pending certificates, and remove revoked certificates)
(2) Uuenda sertifikaate, mis kasutavad sertifikaadi vorme (Update certificates that use
certificate templates)
Kui on soov, et arvutid saaksid automaatselt sertifikaadi, tuleb GPO loomise aknas minna
Computer Configuration harusse.
x) Peale GPO uuenduse saamist peaks kasutaja automaatselt saama loodud sertifikaadi (kui ta
on õiges grupis).
xi) Kui on olukord, kus kasutajad logivad sisse mitmesse arvutisse, siis tasub mõelda Credential
Roaming kasutusele võtmisele. Credential Roaming süsteem hoiab kasutajate
informatsiooni (sertifikaadid, privaatvõtmed jms) AD halduri käes ja kasutaja saab need sealt
kätte, kui ta domeeniarvutisse domeenivõrgus sisse logib. Sellisel juhul ei päri kasutaja iga
uue arvuti puhul uut sertifikaati. Täpsemalt Credential Roaming süsteemi kohta saab lugeda
TechNet wiki kodulehelt aadressil:
social.technet.microsoft.com/wiki/contents/articles/11483.windows-credential-
roaming.aspx (vt Andmete_haldus_11.pdf). Tuleb arvestada, et paljude sertifikaatide tõttu
võib AD andmebaas suureks kasvada.
2.1.1.4.5 VPN privaatvõrgu seadistuse kaudu ressursside ligipääsu piiramine
Vastavalt ISKE M2.418 tuleb luua VPN võrgu turbepoliitika ja määrata kuhu tohib VPN võrgu kaudu
pöörduda. Vaikimisi seadistustega VPN võrku saab ligi kõikjale, kuhu saab ligi VPN võrgu server. See võib
olla vajalik, aga soovitame võimalusel seda ligipääsu piirata. Näiteks teatud kasutajad saavad ligi ainult
teatud serveritele, kas ligipääsu õiguste sisuliseks piiramiseks või turvalisuse tõstmiseks (vt ka ISKE M
5.77z). Windows VPN puhul on võimalik VPN poliitikas määrata IP aadresside filtreid. IP aadresside
filtreid on võimalik seadistada otse VPN võrgu poliitikas või luua selle kohta malle.
Soovitame luua malle, sest see lihtsustab haldust.
1. IP Filtri malli loomiseks avada NPS haldusliides, minna sealt Template Managment – IP Filters ning
paremklõps New.
2. Määrata mallile sobiv nimi.
Et piirata ligipääsu serveritele, tuleb muuta seadistus Outbound Filters. Esialgu ei ole võimalik seal
teha muid valikuid kui New. Avanenud aknas allikvõrguks (Source Network) määrata server/teenus,
millele soovitakse ligipääsu lubada/keelata. Kui on vaja lubada/keelata ainult üks host, siis määrata,
et Subnet mask oleks 255.255.255.255. Samuti on võimalik määrata, milline Protocol on
lubatud/keelatud – näiteks ainult HTTP vms.
3. Kui esimene IP Filter on lisatud, on võimalik Outbound Filters aknas määrata, kas Do not permit
packets listed below või Permit only the packets listed below. Esimesel juhul ei lubata ühendusi
loodud IP peale ja teisel juhul keelatakse kõik muud ühendused peale loodud IP.
4. IP filtri malli rakendamiseks võib muuta kas olemasolevat VPN võrgupoliitikat või luua uus VPN
poliitika. Kui luua samasugune VPN poliitika kui varem, on kõige mõistlikum teha VPN poliitika peal
paremklõps ja valida Duplicate. Avada antud poliitika, Overview alt muuta nimi sobivaks ja teha
Policy Enabled ette linnuke. Tingimuste alla määrata, kellele see VPN poliitika peaks rakenduma
(näiteks eraldi grupp „Piiratud VPN“ vms). Settings alt valida IP Filters ja Select an existing IP Filter
template ning valida sealt loodud mall.
5. Peale ühendamist pääsevad „Piiratud VPN“ grupi kasutajad ligi võrgule vastavalt loodud mallis
määratud sätetele.
2.1.1.5 SSTP VPN kliendi seadistamine
SSTP VPN võrkude seadistamiseks kliendi poolel on mitmeid variante. Hetkel käsitleme manuaalset
seadistust, PBK faili loomist, GPO-ga seadistamist ning SCCM kaudu seadistamist.
2.1.1.5.1 Manuaalne seadistamine
1. Valida Control Panel - Network and Sharing Center – Set up a new connection or network.
2. Valida Connect to a workplace – Use my Internet connection (VPN).
3. Internet address on varasemalt loodud DNS kirje aadress. Valida Create.
4. Peale loomist minna Network and Sharing Centeris – Change adapter settings, valida sealt loodud
VPN adapter, paremklõps ja Properties.
5. Security all määrata Type of VPN on SSTP. Authentication alt määrata Use EAP ja sealt omakorda
Microsoft: Protected EAP.
Valida Properties:
a) Trusted Root Certification Auhtorities alt määrata CA, kelle poolt on välja antud punktis 1 loodud
serveri sertifikaat. NB! Sertifikaadi uuendamisel, kui on CA-d muudetud, tuleb muuta antud säte
ka kõigis kliendi arvutites.
b) Select Authentication Method alt valida kas Secure Password (EAP-MSCHAP vs2) või Smart Card
or other certificate.
i) Kui valida sertifikaadiga autentimine, siis vajutada Configure. Sealt määrata Use a certificate
on this Computer. Advanced mooduli all saab määrata, millise CA poolt väljastatud
sertifikaati täpsemalt kasutatakse ning sealt valida enda CA.
ii) Samuti võib uuesti Trusted Root Certification Authorities alt määrata CA, kelle poolt on välja
antud punktis 1 loodud serveri sertifikaat.
6. Tähtis säte on Networking all - Internet Protocol Version 4 Properties, Advanced ja IP Settings – Use
default gateway on remote network.
Kui see omadus on sees, saadetakse kogu liiklus läbi VPN serveri (ka interneti oma), see on tuntud
kui full tunnel. Soovitame seda kasutada, sest nii on võimalik ettevõtte tulemüüriga kontrollida (vt ka
ISKE M 5.77z) ja hoida jälgimise all liiklust, mis tehakse arvutiga, kui see on VPNi ühendatud.
Muidugi tuleb jälgida, et serveri ja ettevõtte tulemüür lubaks liiklust internetti, sest vastasel juhul
peale VPNi ühendamist kasutaja kaotab oma internetiühenduse.
Kui IP Filters, millel on lubatud ligipääs ainult teatud serveritele, on sees, tasub see välja lülitada,
sest muidu kaotab VPN võrku ühendatud arvuti internetiühenduse. Kui see säte on välja lülitatud,
siis on tegemist split tunneliga, nii et VPN kaudu liigub ainult ühendus VPN võrku ja ülejäänud
võrguühendus toimib nagu varem ja liigub otse välja.
7. Valida OK ja VPN on seadistatud.
VPN klienti on võimalik seadistada ka PowerShell kaudu, vastavalt käskudele docs.microsoft.com/en-
us/powershell/module/vpnclient/?view=win10-ps vt Andmete_haldus_38.pdf.
2.1.1.5.2 PBK faili loomine
PBK faili loomiseks on kaks võimalust:
1. Luua uus tühi fail (näiteks .txt dokument). Muuta selle nimi, nii et see lõppeks .pbk faililaiendiga.
Loodud faili peal teha topeltklõps, valida OK ja avanenud valikutest workplace network. Edasi
seadistada internetiaadress nagu manuaalse seadistuse puhul ning valida OK. Siis valida Properties ja
muuta sätteid nagu punktis manuaalne seadistamine.
2. Kui arvutisse on juba VPN loodud, on selle seadistused salvestatud asukohta
%userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK. Seal on fail rasphone.pbk.
Selle võib kopeerida näiteks töölauale ja failinime muuta vastavalt vajadusele (näiteks vpn.pbk). Kui
arvutisse on seadistatud mitu VPN võrku, on võimalik seda avada Notepad programmiga ja
kopeerida sealt ainult vajalik osa VPN võrgu seadistusest .txt faili. Seejärel loodud .txt fail ümber
salvestada, nii et see oleks .pbk faililainediga. Erinevad VPN võrgud eristuvad nii, et algavad VPN
nimega (näiteks [VPN] vms).
PBK faili kaudu VPN võrgu ühendamiseks tuleb fail avada topeltklõpsuga ja valida Connect. Ühenduse
katkestamiseks avada fail uuesti ja valida katkesta (Hang Up).
2.1.1.5.3 VPN võrgu seadistamine GPO kaudu
VPNi seadistamiseks tuleb luua uus GPO (server manager – tools – Group Policy Manager) sinna OU
külge, kus asuvad kasutajad. Lisatud näidis rühmapoliitika nimega 2_VPN_VPN_copy.
Windows GPO-de puhul on olemas võimalus luua VPN ühendus automaatselt, aga see ei paku piisavalt
seadistuse võimalusi (näiteks PEAP seal valikus pole) ning ei oma valikus ka SSTP VPNi.
GPO kaudu SSTP VPNi seadistamiseks tuleb kas asendada rasphone.pbk fail või luua Powershell kaudu.
1. Faili kopeerimiseks:
a) Selleks, et rasphone.pbk kasutajal asendada, tuleb kõigepealt õige PBK fail mõnes arvutis luua ja
jagada välja mõnes kaustaserveris, kuhu oleks vajalikel kasutajatel (kas kõigil või VPN grupis
olijatel) lugemise õigused. Näiteks: \\Testserver\vpn_settings
b) Luua bat fail, näiteks nimega copy.bat ja luua sinna seadistus, mis kopeeriks antud kataloogist
failid kasutaja PBK kataloogi: xcopy "\\testserver\VPN_settings" "%userprofile%\AppData\Roaming\Microsoft\Network\Connections\Pbk\" /z /r /y
c) GPO-s minna User Configuration, Windows Settings – Scripts (Logon/Logoff). Avada Logon ja
valida Add, valida Browse ja kopeerida Copy.bat avanenud aknasse, märkida kopeeritud fail ja
valida Open. Vajutada OK.
d) Peale GPO levimist, kui kasutaja logib sisse, kopeeritakse fail tööjaama ning VPN valikute alla
tekib õige VPN.
NB! Kui arvutis on midagi VPN-iga teisiti seadistatud, siis need sätted kirjutatakse üle
vaikesätetega. Seetõttu võib olla mõistlik piirata selle GPO levikut VPN lubatud grupiga. Selleks
tuleb muuta GPO Security Filtering sätteid. Security Filtering alla lisada grupp VPN ja eemaldada
grupp Authenticated users.
Kuid Delegation all lisada kindlasti authentication users tagasi Read õigustega, sest muidu GPO
ei rakendu.
2. Powershell kaudu:
a) Arvutis, kus on VPN seadistatud, on vaja on genereerida EAP konfiguratsioon, selleks kasutada
skripti:
$exportXML = (Get-VpnConnection -Name "VPN").EapConfigXmlStream #VPN on selle juba seadistatud VPN ühenduse nimi $exportXML.Save("c:\temp\VPN_config.xml") #asukoht, kus saab pärast antud faili kätte
i) See fail tuleb kopeerida serverisse ja jagada välja inimestele kellel on VPN ühendust vaja
(nagu punktis 1.a)
b) Luua Powershell skripti fail, näiteks vpn.ps1 ja sinna lisada käsud:
$importXML = New-Object XML $importXML.Load("\\testserver\VPN_settings\VPN_config.xml") Add-VpnConnection -Name "Powershell VPN" -ServerAddress "vpn.test.ee" -TunnelType Sstp -EncryptionLevel Maximum -AuthenticationMethod Eap -EapConfigXmlStream $importXML
c) Luua uus GPO (Server manager – Tools – Group Policy Manager) OU külge, kus asuvad kasutajad.
GPO-s minna User Configuration, Windows Settings – Scripts (Logon/Logoff). Avada Logon ja
avanenud aknas valida Powershell Scripts. Valida Add ja Browse ning kopeerida loodud skript.
Märkida kopeeritud fail ja valida Open. Vajutada OK. Lisatud näidis rühmapoliitika nimega
3_VPN_Powershell VPN.
d) Peale GPO levimist kasutaja sisselogimisel käivitatakse skript ning VPN valikute alla tekib õige
VPN. Erinevalt kopeerimise viisist jäävad alles ka eelmised VPN seadistused, aga GPO õiguseid
tasub muuta ikkagi samamoodi nagu punktis 1.d.
2.1.1.5.4 VPN võrgu seadistamine SCCM kaudu
SCCMis on olemas eraldi sätte punkt, mille kaudu saab seadistada VPNi. Kuigi ka siin ei ole SSTP varianti,
siis saab valida Automatic ja kõiki vajalikke autentimise sätteid on võimalik määrata.
1. Avada konfiguratsiooni manager (Configuration Manager console)
2. Minna Overview – Compliance Settings – Company Resource Access – VPN Profiles
3. Teha paremklõps Create VPN Profile. Määrata sobilik nimi ja VPN profile Type Windows 10 –
järgmisel lehel valida Windows 10 (see sätestab, et VPN paigaldatake kõigile Windows 10
versioonidele).
4. Configure VPN connection käskluse alt valida – Microsoft Automatic ja server listi lisada Friendly
Name (vastavalt soovile) ja VPN serveri nimi, valida OK ja Next.
5. Authentication Mehtod valida Microsoft protected EAP (PEAP) ja valida Configure (sätted
määrata samad kui punktis manuaalne seadistamine).
6. Edasi valida Next ja Next ja Next ja Close.
7. Valida loodud VPN ning valida ülalt Deploy. Määrata Collection kuhu soovite VPNi installeerida.
Muud sätted võivad samaks jääda ning vajutada OK.
2.1.2 Proksi
Proksiserver on teenus, mis vahendab päringuid kliendi ja serveri vahel. Proksiserveri kasutamisel
saadab klient päringud proksiserverile ning see omakorda edastab need teenusele, teenus vastab
proksiserverile ning see saadab vastused kliendile tagasi.
Olenevalt proksitüübist on see kas kliendile näha või mitte. Enamasti ei ole kliendile näha, kas tema
päringud lähevad läbi proksi või otse selle taga oleva teenuse pihta. Proksi abil on võimalik päringuid
filtreerida ning vastavalt tulevale päringule ligipääs blokeerida, sellele midagi lisada või suunata
erinevate teenuste peale.
Olenevalt teenusest on erinevaid proksilahendusi, näiteks HTTPProxy vahendab HTTP või HTTPS
päringuid või jaotab neid mitme serveri peale (Load Balance). Exchange Client Access server pakub
autentimise ja proksi teenust postkasti serveritega suhtlemisel, selle puhul suunatakse kasutaja päringud
edasi sellele postkasti serverile, kus asub tema postkast.
HTTP proksi puhul on näiteks võimalik muuta ühendus teenusega turvalisemaks, kui vahendatav teenus
ei võimalda kasutada SSL ühendust. Proksile on võimalik lisada SSL sertifikaat ning seejärel kliendiga
suhtlemine käib üle turvalisema HTTPS’i, kuigi proksi suhtleb teenusega ikka üle HTTP. Teenustel, mis ei
logi piisava täpsusega sissetulevaid päringuid, saab proksit kasutada logitaseme tõstmiseks. Veel üks
võimalik kasutuskoht on portide efektiivsemal kasutamisel või teenuse maskeerimisel. Näiteks kui välise
ühenduse puhul on kasutada ainult üks IP aadress, siis saab proksi abil kasutada sama HTTPS porti
mitme erineva teenusega suhtlemiseks. Vastavalt sissetulevale päringule saab suunata erinevad
alamdomeene või aadresse erinevatesse kohtadesse või nendele ligipääsu piirata.
https://Teenus1.domeen.ee -> https://server1:443
https://teenus1.domeen.ee/teineteenus -> http://server1:8080
https://teenus2.domeen.ee -> http://server2:80
SOCKS on üldotstarbeline võrgupakettide vahendamise protokoll, kus proksi vahendab kliendi- ja
serverivahelist TCP ja UDP liiklust. See on väga levinud vahend üle SSH sisevõrgu teistele teenustele
ligipääsuks või veebibrauseri liikluse maskeerimiseks. SOCKS proksi eeliseks on see, et proksi töötab
mitmesuguste rakenduse taseme protokollidega nagu RDP, HTTP(S) või SQL. See võib olla dünaamiline,
see tähendab, et läbi sama proksipordi saab ligi kõikidele teenustele üheaegselt ilma neid teenuseid
eelnevalt eraldi kirjeldamata.
Sobiva proksitüübi valimist käsitleb ka ISKE M 2.75 ning selle integreerimist veebirakendustesse ISKE M
5.119.
Proksiserver pääseb ligi kõikidele andmetele päringutes, mida klient või server teevad. Nimelt kui klient
saadab päringu proksiserverile, siis proksiserver näeb täielikult selle sisu, võib selle vahepeal salvestada
või seda muuta ning alles siis originaali või muudetul kujul edasi saata. Sama kehtib serveri poolt tulnud
vastustega. Seega on väga oluline oma proksiserverit väga tugevalt kaitsta ning kolmandate osapoolte
proksiservereid vältida. Kui tegemist ei ole üldkasutatava teenusega, mis peab olema kõigile
kättesaadav, siis soovitame proksi asemel kasutada või sellega kombineerida VPN privaatvõrgu
lahendusi, sest siis ei ole avalikkusele näha isegi proksiserveri aadressi.
Ahvatlevad kolmanda osapoole proksiserverid on need, mis lubavad veebiliikluse muuta anonüümseks
valetades asukoha või kliendi brauseri sätete jms kohta – neid andmeid saab võltsida vaid päringuid
muutes, mis tähendab, et päringu sisu on proksiserverile täielikult näha.
2.1.3 Töökoha tulemüür
Töökoha tulemüür on tarkvara, mis kontrollib informatsiooni, mis tuleb internetist vm võrgust ja
vastavalt seadistusele lubab või keelab nende juurdepääsu arvutisse. Tulemüür aitab ennetada häkkerite
või pahatahtlikku tarkvara ligipääsemist tööjaama läbi võrgu või interneti. Tulemüür võimaldab takistada
ka pahatahtliku tarkvara saatmist teie arvutist teistesse arvutitesse või võrku.
Tööjaamade tulemüürid on mõeldud kliendi lokaalsete ressursside turbeks. Asutuse tulemüür kaitseb
asutuse võrku internetist tulevate rünnakute eest. Kuna tänapäeval on järjest rohkem kasutusel
kaasaskantavad seadmed, ei rakendata alati asutuse tulemüüri ja seetõttu on vajalik kasutada ka
seadmepõhist tulemüüri.
2.1.3.1 Windows tulemüüri seadistamine
Windows tööjaamas on võimalik tulemüüri seadistada vastavalt keskselt või käsitsi igas tööjaamas.
Tööjaama tulemüüri saab seadistada:
Keskselt serverist rühmapoliitikaga
Keskselt läbi System Center Configuration Manageri
Windows tulemüüri käsurealt Netsh
Käsustikust Powershell
Käsitsi tööjaamas
Osa kolmanda osapoolte tarkvarast võimaldab keskselt Windowsi tulemüüri hallata ja
seadistada.
2.1.3.1.1 Tulemüüri seadistamine keskselt rühmapoliitikaga
Server Managerist avada rühmapoliitika haldamine (Group Policy Management), lisada uus poliitika
„Tööjaamade tulemüür“ ja linkida see tööjaamade OUga. Avada poliitika sätted vahekaart ja muuta
sätteid. Editor tulbas avada Computer Configuration > Policies > Windows Settings > Windows Firewall
with Advanced Security. Lisatud näidis rühmapoliitika nimega 4_Andmete_haldus_Tööjaama tulemüür.
Esmalt lülitada tulemüür domeeni-, privaat- ja avalikes võrkudes sisse ja seadistada avalikes võrkudes
sissetulevad ühendused Blocked (default), rakenduvad tehtud reeglid. Lisaks seadistuste alt mitte lubada
lokaalsete reeglite kasutamist nii domeeni-, kui avalikes võrkudes. Domeenivõrgus on mõistlik keelata ka
kasutaja teavitamine, kuna üldiselt ei tea tavakasutaja nendest teadetest midagi ning pigem on nad
kasutajale häirivad.
Järgnevalt tuleks seadistada lubatud sisse ja välja võrguühendused, mida saab teha, valides vastavalt
Inbound rules ja Outbound rules.
Lisada uus reegel, soovitav on valida eelseadistatud reeglid ning vajadusel lisada erireeglid ja tarkvara
load. Reeglite tegemise võimalus valida programmipõhine, pordipõhine, eelseadistatud või kohandatud
reeglite vahel. Reegleid saab teha nii lubavaid kui ka keelavaid, kui mingid reeglid kattuvad, jääb alati
peale keelav reegel. Reegleid saab rakendada nii kõikide tüüpide võrkudele korraga või ainult kindlatele
(domain, private, public).
Domeenivõrgu reegleid seadistades oleks vajalik sisse lülitada järgnevad eeldefineeritud reeglid: Active
Directory Domain Services, Acvtive Directory Web Services, COM+ Network Access, DNS Services, File and
Printer Sharing, mDNS, Netlogon Service, Network Discovery, Remote Desktop ja Secure Socket Tunneling
Protocol. Lisaks on vajalik välja lubada kindlasti HTTPja HTTPS pordid, vajadusel ka SMTP port.
2.1.3.1.2 Seadistus konfiguratsiooni süsteemi keskjaama (System Center Configuration Manager)
kaudu
SCCM süsteemi kaudu on võimalik ka kontrollida ja seadistada Windows tulemüüri sisselülitamist, mis
võrkudes on sisse lülitatud, ei ole või siis defineerimata. Täpsemalt saab seadistamise kohta lugeda siit:
docs.microsoft.com/en-us/sccm/protect/deploy-use/create-Windows-firewall-policies (vt
Andmete_haldus_14.pdf). SCCM süsteemist on võimalik tulemüüri spetsiifilisemat seadistust teha
vajadusel Powershell skriptidega, millest tuleb juttu täpsemalt järgnevates peatükkides.
2.1.3.1.3 Seadistamine Windows tulemüüri käsurealt Netsh
Avada käsurida CMD ja näitena järgneva käsuga saab avada pordi:
netsh advfirewall add rule name=“nimi“ dir=in action=allow protocol=TCP/UDP localport=21
Vaikimisi lisatakse see reegel kõikidesse profiilidesse, kui on vajalik täpsustada, siis lisada
profile=public/private/domain. Süntaksi kohta saab siit lugeda siit: docs.microsoft.com/en-us/Windows-
server/networking/technologies/netsh/netsh-contexts (vt Andmete_haldus_12.pdf).
2.1.3.1.4 Seadistamine käsustikust Powershell
Powershelli käsurida pakub mugavamaid filtreid, kui graafiline kasutajaliides (GUI) ja lihtsamini
kasutatav kui Netsh. Powershell tuleb käivitada administraatori õigustes ja näitena järgneva käsuga saab
kõik tulemüüri reeglid mõne parameetriga: Get-NetFirewallRule. Ent üldiselt on reegleid palju ning
mõistlik on kasutada sorteerivaid parameetreid: Get-NetFirewallRule -Action Block -Enabled True -
Direction Inbound. Täpsemalt saab tutvuda siin: docs.microsoft.com/en-
us/Powershell/module/netsecurity/?view=win10-ps (vt Andmete_haldus_18.pdf).
2.1.3.1.5 Tulemüüri seadistamine tööjaamas
Vastavalt Windows tulemüüri omapärale on kõik sissetulevad ühendused blokeeritud, kui nad ei ole
lubatud listis ja kõik väljaminevad ühendused on lubatud, kui nad ei vasta teatud reeglile. Kui on mitu
reeglit, siis jääb alati peale keelav reegel. Tööjaamas käib tulemüüri seadistamine sarnaselt keskse
seadistuse tegemisele. Esmalt avada Windows tulemüür (Control Panel > Windows Firewall), kui ei ole
sisse lülitatud, siis lülitada sisse tulemüür kõikides võrkudes.
Kui programmid ei ole tulemüüri kaudu automaatselt lubatud, siis seda saab teha käskluse abil Allow an
app or feature through Windows Firewall, sealt saab lubada ja lisada programme või aplikatsioone, mis
peavad pääsema läbi tulemüüri.
Edasine peenhäälestus tuleb teha sätte Advanced Settings alt ja seejärel vastavalt juba eespool
kirjeldatud valikutele luua vajalikke reegleid.
Kui seadistada ühes tööjaamas tulemüür, siis on võimalik see eksportida ning teises tööjaamas
importida, võimalus importida isegi serveri rühmapoliitika (GPO) haldusesse, see lihtsustab ning
kiirendab üksikult tööjaamade seadistust.
2.1.3.2 Windows tulemüüri keskne haldamine kolmanda osapoolte tarkvaraga
Sellised lahendused tulevad tavaliselt mingi turvatarkvaraga kaasa ja on tasulised. Võimaldavad
kontrollida keskselt Windows tulemüüri jm võimalusi, sõltuvalt tarkvarast ja selle pakkujast. Näitena on
olemas pilvepõhine kaitsesüsteem F-Secure PSB (Protection Service for Business) Computer Protection ja
lokaalsetes serverites F-Secure Business Suite Client Security, mis mõlemad pakuvad keskset tööjaamade
Windows tulemüüri haldust, lisaks teisi kaitsemooduleid. Lahendus lisab täiustatud tulemüüri reeglid,
mis on läbinud turvatestid. Võrreldes Microsoft haldusega on neid lihtsam hallata ning seadistada,
samuti võimaldatakse kergemini erandeid teha. Täpsemalt saab tutvuda siin: www.F-
Secure.com/en/web/business_global/computer-protection ja www.F-
Secure.com/en/web/business_global/client-security.
2.1.4 Telemeetria
Vaikimisi sätetel on Windows 10 seadistatud saatma palju infot kasutajategevuse ning arvutitöö ja
seadistuse kohta (Telemeetria) Microsoftile. Turvalisuse seisukohast võib see sisaldada konfidentsiaalset
informatsiooni.
2.1.4.1 Windows 10 versioonid ja telemeetria piiramine
Windows 10 Enterprise (ka EDU) versioonides on võimalik telemeetriat seadistada Microsofti juhendite
järgi (docs.microsoft.com/et-ee/Windows/privacy/configure-Windows-diagnostic-data-in-your-
organization vt Andmete_haldus_13.pdf). Windows 10 Home versioonides ei ole telemeetria täielik
seadistamine võimalik, samuti ei ole Home versiooni võimalik liita domeeni ja on seega ettevõttele
sobimatu. Telemeetria takistamine muude vahenditega (näiteks tulemüür) ei ole soovituslik, sest samad
võrguaadressid omavad ka muid olulisi funktsioone nagu Windows uuendused.
2.1.4.2 Rühmapoliitika sätted
Järgnevad rühmapoliitika (Group Policy) reeglid on tuntumad, mis on seotud Windows 10 Telemeetria
ehk info saatmisega Microsofti ja mujale. Need tuleks määrata nii nagu antud või vajadusel kohandada
kui mõni nendest segab vajaliku rakenduse tööd. Lisatud näidis rühmapoliitika nimega
5_Andmete_haldus_Telemeetria.
Computer Configuration/Administrative Templates/Windows Components/Data Collection and
Preview Builds konfiguratsioonisäte:
Allow Telemetry:Enabled, 0 – security – Säte keelab igasuguse telemeetria peale turvalogide. Kui
ettevõttes kasutatakse näiteks Windows Error Reporting tõrgete lahendamisel või soovitakse
Microsofti poolt tuvastatud parandusi levinud tõrgetele, tuleks seda taset kohandada. Nende
tasemete kohta on rohkem informatsiooni Microsoft dokumentatsioonis:
docs.microsoft.com/en-us/windows/privacy/configure-windows-diagnostic-data-in-your-
organization (vt Andmete_haldus_13.pdf).
Computer Configuration/Administrative Templates/Windows Components/Windows Error Reporting
konfiguratsioonisäte:
Do not send additional data: Enabled
- Keelab täiendava kasutajainfo edastamise koos rakenduse veateatega (failid, kaustateed,
kasutajaandmed).
Computer Configuration/Administrative Templates/Control Panel/Regional and Language
Options/Handwriting personalization konfiguratsioonisäte:
Turn off automatic learning: Enabled
- Selle sätte määramisel ei kasutata enam kirjakeele õppimise mehhanisme ega saadeta kogutud
informatsiooni Microsofti serveritele. See tähendab ka seda, et käsikirja tuvastamine ei muutu
ajapikku paremaks.
Computer Configuration/Administrative Templates/System/User Profiles konfiguratsioonisäte:
User management of sharing user name, account Picture, and domain information with apps:
Enabled, Always off
- Keelab kasutajal anda loa rakendustel kasutada informatsiooni kasutajakonto kohta
Turn off the advertising ID: Enabled
- Keelab reklaami pakkujatel koguda informatsiooni kasutaja eelistuste ja näidatud ning avatud
reklaamide kohta ehk kasutaja profileerimise.
2.1.4.3 Rühmapoliitikata
Ilma rühmapoliitikata on enamikke sätetest peaaegu võimatu muuta. Paljud sätted ei ole
kasutajaliidesest seadistatavad või on peidetud sügavale seadistustesse, kust neid on raske leida. On
olemas kolmanda osapoole rakendusi millega on võimalik need sätted siiski mugavalt ühest kohast
keelata, näiteks O&O ShutUp10 (vt www.oo-software.com/en/shutup10), kuid selle ja sarnaste
rakenduste kasutamisel on risk, et keelatakse liiga palju ning eemaldatakse süsteemi tööks vajalikke
funktsioone. Nende rakenduste kasutamisel tuleb olla väga ettevaatlik.
2.1.4.4 Telemeetria muudes rakendustes
Windows ei ole ainus, mis telemeetriat rakendab, tihti on ka paigaldatavates rakendustes telemeetria
funktsioonid vaikimisi sisse lülitatud. Näiteks veebibrauserid Firefox ja Chrome annavad sellest teada
esimesel käivitamisel ning küsivad kas seda muuta või mitte. Kui kasutaja sellele tähelepanu ei pööra,
jäävad need vaikimisi sisse. Mistahes rakenduse paigaldamisel tuleks alati sätted üle vaadata ja muuta,
mida arendajatele saadetakse või vähemalt olla sellest teadlik. Rakenduste paigaldamisel keskselt tuleks
uurida, kas see säte on võimalik juba paigaldamisel paika panna ja võimalusel seda teha.
Paljud sätted on tänapäeval kasutajapõhiselt rakenduste vahel sünkroniseeritud (Chrome, Firefox ja
Windows) ning see säte võib olla eelmisest seadmest sünkroniseeritud, seega kui see kunagi on jäänud
tähelepanuta, hiljem seda enam ei pruugita üle küsida.
Paljud rakendused, mis on mõeldud ettevõtetes kasutamiseks, annavad võimaluse paigaldada vastavad
ADMX failid, et rühmapoliitikatega saaks sätteid muuta. Tuleks uurida, kas need on saadaval ja
võimalusel neid kasutada.
Eraldi paigaldatavad rühmapoliitika ADMX failid on olemas näiteks Microsoft Office, Google Chrome ja
Firefox rakendustele, täpsemalt on nende kohta kirjas peatükis 6.2.4 „Veebisirvija seadistamine
rühmapoliitikaga“.
2.2 Andmete haldus talletades
2.2.1 Failiserveri kaitse seadistus
Võrgukettad ja jagatud kaustad on tüüpilised kohad, mille kaudu ettevõtte sisevõrgus viirused levida
võivad. Jagatud kaustadele ja failidele pääsevad tavaliselt ligi väga paljud kasutajad ning seetõttu on risk
nende andmete hävimisele suur. Jagatud kaustad võiks jaotada väiksemateks osadeks või kogumiteks, et
need oleks rohkem üksteisest nii füüsiliselt kui õiguste poolest eraldatud, näiteks osakonna järgi. Õigusi
tuleks määrata grupipõhiselt, et neid oleks võimalikult lihtne eemaldada ning põhimõttel „mida vähem,
seda parem“. Lisaks üldisele õiguste süsteemile, mida käsitleb näiteks ISKE M 4.332, tuleks kasutada
dünaamilisi ja automaatseid reegleid, mis rakenduvad teatud tingimustel. Üks vahend selle
saavutamiseks Windows serverites on failiserveri ressursihaldur (File Server Resource Manager, FSRM).
Lisaks takistatavatele vahenditele ei tohiks unustada korralikku varundust. Väga oluline on ka keelata
aegunud ning teadaolevate turvanõrkustega protokollid - näiteks SMB v1.
2.2.1.1 Failiserveri ressursihaldur (FSRM)
Failiserveri ressursihaldur (FSRM) on vahend failiserveri jagatud kaustade haldamiseks ning
automaatsete reeglite ja filtrite loomiseks. FSRM võimaldab seadistada faili mahu ja tüübiga seotud
reegleid ning rakendada automaatikat kindlate filtrite alusel. Näiteks piirata kasutajal salvestada teatud
tüüpi faile või mahupiirangu täitumisel saata e-kirju.
2.2.1.2 Kaitse krüptoviiruste vastu failiserverites
FSRMi on võimalik kasutada krüptoviiruste tegevuse takistamiseks. Põhimõte seisneb teatud failitüüpide
salvestamise katsel kasutaja täielikku blokeerimist jagatud andmetele. Seadistuste lihtsustamiseks on
olemas kolmanda osapoole skriptid ja nimekirjad teadaolevatest krüptoviirustega seotud failitüüpidest
ja nimedest. See lahendus ei takista krüptoviiruste levikut teistele arvutitele vaid takistab sellel rikkuda
jagatud faile. Levinuim kolmanda osapoole vahend seadistuste lihtsustamiseks on “CryptoBlocker”
nimeline Github projekt (vt Github.com/m-dwyer/CryptoBlocker, vt Andmete_haldus_15.pdf), kuid võib
ka seadistada käsitsi ja luua oma skritpid.
2.2.1.2.1 Paigaldamine ja seadistamine
Eeldused skriptide kasutamiseks vanematel kui Windows Server 2016 operatsioonisüsteemidele:
Windows Management Framework version 5 või uuem
Paigaldamise protseduur:
1. Paigaldada FSRM kas Server Manager kaudu või Powershell käsuga:
Install-WindowsFeature –Name FS-Resource-Manager –IncludeManagementTools
2. Tee serverile kaks taaskäivitust, muidu ei pruugi hakata FSRMi Powershell käsud tööle.
3. Meilisätete seadistamiseks teha paremklõps FSRM (Local) peal ja valida “Configure Options…” ja
täita väljad
4. Notification liimits määrata kõik 1 peale, et tuleks kohale kõik teated.
5. Lisada uus File Group näiteks "CryptoBlocker". Lisada vähemalt üks filter, et saaks grupi tekitada.
6. Luua uus File Screen Template.
a. Name - "CryptoBlocker".
b. Valida Active
c. Valida File groups "CryptoBlocker"
d. Seadistada e-kirja saatmine administraatorile (e-mail message to [Admin e-mail]).
E-kirja sisu võib soovi korral muuta.
Muutujad asendatakse kirjas vastavalt tehtud template’dele.
7. Lisa Command:
Run this command or script:
C:\Windows\System32\WindowsPowershell\v1.0\Powershell.exe
Command Arguments:
-ExecutionPolicy Unrestricted -NoLogo -Command "& { Get-SmbShare -Special $false | ForEach-
Object { Block-SmbShareAccess -Name $_.Name -AccountName '[Source Io Owner]' -Force } }"
8. Luua uus File screen. Kasuta malli CryptoBlocker ja määra, millist kausta see jälgima peab.
Sellega on seadistused tehtud ning kausta jälgimine ja kasutajate blokeerimine aktiivne.
Kui keegi proovib jagatud kausta lisada midagi, mis on File Groupis kirjeldatud, saab ta ligipääs keelatud
(Access Denied) teate, määratud admin-meilile peale saadetakse teade ja kasutaja blokeeritakse
failiserverist.
Uute laiendite lisamiseks tuleks minna tagasi punkti 5, lisada uusi laiendeid või seadistada eraldi
nimekirjad, mida skriptide abil automaatselt uuendatakse. Näiteks võib teha .txt faili ning selle
importida.
$FGroup = Get-Content „fsrm.txt“
Set-FsrmFileGroup -name „CryptoBlocker”-IncludePattern @($FGroup)
2.2.1.2.2 Automaatne nimekirjade uuendamine
Automaatne nimekirjade uuendamine toimub skripti ja seda käivitava ajastatud tööna, nimekiri laetakse
alla Internetist https://fsrm.experiant.ca/ lehelt.
Nimekirja täiendatakse pidevalt ning seda on oluline jälgida. Kui Internetist pidevalt uueneva nimekirja
allalaadimist enam ei soovita, võib taski keelata ning nimekirja käsitsi edasi täiendada. Seda ei ole
võimalik teha läbi graafilise liidese, sest viimane ei luba sisestada nimekirjas juba olevaid ega luba
seetõttu salvestada. Täiendusi tuleb teha Powershelli abil.
Nimekirjas on ka palju levinud tavaprogrammide kasutatavaid faililaiendeid ja tuleks arvestada, et
kasutajad võidakse nende kasutamisel blokeerida ning sellisel juhul on vaja teha erandeid. Õnneks on
failinimi juba administraatorile saadetavas kirjas näha ja seda on lihtne lisada.
Failinimede erandeid ja lisasid saab hallata muutes CryptoLockerSkipList.txt.
Skripti seadistamine:
1. Kopeerida skript „cryptoblocker-fsrm-update.ps1“ näiteks C:\Windows kausta või mujale.
Kopeerides muuta skriptis SkipList asukoht vastavalt.
2. Importida või teha ajastatud töö selle käivitamiseks. Ajastatud töö käivitavaks kasutajaks valida
SYSTEM või teha selleks teenuskonto.
Trigger: olenevalt vajadusest kord nädalas, kord päevas kindlal kellaajal või soovi korral
tihedamini.
Action:
Program/Script: Powershell
Add arguments:
-ExecutionPolicy Unrestricted -NoLogo -file "c:\Windows\cryptoblocker-fsrm-update.ps1"
3. Käivitada task ja jälgida, et exit code oleks (0x0) ehk success ning FSRM’i tekiks laiendid.
2.2.1.2.3 Kasutaja blokeeringu eemaldamine
Juhul, kui mõni kasutaja antud lahendusega blokeeritakse, saab blokeeringu eemaldada käsuga:
Get-SmbShare -Special $false | ForEach-Object { Unblock-SmbShareAccess -Name $_.Name -
AccountName ‘ACCOUNT NAME TO UNBLOCK’ -Force }
Selle lihtsustamiseks võib kasutada ka skripti „cryptoblocker-release-user.ps1"
Skript tuleb käivitada administraatorina, muutes selles eelnevalt ära share nime
$Perms = Get-SmbShareAccess -name <share name>.
2.2.2 Krüpteerimine
Kõigil füüsiliselt turvatud tsoonist väljaviidavatel (nt kodus töötamiseks kasutatavatel) sülearvutitel on
kohustuslik kasutada kogu kettasisu krüpteerimist.
Krüpteerimistarkvaral ei tohi olla turvaauke, mis võimaldavad parooli teadmata ja/või autentimisseadet
omamata juurdepääsu mistahes andmetele sülearvuti kettal.
2.2.2.1 Bitlocker
Tegemist on Microsoft Windowsi (alates Windows Vista versioonist) kaasatuleva funktsionaalsusega
terve volüümi krüpteerimiseks. Kasutakse AES krüpteerimist algoritmi mudelitega cipher block chaining
(CBC) või XTS 128-bitise või 256-bitise võtmega.
2.2.2.1.1 Seadistamine
Seadistamiseks on vaja kasutada Windows 10 Pro või Enterprise versiooni (Home versioon ei toeta).
Tulenevalt kasutatavast riistvarast on seadistamiseks võimalikud kombinatsioonid autentimiseks:
TPM kiibiga (alates versioonist 1.2) – ei vaja kasutaja sekkumist
TPM + PIN kood – kasutaja peab lisaks sisestama PIN-koodi
TPM + Võrgu võti – ei vaja kasutaja sekkumist
TPM + startup parool – kasutaja peab sisestama parooli
Startup parool – juhul kui puudub TPMi kiibi tugi ja kasutaja peab sisestama parooli.
Bitlocker võimaldab krüpteerida kas kogu kettapinna või ainult kasutuses oleva kettaruumi. Esimesel
juhul on protsess aeganõudvam, kuid turvalisem. Teisel juhul toimub krüpteerimisprotsess kiiremini,
kuid ei ole nii turvaline.
Bitlockeriga saab krüpteerida süsteemikettaid ja ka andmekettaid. Kuna Bitlocker loob boot faili
süsteemi boot volüümile, siis andmeketastel on valik juurde teha uus volüüm, kus vajalik BdeHdCfg.exe
bootfail talletada.
Bitlockeri taastevõtit/infot on võimalik seadistada sõltuvalt organisatsioonist ja seal kasutatavast
süsteemist:
Taastevõti talletatakse serveris AD arhitektuuris
Taastevõti talletakse mingil teisel kettal: võrguketas, USB-seade (soovitatav kaaluda nende
turvalisust/ligipääsetavust) – ei saa salvestada krüpteeritavale kettale.
2.2.2.1.1.1 Serverid ja kliendid AD arhitektuuriga
Bitlockerit saab integreerida Active Directory Domain Services’ga, mis pakub keskset võtmehaldust.
Vaikimisi ei ole taastamise info Active Directorysse seadistatud, kuid seda on võimalik seadistada.
Esmalt tuleb AD serverisse vajalikud moodulid paigaldada, seda on võimalik teha kas graafilise liidesega
või Powershelli käsurealt (nt kui on kasutusel Core versioon serverist).
2.2.2.1.1.1.1 Paigaldamine Windows serveri graafilises liideses
Server Manageri alt valida Add Roles and Features ja paigaldada features Bitlocker Drive Encryption
2.2.2.1.1.1.2 Mooduli paigaldamine Powershelli käsurealt
Saab paigaldada Sever Manageri või DISM mooduliga:
Install-WindowsFeature Bitlocker -IncludeAllSubFeature -IncludeManagementTools -Restart
Või
Enable-WindowsOptionalFeature -Online -FeatureName Bitlocker, Bitlocker-Utilities –All
2.2.2.1.1.1.3 Rühmapoliitika seadistamine, et Bitlockeri taaste info säilitataks Active Directorys
Esmalt avada serveris Group Policy Management (gpmc.msc) ja luua sinna uus poliitika sellele OUle, mis
sisaldab soovitud tööjaamu. Lisatud rühmapoliitika näidis nimega 6_Andmete_haldus_Bitlocker.
Poliitika võib näiteks nimetada „Bitlocker“ ning siis muuta poliitikas järgnevas asukohas Computer
Configuration->Policies->Administrative Templates->Windows Components->Bitlocker Drive Encryption->
Store Bitlocker Recovery information in Active Directory Domain Services
Sisse lülitada seadistus ning valida Bitlocker recovery information to store: Recovery passwords and key
packages
Seejärel valida süsteemi ketta alt (Operating System Drives) ja/või andmete ketta alt (Fixed Data Drives)
ning lülitada sisse järgmine seadistus: Require additional authentication at startup. Seadistada arvuti
käivitamisel parooli või USB-võtme küsimine, kui Bitlockeri jaoks ei ole sobivat TPM kiipi. Edasi määrata
järjekord, kui autentimine toimub TPM kiibi olemasolul.
Seejärel seadistada parameeter Choose how Bitlocker-protected operating system drives can be
recovered, lubada see ning lisada linnukesed sätetele, et lubada andmete taastamise agent ning
Bitlockeri taaste info säilitatakse AD DS (Save Bitlocker recovery information to Active Directory Domain
Services) ja Bitlokcerit ei lülitata sisse enne kui info on AD DSis olemas (Do not enable Bitlocker until
recovery information is stored to AD DS for operating system drives).
Soovitav on lubada ka täielik ketta krüpteerimine Enforce drive encryption type on operating system
Drives.
Edasi on vajalik krüpteerimise sisselülitamine tööjaamades, mida saab samuti teha näiteks
rühmapoliitikaga ja skriptiga, mis käivitab käsu:
manage-bde -on c: -rp
2.2.2.1.1.2 Seadistamine kliendis ilma AD-ta
Tulenevalt kasutatavast riistvarast on seadistamiseks võimalikud kombinatsioonid autentimiseks:
ainult TPM kiibiga (alates versioonist 1.2)
TPM + PIN-kood
TPM + parool
Parool (juhul kui riistvaral ei ole TPM kiibi tuge)
Bitlockeri krüpteeringut on võimalik sisse lülitada järgnevate meetoditega:
Bitlockeri juhtpaneelist
Windows Explorerist
Manage-bde käsurea liidesest (kuni Windows 8.1)
Bitlockeri Powershelli käsurealt
2.2.2.1.1.2.1 Bitlockeri seadmistamine Windows 10 juhtpaneelist
Kogu juhtpaneel
Bitlocker ketta krüpteerimine
Lülitada sisse Bitlocker
Seejärel luua parool ja salvestada taastevõti. Võtit ei saa salvestada krüpteeritavale kettale. Soovitatav
on see salvestada välisele USB pulgale, mis on omakorda krüpteeritud.
Valida kogu ketta krüpteerimine (soovitatav), on võimalik krüpteerida ka ainult kasutatud kettapind.
Viimane valik pole soovitatav, kuna kustutatud failid paigutatakse ketta krüpteerimata osale ning
senikaua kuni need ei ole üle kirjutatud, saab neid taastetööriistadega taastada.
Edasi alustada krüpteerimist.
Krüpteerimise mahavõtmiseks tuleb Bitlockeri juhtpaneelist valida selle väljalülitamine.
2.2.2.1.1.2.2 Bitlockeri seadistamine Windowsi Explorer aknast
Windows võimaldab otse Exploreri aknast paremklõpsuga soovitud kettal ketta krüpteerimise sisse
lülitada. Edasised valikud on samad nagu eelpool olevas punktis kirjeldatud.
Samuti on võimalik krüpteerimine paremkõpsuga välja lülitada.
2.2.2.1.1.2.3 Manage-bde käsurea liidesest
Näidis krüpteerimise lubamiseks TPM kiibiga:
manage-bde -on C:
Täpsemat teavet süntaksi ja käskude kohta saab siit: https://docs.microsoft.com/en-us/previous-
versions/Windows/it-pro/Windows-server-2012-R2-and-2012/ff829849(v=ws.11) (vt hardcopy
Andmete_haldus_16.pdf)
Sama käsurea liides võimaldab ka deaktiveerida:
manage-bde -off C:
2.2.2.1.1.2.4 Bitlockeri Powershelli käsurealt
Avada Powershelli käsurida ja käsuga Enable-Bitlocker C: saab aktiveerida Bitlockeri krüpteerimise,
täiendavate parameetritega saab tutvuda siin: https://docs.microsoft.com/en-
us/Powershell/module/Bitlocker/?view=win10-ps (vt hardcopy Andmete_haldus_17.pdf)
Powershelli Bitlockeri liides võimaldab krüpteerimist ka maha võtta: Disable-Bitlocker
2.2.2.1.1.2.5 Bitlockeri aktiveerimine ilma TPM kiibita arvutis
Selleks, et ilma TPM kiibita arvutis Bitlockeri krüpteerimist aktiveerida, on vaja teha muudatused Local
Group Policy Editoris:
Muudatused tuleb teha järgmises kohas: Computer Configuration -> Administrative Templates ->
Windows Components -> Bitlocker Drive Encryption -> Operating System Drives
Avada Require additional authentication at startup, lubada ja lisada linnuke Allow Bitlocker without a
compatible TPM (requires a password or a startup key on a USB flash drive).
Nüüd saab Bitlockeri paneelis krüpteerimise sisse lülitada, lahtilukustamiseks saab kasutada USB pulka
või parooli. Soovitav on kasutada USB pulka, kuna see on kasutaja jaoks mugavam kui veel ühe parooli
meeldejätmine. Edasine on eespool kirjeldatud.
2.2.2.2 Bitlocker To Go
Tegemist on Bitlockeri krüpteerimisega eemaldatavate ketaste nagu USB ketaste, SD kaartide, väliste
kõvaketaste ning teiste NTFS, FAT16, FAT32 või exFAT failisüsteemi ketaste puhul. Kettad, mis on
krüpteeritud Bitlocket To Go-ga, saab avada parooli või smart cardi kasutades Bitlocker ketta
krüpteerimise juhtpaneelis.
Seadistamine käib samuti Windows 10 juhtpaneelist, valides Bitlocker Drive Encrytion ning järgnevalt
soovitud välise andmeketta puhul Turn on Bitlocker.
Edasise valikuga määratakse, kas dekrüpteerimiseks kasutatakse parooli või smart cardi ja kuhu
taastevõti salvestatakse.
Järgnevalt valida kogu ketta (või ainult kasutatud osa) krüpteerimine ning New encryption mode
(Windows 10), vanemate süsteemide jaoks saab valida ka Compatible mode. Seejärel alustada
krüpteerimist.
Bitlockeri poliitikat saab määrata ka keskselt rühmapoliitikaga, täpsemalt saab selle kohta lugeda siit:
https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-
policy-settings (vt hardcopy Andmete_haldus_19.pdf).
2.2.2.3 Alternatiivid
Üks open-source lahendus on VeraCrypt, mis võimaldab terve ketta krüpteerimist ja on toetatud alates
Windows XP versioonist. Tegemist on kunagise TrueCrypt koodi edasiarenduse ja täiendusega.
Seadistamise kohta saab täpsemalt lugeda siit: https://www.howtogeek.com/howto/6169/use-
truecrypt-to-secure-your-data/ (vt hardcopy Andmete_haldus_20.pdf).
Üks tasuline variant on näiteks McAfee Complete Data Protection, mis võimaldab Bitlockeri halduse
enda McAfee ePO alla võtta ning importida juba Bitlockeriga kaitstud ketta taastevõtmeid ja
lisavõimalusi. Lähemat teavet saab siit: https://www.mcafee.com/enterprise/en-us/products/complete-
data-protection.html
AxCrypt võimaldab 256-bitist AES krüpteerimist, selle haldus on pilvepõhine ning sisaldab lisaks mitmeid
funktsionaalsusi, näiteks Password Manager. Täpsemalt saab lugeda siit:
https://www.axcrypt.net/information/features/
2.2.3 BIOS/ EFI paroolikaitse ja olulisemad seadistused
Tööjaamade turvalisuse tagamiseks on oluline seadistada arvutite BIOS selliselt, et kolmandatel
osapooltel poleks võimalik kasutaja failidele ega ettevõtte võrgule ligi pääseda.
Kui BIOS parool on seadistamata, saab arvuti käivitada mõnelt väliselt andmekandjalt. Kui puudu on ka
Bitlocker, pääseb väliselt andmekandjalt laetud operatsioonisüsteemist kasutaja failideni ning saab
muuta süsteemi sätteid, tekitada kasutajaid ja võtta administraatori õigused.
NB! Arvuti riistvara peaks olema selline, millel ei ole võimalik ka füüsiliselt BIOS sätteid taastada ega
BIOS parooli eemaldada, st et arvuti emaplaadil ei tohiks olla nuppe ega kontakte, mis võimaldaksid seda
teha.
Bitlocker seadistamine koos BIOS parooli ning alglaadimise järjekorraga (boot order) tagab tõkke ketta
failisüsteemile ning takistab sellel olevate failidega manipuleerimist. Soovimatute muudatuste
vältimiseks saab teha mõned BIOS muudatused:
1. Panna peale BIOS parool – siis ei saa kolmandad isikud muuta arvuti alglaadimise järjekorda.
2. Kasutada Legacy asemel (U)EFI laadimist– sellisel juhul ei ole alglaadimise järjekorda vaja ühtegi
seadet peale Windows Boot Manager kirje.
3. Lubada ja kasutada Secure Boot funktsionaalsust. Selle nõudeid ning täpsemat kirjeldust saab
lugeda Microsoft dokumentatsioonist: https://docs.microsoft.com/en-us/windows-
hardware/design/device-experiences/oem-secure-boot (vt hardcopy Andmete_haldus_21.pdf).
4. Võimalusel eemaldada alglaadimise järjekorrast kõik teised seadmed peale arvuti kõvaketta.
Uuemad arvutid suudavad (U)EFI abil laadida ka Windows operatsioonisüsteemi, isegi kui arvuti
kõvaketas ei ole alglaadimise järjekorras. Sellise seadistuse puhul ei saa arvutit enam ühegi teise
kõvaketta ega välise seadmega käivitada ega sellele ühtegi tarkvara ka ketta vahetuse puhul paigaldada
– arvuti muutub kolmandatele osapooltele täiesti kasutuskõlbmatuks.
BIOS kaudu saab keelata ka arvutite porte ning väliseid seadmeid. Ka need tuleks seadistada vastavalt
vajadustele.
Kõige täpsema juhendi nende seadistuste tegemiseks leiab emaplaadi tootja kasutusjuhendist.
Tüüpiliselt on nende seadistuste nimedeks: Boot Order, Master Password, Boot options, Supervisor
Password jms.
BIOSi pääsemine:
Üldjuhul pääseb arvuti BIOSi, kui käivitamisel olenevalt mudelist vajutada F2, F8, DELETE või ENTER.
Tihti on see ka arvuti käivitamisel mõnes servas näha, näiteks Lenovo puhul:
ENTER klahvi vajutamisel kuvatakse menüü, kus on näha, et BIOS sätete muutmiseks on vaja vajutada
F1.
BIOS sätetest saab muuta erinevaid arvutiseadistusi. Antud juhul on olulised Boot order ja type, mis
asuvad Lenovo puhul Startup lehel. Boot asub siin :
Selle avamisel kuvatakse alammenüü, kus saab tekitada soovitud järjekorra ja sellesse kirjeid lisada või
neid sealt eemaldada.
Ideaalne järjekord, kui arvuti seda lubab, on järgmine:
ESC klahviga tagasi minnes saab seadistada Security menüü alt Supervisor Password.
Samas asukohas on ka Secure Boot valik, kui arvuti seda toetab.
2.3 Andmete haldus pilves
Tänapäeval on pilveteenuste osakaal suurenenud – teenuste valik on laienenud ning pilveteenuste
algusaastatel esinenud probleemid (teenuse kättesaadavus, kiirus, stabiilsus ja turvalisus) on
vähenenud. Väiksematel asutustel on mõistlikum kasutada kõigi vajalike teenuste (meiliserver,
majandustarkvara, failiserver jms) jaoks pakutavaid pilveteenuseid, sest siis ei ole vaja eraldi serverit,
mis vajab hooldust ning haldamist.
Pilveteenused on kolme põhilist tüüpi IAAS, PAAS ja SAAS (vt ka ISKE M_4.462).
IAAS (Infrastructure as a Service) ehk infrastruktuur teenusena. IAAS puhul tagab pilveteenuse pakkuja
füüsilise infrastruktuuri (serverid, kettamassiivid, virtualiseerimisplatvorm, võrk jms) ning teenuse ostja
saab sinna luua oma serverid ning vastutab ise kõigi serverisiseste ressursside eest (OS, rakendused,
rakenduse andmed jne). Hinnastamine toimub tavaliselt tarbitud teenuse (kettakasutus, võrgukasutus,
mälukasutus jne) alusel. IAAS teenused on näiteks Microsoft Azure, Amazon AWS, Google Cloud
Platform jt.
PAAS (Platform as a Service) ehk platvorm teenusena. PAAS puhul haldab pilveteenuse pakkuja lisaks
füüsilisele infrastruktuurile servereid ka OS tasemel. Teenuse ostja saab tellida erinevaid rakendusi ja
neid seadistada kas teenuste või API kaudu ning hallata rakenduse andmeid. Kõik muu on
teenusepakkuja hallata. Hinnastamise aluseks on tavaliselt tarbitud teenus ja lisaks ka vahekihi haldus.
PAAS vähendab halduse keerukust, samas seab piirid seadistamisele. PAAS teenuse pakkujad on
tavaliselt samad kui IAAS teenuse pakkujad.
SAAS (Software as a Service) ehk tarkvara teenusena. Sellisel juhul pakub pilveteenuse pakkuja mingit
rakendust, mis on tema pilveplatvormil majutatud. Sellisel juhul on kogu alusplatvorm (füüsiline
infrastruktuur, serverid, alusrakendused nagu andmebaasid jne) teenusepakkuja hallata ning tarbija
saab kasutada ja mingil määral hallata rakendust ning rakenduse andmeid. Hinnastamismudel - tavaliselt
on kasutusel kasutajapõhine fikseeritud hind, st teatud hinna eest saab kasutaja teenuse teatud
funktsioone kokkulepitud mahus kasutada. SAAS näiteks on erinevad e-maili teenused (Office 365,
Zone), majandustarkvara (Directo, Erply, Hansaworld pilv), CRM jne.
Sobiv pilveteenus tuleb valida vastavalt asutuse vajadustele ning avalike asutuste puhul lähtuvalt riigi
seadusandlikest nõuetest ja teenuse võimalusest neile nõuetele vastata. Täpsemalt saab pilveteenuse
kasutuselevõtu soovitustest lugeda ISKE moodulist B 1.17. Ka RIA on selle teema kohta juhendi
koostanud: https://www.ria.ee/sites/default/files/content-editors/ISKE/avalike-pilvede-kasutamise-
juhend.pdf (vt hardcopy Andmete_haldus_22.pdf).
2.3.1 Pilveteenuse riskid ja turvalisus
Põhilised riskid pilveteenuste kasutamisel on järgnevad:
1. Teenuse kättesaadavus - looduskatastroofid, teenuse seadistamise teenusepakkuja poolne viga,
teenusepakkuja pankrot vms võivad põhjustada olukorra, kus teenus pole kättesaadav ning
teenuse tellijal pole olukorra parandamiseks võimalik midagi teha. Näiteks:
https://www.bleepingcomputer.com/news/microsoft/microsoft-365-suffers-massive-two-day-
outage-outlook-and-exchange-down/ (vt hardcopy Andmete_haldus_23.pdf).
2. Kontode turvalisus – kasutajate haldus võib toimida teistmoodi ning korraliku kasutajapoliitika
puudumisel võib kasutajatele jääda liiga palju õiguseid või töölt lahkudes säilida ligipääs. Kuna
teenused on pilves, on need tavaliselt kõikjalt kättesaadavad ning häkkeritele ja pahatahtlikele
inimestele kergem sihtmärk. Näiteks: https://thehackernews.com/2019/04/microsoft-outlook-
e-mail-hack.html (vt hardcopy Andmete_haldus_24.pdf).
3. Andmeleke – kuna teenused asuvad sama alusinfrastruktuuri peal, on võimalik, et keegi proovib
pahatahtlikult oma virtuaalkeskkonnast teiste klientide teenustele ligi pääseda või see juhtub
mõne seadistuse vea tõttu.
4. Andmekadu – looduskatastroofid, seadistuse vead või pahatahtlik tegevus võivad viia olukorrani,
kus kõik andmed lähevad kaduma ja neid ei ole võimalik enam taastada. Näiteks
https://krebsonsecurity.com/2019/02/e-mail-provider-vfe-mail-suffers-catastrophic-hack/ (vt
hardcopy Andmete_haldus_25.pdf).
Mida vähem on võimalusi teenuseid hallata, seda vähem on võimalusi ka turvalisuse sätteid seadistada.
IAAS puhul on võimalik loodud serveri sätteid seadistada nagu tavalise Windows serveri puhul ja
tavaliselt ka ligipääse hallata, et server oleks kättesaadav ainult sisevõrgust näiteks üle IAAS
teenusepakkuja ning asutuse vahelise IPSec tunneli. Tavaliselt on seda võimalik seadistada ka PAAS
puhul, kuid SAAS on üldjuhul üle võrgu kõigile kättesaadav ja kõige suurem seadistusvõimalus on see, et
saab nõuda SSL ühendust ning kaheastmelist autentimist.
Üldised soovitused pilveteenuse turvaliseks kasutamiseks on:
1. Peale sobiva pilveteenuse valikut luua poliitikad, mis määravad, kuidas andmeid säilitatakse,
kuidas käib kasutajate haldus, kuidas käib üldine haldus, milliseid teenuseid kasutatakse jne.
2. Andmevahetus asutuse ja pilveteenuse vahel peab toimuma üle turvalise kanali. IAAS ja PAAS
lahenduse puhul soovitame ligipääsu piirata üksnes liiklusega sisevõrgust ja nii, et see toimuks
võimalusel kahe asukoha vahel üle IPSec tunneli. Kui teenustel on avalik veebiliides, siis sinna
ligipääs peab olema üle HTTPS-i. Ka teenuse haldusliidese ligipääs peab kindlasti olema üle
HTTPS-i. Kui HTTPS-i sertifikaati on võimalik ise seadistada, siis tuleb valida selleks
üldusalduväärne sertifikaat (osad lahendused võivad seda ka kohe nõuda), aga suuremal osal
juhtudest on sertifikaat teenusepakkuja määratud.
3. Võimaluse korral seadistada paroolipoliitika vastavalt oma asutuse nõuetele. IAAS puhul saab
majutuses olevatele Windows serveritele paroolinõudeid samamoodi rakendada kui lokaalsetele
serveritele. Ka PAASil on tavaliselt rohkem seadistusvõimalusi vastavalt rakenduste
võimalustele, kuid SAASi võimalused on tihtipeale piiratud ja on võimalik, et paroolipoliitikat ei
saa tehniliselt rakendada või peab kasutama üldiseid nõudeid, mis on teenusepakkuja poolt
määratud (kindlad paroolinõuded antud tarkvara puhul, parooli aegumist ei saa nõuda jne). Kui
automaatset parooli muutmist ei ole võimalik seadistada, tuleb seda kasutajatele meelde
tuletada ning parooli muutmist nõuda. Eriti tähtis on see kasutajate puhul, kellel võib olla
rakenduses rohkem õigusi, näiteks peakasutaja, süsteemiadministraator jne.
4. Kui ligipääs pilveteenusele käib üle avaliku Interneti, peab MFA olema sisse lülitatud nii
administraatorkasutajatel kui tavakasutajatel juhul, kui teenusele proovitakse ligi pääseda
väljastpoolt lubatud seadmeid. Domeeniarvutis ei pea tavakasutaja MFA-d kasutama, aga kui ta
üritab ligi pääseda koduarvutist, peab see olema kohustuslik. Vt täpsemalt peatükk MFA.
5. Lülitada välja funktsionaalsused, mida pole vaja. Pilveteenustel võib vahel olla funktsionaalsusi,
mida vaja pole. Eriti esineb seda SAAS puhul (näiteks Office 365 IMAP/POP3). Sellisel juhul tuleks
need võimalusel välja lülitada, sest kui neid ei kasutata, võidakse need unustada. Nende
turvanõuded võivad olla ka väiksemad, nende kaudu võivad olla avatud ligipääsud, mis mujalt on
kinni ning seetõttu on sellised funktsionaalsused pahatahtlikele inimestele atraktiivne
ründekoht.
6. Andmeid kuhugi lokaalselt varundada. Kuna pilveteenuste riskid on seotud teenuse
kättesaadavuse ja andmete kaoga, on tähtis, et andmeid varundatakse ka kusagile lokaalselt, et
teenuse rikke korral oleksid need kättesaadavad ja taastatavad.
2.3.2 Office 365 ja G Suite
SAAS pilveteenuste puhul on väga populaarsed erinevad lahendused, mis pakuvad kasutajatele
võimalust oma andmeid pilves hoida, neid teiste kasutajatega jagada ning ka koos faile muuta.
Ettevõtetes on laialdaselt kasutusel Office 365 ja G Suite, mis pakuvad pilves andmete hoidmist,
koostöövõimalusi ja e-maili (lisaks on tuntud ka Dropbox, iCloud, Nextcloud jne).
Andmete hoidmiseks ja jagamiseks pakub Office 365 rakendusi nagu OneDrive for Business, Microsoft
Teams ja Sharepoint Online. Nii OneDrive kui ka Microsoft Teams asuvad Sharepoint Online’l.
G Suite pakub andmete hoidmiseks ja jagamiseks Google Drive’i ja Team Drive’i.
Nende lahenduste turvalisuse hindamisel tasub mõelda järgmistele teemadele:
1. Paroolipoliitika.
Ka Office 365 ja G Suite teenuste kasutamiseks tuleks rakendada samad paroolinõuded kui
lokaalsetes süsteemides. Võimalik, et parooli keerukust tasub suurendada, sest teenuste ligipääs
on kõikjalt, mis tähendab, et teenused on kergem sihtmärk rünnakutele. G Suite paroolinõuete
kehtestamise juhend: https://support.google.com/a/answer/139399?hl=en (vt hardcopy
Andmete_haldus_26.pdf). Office 365 ja Azure AD paroolipoliitika on kindlalt määratud
https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-sspr-policy (vt
hardcopy Andmete_haldus_27.pdf) ning muuta saab ainult parooli aegumisega seonduvat.
Selleks, et paroolipoliitika oleks üle võrgu ühtlasem, soovitame siduda lokaalse AD kontod Office
365 või G Suite kontodega. Office 365 ja lokaalse AD kontod saab sünkroniseerida Azure AD
Connect tööriistaga https://www.codetwo.com/admins-blog/how-to-sync-on-premises-active-
directory-to-azure-active-directory-with-azure-ad-connect/?sts=4112 (vt hardcopy
Andmete_haldus_28.pdf). G Suite ja lokaalse AD kontod saab sünkroniseerida kasutades GSPS
tööriista https://support.google.com/a/answer/2611842?hl=en
Nii Office 365 kui ka G Suite puhul soovitame kõrgemate õigustega kasutajatel sisse lülitada
mitmeastmeline autentimine:
1. Office 365 juhend https://docs.microsoft.com/en-us/Office 365/admin/security-and-
compliance/set-up-multi-factor-authentication?view=Office 365-worldwide (vt hardcopy
Andmete_haldus_29.pdf)
2. G Suite juhend
https://support.google.com/cloudidentity/answer/175197?hl=en&ref_topic=2759193&visit
_id=636908479939567405-1025730311&rd=1 (vt hardcopy Andmete_haldus_30.pdf)
2. Failide ligipääsu ning jagamise õigused.
Failide pilve laadimisel tuleb ka failiõigused samamoodi planeerida kui lokaalses serveris. Samuti
tuleb arvestada teiste kasutajatega jagamise õigustega, mis kasutajatel on. Office 365 ja G Suite
puhul võivad kasutajad faile, millele nad ligi pääsevad, jagada kõigile ka nii, et sisselogimist ei ole
vaja. Juhend nende sätete muutmiseks on siin: https://docs.microsoft.com/en-
us/OneDrive/manage-sharing (vt hardcopy Andmete_haldus_31.pdf). Ka G Suite puhul pole
jagamine vaikimisi piiratud. Juhend G Suite sätete muutmiseks on siin:
https://support.google.com/a/answer/60781?hl=en (vt hardcopy Andmete_haldus_32.pdf) ja
https://support.google.com/a/answer/7662202?hl=en (vt hardcopy Andmete_haldus_33.pdf).
Samuti nagu lokaalse failiserveri puhul, peaks ka pilves olevate andmete kasutamiseks sisse
lülitama auditeerimise. Juhend Office 365 auditeerimise sisse lülitamiseks on siin:
https://support.microsoft.com/en-us/help/4026501/office-auditing-in-office-365-for-admins (vt
hardcopy Andmete_haldus_34.pdf) ja G Suite auditi logi lugemise juhend on siin:
https://support.google.com/a/answer/4579696?hl=en (vt hardcopy Andmete_haldus_35.pdf).
3. Andmete lokaalne sünkroniseerimine.
Nii Office 365 kui ka Google Apps pakuvad tarkvarasid andmete arvutisse sünkroniseerimiseks.
Office 365 puhul on selleks OneDrive for Business Sync Client, millega saab faile sünkroniseerida
nii OneDrive, Teams kui ka Sharepoint Online lehtedelt. Google Apps puhul on selleks Drive File
Stream (et see oleks lubatud, tuleb see eraldi sisse lülitada
https://support.google.com/a/answer/7496409 vt hardcopy Andmete_haldus_36.pdf), mis
võimaldab sünkroniseerida nii Google Drive’i kui ka Team Drive’i faile. Mõlema tarkvara puhul
luuakse failide pilvega sünkroniseerimisel turvaline kanal ja see on AES256-ga krüpteeritud.
Soovitav on piirata seadmeid, millelt saab arvutisse faile sünkroniseerida. Office 365 puhul on
võimalik sünkroniseerimist piirata ainult domeeni arvutitega https://docs.microsoft.com/en-
us/OneDrive/allow-syncing-only-on-specific-domains (vt hardcopy Andmete_haldus_37.pdf).
3 Tarkvara haldus
Turvalisuse tagamiseks ning turvanõrkuste vähendamiseks või eemaldamiseks on oluline hoida
operatsioonisüsteem ja sellele paigaldatud tarkvara värske ning ajakohasena. Windows keskkonna
paikamiseks ja tarkvara paigaldamiseks on võimalikeks vahenditeks Windows Server Update Services
(WSUS) ja System Center Configuration Manager (SCCM). Rühmapoliitikaga on samuti võimalik
lihtsamaid MSi pakette paigaldada (vaata igapäevases praktikas kasulikuks osutunud GPOd Windows 10
tööjaamadele / Tarkvara paigaldamine rühmapoliitika abil).
Kolmanda osapoole lisana saab kasutada WSUS Package Publisher nimelist laiendust WSUS serverile, mis
annab lihtsustatud võimaluse tarkvara keskselt paigaldada ja uuendada. Samuti on tarkvara paikamise ja
operatsioonisüsteemi värskenduste haldus sisse ehitatud enamikesse viirusetõrje tarkvaradesse ning on
tihti ka keskselt hallatav.
Selleks, et paremini teada, millised seadmed võrgus vajavad kaitset ning mis nõrkused võivad esineda,
on tähtis omada oma varadest ülevaadet. Selleks tasub teha nii tarkvara kui ka riistvara inventuuri ning
hoida seda pidevalt ajakohasena. Kuna käsitsi inventuuri tehes võib esineda vigu (mõni seade/tarkvara ei
lähe kirja, pannakse valesti kirja jne) ning see on ka väga ajamahukas, on mõistlik kasutada
automaatseid inventuuri tööriistu. Näiteks pilve- ja internetipõhistest lahendustest Microsoft Intune,
mis peaks osaliselt asendama SCCM, vabavaralistest OCS-NG (https://www.ocsinventory-ng.org), mille
abil saab koguda seadme tarkvara, riistvara ja seadistuste kohta informatsiooni üle võrgu, Spiceworks
(https://www.spiceworks.com/), mis lisaks eelmisele kogub informatsiooni ka võrguseadmete kohta.
Alla 100 seadme puhul võiks sobida ka Lansweeper’i tasuta versioon (https://www.lansweeper.com/).
Turvalisus on protsess. Automaatika seadistamine tarkvara ja opertsioonisüsteemi turvanõrkuste
parandamiseks ei tähenda, et kõik on automaatselt kaitstud. Pidevalt tuleks jälgida, et paikapandud
automaatika toimiks ning uuendused paigaldataks piisavalt kiiresti. Samuti tuleks pidevalt jälgida,
millised turvanõrkused on välja tulnud ning millistele ei ole veel parandusi. Mõned head kohad selleks
on näiteks:
https://cve.mitre.org/
https://www.securityfocus.com/
https://portal.msrc.microsoft.com/en-us/security-guidance
Automaatsel paikamisel tuleks arvestada ka riskidega. Kõige värskemate uuendustega võivad kaasneda
ka uued tarkvaravead. Tarkvara paikamisel tuleks kindlasti luua selline töövoog, mille käigus testrühmal
on piisavalt aega uuendused läbi testida ja leida võimalikud lahendused või tööd takistavad uuendused
paigaldamata jätta enne kui uuendused jõuavad kõikidele seadmetele. Uuenduste ajastamisel tuleks
arvestada kasutajate tööajaga ning informeerida kasutajaid, et nad saaksid arvestada uuendustest
tingitud võimalike katkestustega.
3.1 Windows Server Update Services
Windows Server Update Services paigaldamisel tuleks lähtuda olemasolevatest ressurssidest ning
hallatavate arvutite kogusest. WSUS andmebaas on SQL ning seda on võimalik paigaldada nii eraldiseisva
SQL serveri peale kui Windows Internal Database peale. Eraldiseisva SQL serveri eelis on kiirem teenus
ning hajutatud koormus, miinusena võib tuua litsentsi olemasolu vajaduse, sest andmebaas kasvab väga
kiiresti üle vaba litsentsi piirangu (10GB). Sisseehitatud (WID) andmebaasi puhul on mahupiirang
oluliselt suurem ning reeglina selleni ei jõuta, kui korralised hooldused ja puhastused on korrektselt
seadistatud. WID andmebaasi miinuseks võib lugeda seda, et kogu koormus on ühel serveril ning
seetõttu on teenus tervikuna veidi aeglasem.
WSUS teenust ei tohiks paigaldada ADDS teenustega samasse serverisse, sest see võib pärssida ADDS
teenuse tööd või sattuda konflikti nende teenuste andmebaasidega. Serverile, kus on paigaldatud WSUS,
ei tohiks teha in-place upgrade’i, sest WSUS on igas serveriversioonis erinev ning alusserveri upgrade ei
ole toetatud. Enne serveri upgrade’i tuleb WSUS teenus eemaldada ja peale upgrade’i see uuesti
paigaldada.
Turvapaikade planeerimist on käsitletud ISKE kataloogis M2.421.
3.1.1 WSUS teenuse paigaldamine ja seadistamine
WSUS teenuse paigaldamine toimub sarnaselt teistele teenustele Windows Server Manager'ist Add
Windows roles and features kaudu.
Powershell kaudu installeerimiseks koos sissehitatud andmebaasiga saab kasutada käsku:
Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools
Server Managerist tuleb valida menüüst Manage -> Add roles and features. Avanenud viisardist
navigeerida edasi ning teha rollide alt vastav valik:
Rolli valides pakutakse automaatselt kõik sõltuvad teenused ja haldusvahendid. Vaikimisi valikud
sobivad, seega midagi muuta pole vaja ning vajutada tuleb Add Features.
Vahepealseid valikud pole vaja muuta, seega navigeerida edasi kuni punktini Role services.
WSUS rollide alt on vaikimisi valitud WSUS Services ja WID teenus, siin valitud WID on eelnevalt
kirjeldatud andmebaasi tüüp. Kui andmebaasi soovitakse paigaldada mõnda teise serverisse, tuleks WID
asemel valida SQL Server Connectivity.
Juhul kui valida SQL Server Connectivity, küsitakse järgmises etapis SQL serveri nime ja instance’i. SQL
server instance’is peab WSUS teenust paigaldaval kasutajal olema õigus luua uus andmebaas ning
määrata sellele õiguseid. WSUS serveril võiks olla täiesti oma SQL instance.
Content viitab asukohale, kuhu laetakse alla ja hoitakse WSUS teenusega seotud tarkvarapakette ning
Windowsi uuendusi. Windowsi uuendused on küllaltki mahukad, seega võiks Windows 10 ja Windows
Server 2016 uuenduste hoiustamiseks ruumi olla vähemalt 50GB ulatuses (soovitatavalt 100GB või
rohkem) ja seda kohas, mida on võimalik vajadusel lihtsasti suurendada. Asukohaks võib olla ka
võrgukaust.
Viimaseks sammuks on Confirmation. Siit saab näha väljavõtet kõikidest valikutest ja ainus valik edasi on
Install.
Kui paigaldamine on lõppenud, on Server Manageri staatuse ikooni juures näha kollane kolmnurk ning
sellele klikkides valik Start post-installation tasks, mille peale tehakse vajalikud teenused, eelnevalt
määratud WSUS kausta sisu ja pannakse teenused käima.
Post-installation seadistusi ning Content asukoha muudatust on võimalik käivitada ka käsurealt:
cd "C:\Program Files\Update Services\Tools" .\wsusutil.exe postinstall CONTENT_DIR=C:\WSUS
3.1.2 Paigaldusjärgne seadistamine
Kui paigaldamine on lõppenud, saab Server Manager Tools menüüst avada Windows Server Update
Services haldusvahendi.
Esimesel korral avaneb viisard, kus küsitakse kõikvõimalike sünkroniseerimise sätete kohta.
Esimesed kaks lehte on sissejuhatus, teenuse kirjeldus ning muu eelinfo ja alles kolmandal lehel näeme
esimest valikut Upstream Server. Siin tuleb valida Synchronize from Microsoft Update. Teine valik on
juhuks, kui on olemas üks kõrgema taseme WSUS server, millest tahetakse uuendusi edasi
sünkroniseerida.
Juhul, kui ettevõte peab Internetti pääsemiseks kasutama proksit, tuleb see määrata järgneval lehel.
Peale internetiühenduse loomist tuleb teha esmane sünkroniseerimine, et laadida alla toodete ja
klassifikatsioonide nimekiri.
Juhul, kui tulemüüris on ranged piirangud, tuleks kontrollida, et WSUS serveril oleks lubatud suhelda
järgmiste aadressidega:
http://Windowsupdate.microsoft.com
http://*.Windowsupdate.microsoft.com
https://*.Windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.Windowsupdate.com
http://download.Windowsupdate.com
https://download.microsoft.com
http://*.download.Windowsupdate.com
http://wustat.Windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
https://dl.delivery.mp.microsoft.com
WSUS seadistus saab teha ka PowerShell kaudu, täpsemad käsud siin docs.microsoft.com/en-
us/powershell/module/wsus/index?view=win10-ps, vt Tarkvara_haldus_4.pdf
3.1.3 Tooted ja klassifikatsioonid
Kui esmased toodete ja klassifikatsioonide nimekirjad on alla laetud, tuleb hakata valima tooteid, millele
WSUS uuendusi pakkuma hakkab.
Eesmärk on valida võimalikult vähe, aga samas kõik nõutav, et arvutid saaks kätte vajalikud uuendused.
Mida rohkem valida, seda rohkem võtab WSUS ruumi ja tekitab suuremat koormust.
On väga palju erinevaid Windows 10 versioone ning tuleks teada kõiki kasutuselolevaid versioone või
teha üldisemad valikud, et kõik versioonid oleks kaetud.
Näiteks valik Windows 10 ja Windows 10 and Later Drivers on üldised valikud kõikide Windows 10
versioonide jaoks.
Üldiselt ei ole WSUS kaudu draiverite paigaldamine soovituslik. Neid on oluliselt rohkem kui muid
uuendusi ning tuleks läbi mõelda, kas neid on vaja pidevalt alla laadida. Näiteks kui arvutitele
paigaldatakse operatsioonisüsteem enne domeeni liitmist, saab draiverid kõik enne kätte ning neid ei
ole vaja WSUS kaudu paigaldada. Samuti saab draiverite viimased versioonid üldiselt kätte tootjate
kodulehtedelt.
Muud Windows 10 versioonid ja nende tähendused:
Windows 10 Dynamic Update: selle valiku alla käivad uuendused, mida laeb alla ja paigaldab Windows Setup – neid on vaja ainult arvuti upgrade protseduuril ja puhtal paigaldamisel.
Windows 10 GDR-DU: praegu kõige viimase Windows 10 versiooni dünaamilised uuendused.
Windows 10 […] Upgrade & Servicing Drivers: nagu esimene siin nimekirjas, on need versioonivahetuse ja paigaldamise ajal driverite allalaadimiseks ja paigaldamiseks.
Language Packs: keelepakettide uuendused nii jooksvalt kui Windows Setup’i ajal.
Windows 10 Feature On Demand: kõikvõimalikud lisad Windows operatsioonisüsteemile, mida paigaldatakse Add-, Remove Windows Features kaudu. Näiteks .NET 3.5, telnet client, subsystem for linux jms.
Windows 10 GDR-DU FOD: sama, mis eelmine, aga ainult kõige uuema Windows 10 versiooni jaoks.
Klassifikatsioonid on pisut lihtsamini arusaadavad ning siin võiks valida kõik, mis on kriitiline ja
turvauuendused. Selleks, et muud parandused järgi jõuaksid, võiks lisaks valida Update Rollups, Service
Packs. Feature Packs tähendab uusi Windowsi versioone.
Järgmises etapis saab valida, mis kellaajal ja mitu korda päevas WSUS andmebaasi sünkroniseerimist
(sealhulgas uuenduste kontroll ja allalaadimine) tehakse.
Esialgu tuleks jätta initial synchronization tegemata. Seda saab hiljem teha haldusliidesest või oodata
eelnevalt valitud aega.
Kindlasti tuleb see valik jätta tegemata juhul, kui on soov seadistada WSUS nii, et tööjaamad laevad
uuenduspaketid alla otse Microsofti serveritest, mitte ei salvestata neid WSUS serverisse.
Viisardi lõpus antakse veel mõned lingid Microsofti-poolsetele soovitustele ning seadistamise juhistele.
Kui seadistusviisard on lõpetanud, avaneb Finish nupu vajutamisel Update Services halduspaneel.
3.1.4 Uuenduste piirangud
Vaikimisi ei lubata arvutitel paigaldada ühtegi uuendust, nende uuenduste lubamiseks tuleb teha
Approval Rule WSUS halduspaneelist Options -> Automatic Approvals.
Sinna võiks teha igale grupile reegli ning valida soovitud kriteeriumid:
Need reeglid käivitatakse koos sünkroniseerimistöödega, seega kui seal teha muudatusi, tuleks kohe
vajutada ka Run Rule, et see rakendataks eelnevatele uuendustele, mis võivad olla juba järjekorras.
Seda on võimalik teha ka powershell käsu kaudu docs.microsoft.com/en-us/powershell/module/wsus/approve-wsusupdate?view=win10-ps vt Tarkvara_haldus_5.pdf.
3.1.5 Arvutite lisamine ja grupeerimine
WSUS seadistamisel tuleks arvutid ja serverid grupeerida vastavalt vajadusele, et saavutada uuenduste
ja tarkvara paigaldamisel grupipõhine kontroll.
Näiteks:
Arvutid
Terminalid
Serverid
Domeenikontrollerid
Tihti on terminaliserverites kasutusel tarkvara, mida ülejäänud serverites ei ole, seetõttu võiks need olla
eraldi grupis.
Arvuteid ja servereid saab grupeerida kahel viisil:
A. Käsitsi WSUS serveris õigesse gruppi tõsta
B. GPO abil WSUS grupp määrata
Mõlemal puhul tuleb grupid käsitsi ette ära teha, GPO kaudu arvutile WSUS grupi määramine ei tekita
uut gruppi. Samuti tuleb vastav valik määrata Options -> Computers sätete alt:
Antud seadistust on võimalik teha ka PowerShell abil käsuga Add-WsusCompute. Täpsemalt käsu ja
parameetrite kohta saab infot aadressilt docs.microsoft.com/en-us/powershell/module/wsus/add-
wsuscomputer?view=win10-ps vt Tarkvara_haldus_7.pdf.
3.1.6 Arvutite käsitsi lisamine
Käsitsi lisamiseks tuleb arvutites tekitada või muuta järgnevad registrivõtmed:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Võti Andmetüüp Väärtus
DisableWindowsUpdateAccess Reg_DWORD 1 = Keelab Windowsi uuendused
0 = Lubab Windowsi uuendusi (vaikimisi valik)
WUServer Reg_SZ HTTP(S) aadress WSUS serverile, sama väärtus
tuleks sisestada WUStatusServer võtmele
(vaikimisi puudub = Windows Online Update)
WUStatusServer Reg_SZ HTTP(S) aadress WSUS serverile, sama väärtus
tuleks sisestada WUServer võtmele
(vaikimisi puudub = Windows Online Update)
TargetGroupEnabled Reg_DWORD 0 = Ära kasuta WSUS’is määratud gruppe
(vaikimisi valik)
1 = Kasuta WSUS’is määratud gruppe
TargetGroup Reg_SZ WSUS’is ette tehtud grupi nimi
(vaikimisi puudub)
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Võti Andmetüüp Väärtus
AUOptions Reg_DWORD 2 = Teavita enne allalaadimist.
3 = Lae automaatselt alla, aga teavita paigaldamisest.
4 = Lae alla ja paigalda automaatselt. Töötab vaid siis, kui
võtmete ScheduledInstallDay ja ScheduledInstallTime väärtused
on olemas.
5 = Uuendamine on nõutud, kuid kasutaja saab sätted määrata.
NoAutoUpdate Reg_DWORD 0 = Luba automaatne uuendamine.
(vaikimisi valik)
1 = Keela automaatne uuendamine.
UseWUServer Reg_DWORD 1 = Arvuti võtab uuendused WSUS serverist.
Peab olema määratud kui kasutatakse WSUS serverit.
0 = Arvuti võtab uuendused Microsoft Update’i kaudu
(vaikimisi valik).
3.1.6.1 Näide
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Võti Andmetüüp Väärtus
WUServer Reg_SZ http://WSUS.ssh.lan:8530
WUStatusServer Reg_SZ http://WSUS.ssh.lan:8530
TargetGroupEnabled Reg_DWORD 1
TargetGroup Reg_SZ Arvutid
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Võti Andmetüüp Väärtus
AUOptions Reg_DWORD 4
UseWUServer Reg_DWORD 1
3.1.7 Arvutite lisamine rühmapoliitika abil
Arvutite määramine erinevatesse gruppidesse eeldab, et OU, kuhu Group Policy link tehakse, sisaldab
ettenähtud arvuteid või on Group Policy objektil filter nii, et see rakenduks vaid ettenähtud arvutitele.
Lisatud on rühmapoliitikate näidis nimega 7_Tarkvara_WSUS.
NB! WSUS server ise peaks uuendused saama Windows update’i kaudu ning antud GPO ei tohiks WSUS
serverile rakenduda.
Rühmapoliitika sätted, mida on vaja lubada ja muuta, et WSUS serveri kasutamine klientidele rakenduks:
Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Update
Policy Status Settings
Configure Automatic Updates Enabled Configure automatic updating:
4 - Auto download and schedule
the install
Install during automatic
maintenance: Enabled
Scheduled install day: 4 - Every
Wednesday
Scheduled install time: 03:00
Install updates for other
Microsoft products: Disabled
Enable client-side targeting Enabled Serverid
Specify intranet Microsoft
update service location
Enabled Set the intranet update service
for detecting updates:
http://WSUS.ssh.lan:8530
Set the intranet statistics server:
http://WSUS.ssh.lan:8530
Set the alternate download
server:
Download files with no Url in
the metadata if alternate
download server is set: Disabled
3.1.7.1 Näide
Rühmapõhiselt rakendatud poliitika serveritele:
OU-põhine (rakendub kõikidele arvutitele ja serveritele kindlas OUs ja selle all)
Sätte võib defineerida kõik samas rühmapoliitika objektis või jaotada osadeks nii, et üldised sätted
(Configure Automatic Updates, Specify intranet Microsoft update service location) rakenduvad kõigile,
kuid näiteks Enable client-side targeting on erinevatele gruppidele või OUdele erinev.
Peale rühmapoliitika rakendumist ja esimest uuenduste kontrolli ning klientide raporteerimist ilmuvad
serverid ja tööjaamad WSUS halduspaneelis nähtavale. Arvutid, mis saavad küll WSUS asukoha sätted,
aga mitte Enable client-side targeting poliitikat (või kui näiteks viimases on kirjaviga), ilmuvad
Unassigned Computers nimelisse rühma.
Kui kõik on korrektselt seadistatud, peaks arvutid WSUS kaudu uuendused kätte saama ja need
paigaldama:
3.1.8 SSL/HTTPS seadistamine
Arvutid vajavad WSUS serveriga suhtlemiseks ligipääsu WSUS serverile kahel pordil: HTTP (port 8530) ja
HTTPS (port 8531).
WSUS teenus kasutab SSL ühendust ainult metaandmete edastamiseks. Uuendusfailid tulevad üle
krüpteerimata HTTP samamoodi nagu tavapärased Windows uuendused Microsoftilt. Uuenduste
kaitsmiseks üle HTTP kasutatakse pakkide allkirjastamist WSUS teenuse poolt ning metaandmetesse
kaasatakse räsi. Kui allalaetud paki arvutatud räsi ja metaandmetes olev räsi ei kattu, siis uuendust ei
paigaldata.
SSL kasutamine tõstab krüpteerimise tõttu WSUS serveri koormust umbes 10% võrra.
SQL ühendus WSUS serveri ja andmebaasi vahel ei ole krüpteeritud. Andmebaas peaks turvalisuse
huvides asuma kas WSUS serveris või andmebaasi ja WSUS vaheline suhtlus peaks käima läbi eraldatud
võrgu.
SSL kasutamisel vajab WSUS kahte porti – HTTPS porti metaandmete jaoks ning HTTP porti
uuenduspakettide jaoks. Pordi määramisel tuleb arvestada, et:
Tavapärase HTTPS pordi (443) kasutamisel kasutab WSUS HTTP pordina tavapärast porti (80).
Kõikide muude portide puhul määrab WSUS ise HTTP pordiks ühe numbri võrra väiksema pordi,
näiteks vaikimisi pordid HTTP 8530 ja HTTPS 8531.
Kõigepealt tuleb WSUS serverile teha sertifikaat, kas self signed või domeeni CA poolt. SSL
aktiveerimiseks tuleb minna WSUS serveri käsureal asukohta:
%ProgramFiles%\Update Services\Tools\
ning sisestada järgnev käsk:
WSUSutil configuressl certificateName
kus certificateName on WSUS serveri DNS nimi (sama mis sertifikaadil CN)
Seejärel lisada sertifikaat IIS’is WSUS Administration saidi HTTPS pordile:
SSL sundimisel tuleb arvestada, et kõikidele WSUS’i IIS virtuaalsetele kataloogidele ei tohiks sundida SSL
ühendust, sest WSUS krüpteerib ainult metadata osa ja ülejäänud ühendused ei õnnestu.
SSL ühenduse võib sundida järgmistele virtuaalsetele kataloogidele IIS’is:
SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
APIremoting30
ClientWebService
SSLi ei tohiks sundida järgmistele kataloogidele:
Content
Inventory
ReportingWebService
SelfUpdate
IIS Manageris SSLi sundimiseks tuleb valida vastav virtuaalne kataloog, selle alt valida SSL Settings:
Panna linnuke Require SSL ette:
WSUS SSL ühenduse sertifikaat või selle väljastaja sertifikaat (CA) tuleb importida arvutite ja WSUS
serverite Trusted Root CA kataloogi – seda saab teha käsitsi MMC või keskselt rühmapoliitika abil.
Lisatud rühmapoliitika näidis nimega 8_Tarkvara_WSUS_WSUSSertifikaat.
Computer Configuration -> Polices -> Windows Settings -> Security Settings -> Public Key polices
Kui WSUS server on seadistatud kasutama SSLi, siis arvutites tuleb arvestada, et:
WSUS serveri sätetes (Regiter või GPO) peab olema WSUS serveri aadress määratud veebiaadressina
koos protokolliga, näiteks:
WSUS SSL port 8531 puhul on aadress: https://WSUS.ssh.lan:8531
WSUS SSL port 443 puhul on aadress: https://WSUS.ssh.lan
WSUS SSL port 1234 puhul on aadress: https://WSUS.ssh.lan:1234
WSUS serveris kasutatav sertifikaat peab olema arvutite poolt usaldatud. Sertifikaat või selle väljastaja
sertifikaat tuleb lisada arvuti sertifikaatide kataloogi:
Local Computer/Trusted Root Certificaton Authorities
3.1.9 Andmebaasi puhastamine
WSUS andmebaasi puhastamine vanast uuenduste ja arvutite infost on väga oluline. Kui see jääb pikaks
ajaks tegemata, võib andmebaas niivõrd palju kasvada, et WSUS halduspaneel enam ei avane ja
andmebaasi puhastamine WSUS enda vahenditega ei õnnestu. Sellisel juhul tuleb kasutada kolmandate
osapoolte skripte või andmebaas uuesti teha.
Andmebaasi puhastamine toimub WSUS halduspaneelist käsitsi või Powershelli käsku kasutades.
Andmebaasi automaatseks puhastamiseks on kõige lihtsam viis teha iganädalane scheduled task, mille
ülesandeks on käivitada Powershelli skript, mis kasutab käsku:
Invoke-WSUSServerCleanup
Täpsem teave antud käsu kohta - https://docs.microsoft.com/en-us/Powershell/module/WSUS/invoke-
WSUSservercleanup?view=win10-ps (vt hardcopy Tarkvara_haldus_1.pdf).
3.1.10 Ligipääs väljastpoolt sisevõrku
Microsofti litsentsitingimused WSUS teenusele ütlevad, et teenus võib olla kättesaadav vaid
organisatsioonile, kuhu see on paigaldatud. See tähendab, et välisvõrgust teenusele ligipääsu tekitada ei
tohiks, sest seda ei ole võimalik piirata ainult ettevõtte arvutitele. WSUS ligipääsu piiramiseks tuleb
teenust kasutada läbi VPNi või DirectAccessi. Alternatiivina võib seadistada rühmapoliitika nii, et
tuvastatakse kasutaja võrk ning vastavalt sellele laetakse uuendused alla kohalikust WSUS serverist või
Microsofti uuenduste kataloogist.
3.2 WSUS Package Publisher
WSUS Package Publisher (edaspidi WPP) on kolmanda osapoole lisa WSUS jaoks, mis annab lihtsustatud
kasutajaliidese ning -halduse tarkvara paigaldamiseks läbi Windows Update teenuse. WPP kasutab ära
WSUS sisseehitatud pakettide loomist ja allkirjastamist sarnaselt System Center Configuration
Manager’le.
3.2.1 Paigaldamine ja seadistamine
WSUS Package Publiser on endine Codeplex projekt Github keskkonnas https://Github
.com/DCourtel/WSUS_Package_Publisher (vt hardcopy Tarkvara_haldus_2.pdf).
Paigaldamiseks tuleb Github’ist allalaetud fail vabalt valitud asukohta lahti pakkida, WPP ei vaja
installeerimist. Lisaks rakendusele on samas kaustas ka hulk PDF formaadis juhendeid.
Kui WPP paigaldati WSUSiga samasse serverisse, siis esmasel käivitamisel annab WPP teate, et serverist
on WSUS teenus leitud ja see lisatakse automaatselt serverite alla:
Ühendamiseks tuleb vajutada ülemiselt realt Connect/Reload.
Juhul kui WSUS on seadistatud kasutama SSLi, siis ühendus ei õnnestu ning veateateks kuvatakse
HTTP403
SSL ühenduse seadistamiseks tuleb minna Tools -> Settings menüüsse ja lisada server:
Server Name: täispikk nimi, hostname ei ole piisav, peab olema sama nimi, mis WSUS serveri
sertifikaadil.
Eemaldada linnuke Connect to local server
Muuta õigeks port ja panna linnuke Use SSL järele.
Lisada need sätted Add Server nupu abil.
Hilisemate segaduste vältimiseks võib eelmise, automaatselt tekitatud serveri Remove Server nupu abil
paneelist eemaldada.
Peale serveri sätete lisamist peaks ühendus õnnestuma.
3.2.2 Sertifikaadi loomine, serverile ja klientidele paigaldamine
Selleks, et WPP abil saaks tarkvara tööjaamadele levitada, tuleb teha tarkvarapakettide allkirjastamise
sertifikaat. Seda saab teha läbi WPP või domeeni sertifikaadiserveri.
WPP abil sertifikaadi loomiseks tuleb valida menüüst Tools -> Certificate…
ning vajutada nuppu Generate the certificate.
Peale sertifikaadi loomist tuleb WSUS teenused ja WPP taaskäivitada ja peale seda saab samast kohast
WPPs sertifikaadi salvestada.
NB! WPP abil ei saa sertifikaati luua kui WSUS server kasutab SSLi, sest WPP ei pea sellisel juhul serverit
lokaalseks. Sertifikaadi loomiseks tuleb ajutiselt SSL maha võtta (piisab Require SSL linnukeste
eemaldamisest IIS’is).
Sertifikaat tuleb sarnaselt WSUS SSL sertifikaadile paigaldada arvutitesse kas käsitsi või GPO abil kahte
asukohta:
Local Computer/Trusted Root Certificaton Authorities
Local Computer/ Trusted Publishers
Computer Configuration -> Polices -> Windows Settings -> Security Settings -> Public Key polices
Domeeni CA kaudu sertifikaadi tegemisel tuleb kindlasti lisada sertifikaadile intended purpose - Code
Signing. Lisatud rühmapoliitika näidis nimega 9_Tarkvara_WSUS_WPPSertifikaat.
3.2.3 Pakettide loomine ja haldamine
Pakettide loomise protseduur on küllaltki lihtne, selleks peab olema installifail .msi või .exe, mis toetab
taustal paigaldamist ilma kasutajale küsimusi esitamata.
Näiteks protseduur ID-kaardi tarkvara paigaldamiseks on järgmine:
Laadida alla ID-kaardi tarkvara viimane ZIP fail, kus on sees kõik vajalikud komponendid
(https://installer.id.ee/media/win) ja pakkida ZIP fail lahti.
WPPs valida menüü Updates -> Create an Update.
Ülemisse lahtrisse valida paigalduse .exe fail ja alumisse kõik ülejäänud kaasatulevad failid:
Järgmisel lehel täita kõik vajalikud väljad ning Command line reale lisada ID-kaardi tarkvara
dokumentatsioonist võetud lisakäsud, näiteks /quiet AutoUpdate=0 IconsDesktop=0 RunQesteidutil=0.
Seejärel määrata kriteerium, mille alusel Windows update saab aru, et tarkvara on juba paigaldatud ja ei
hakka seda uuesti paigaldama:
Siin tuleb teha lisasamm ning paigaldada antud tarkvara ning võtta näiteks MSI ID juba paigaldatud
paketilt. Üks võimalus selle saavutamiseks on Powershell:
Saame tulemuseks Open-EID Metapackage MSI ID, mida WPP reeglis kasutada.
Järgmisena tuleb teha reegel, mis tingimustel pakett paigaldatakse – see võiks olla nii, nagu tarkvara
väljaandja on öelnud, näiteks võib teha kriteeriumi Windows 7 või uuem tööjaam.
Viimane samm on Publish, mis teeb vajaliku paketi valmis.
3.2.4 Pakettide paigaldamine ja jälgimine
Loodud paketid tekivad WPP konsooli Updates alla.
Iga paketi staatuse ja raporti vaadetest on näha, millistele arvutitele pakett on paigaldatud, millistele
mitte ja millistele paigaldamine ei õnnestunud.
Paketi paigaldamiseks grupile tuleb teha paketil paremklõps ja valida Approve.. . Avanenud aknas saab
iga grupi puhul valida soovitud tegevuse.
Järgmisel uuenduste kontrollil peaks arvutid paketi tuvastama ja selle paigaldama.
3.3 System Center Configuration Manager
System Center Configuration Manager on osa Microsoft System Center paketist, mis keskendub arvutite
kesksele haldusele, operatsioonisüsteemi ning tarkvara ja uuenduste paigaldamisele. SCCM kasutab
taustal WSUS rolli serverite ja tööjaamade paranduste olemasolu või puudumise tuvastamiseks.
Uuendus- ja tarkvarapakettide paigaldamine tööjaamadesse käib läbi kliendirakenduse Software Center.
3.3.1 Windows 10 versioonivärskendused
Windows 10 versiooniuuenduste paigaldamise lihtsustamiseks on Configuration Manageris eraldi
sektsioon Windows 10 Servicing. Seal saab grupikaupa ära määrata, mis versioonile ja millal tööjaam
uueneb.
SCCM kaudu upgrade’i valimist saab väga erinevalt lahendada ja see sõltub sellest, kuidas ettevõttes
kokku on lepitud. Kõige lihtsam viis oleks filtreerida, kas mõni arvuti vajab uuendamist ja kui vajab, siis
seda lubada.
Näiteks antud juhul on filtreerimiseks valitud ainult keel ja kontroll, kas mõni arvuti küsib
versioonivärskendust.
Teiseks reegli osaks on edasilükkamise aeg, antud juhul on selleks 90 päeva.
See tähendab, et kui Microsoft annab välja vastava kanali versioonivärskenduse, ootavad arvutid 90
päeva ja annavad seejärel SCCM’le teada, et nüüd on vaja see paigaldada. SCCM teeb otsuse tehtud
reegli põhjal - kui keel on õige ja üks arvuti soovib seda paigaldada, laetakse versioonivärskendus alla ja
lubatakse kõigile.
Reegleid võiks olla kaks ja ainus erinevus nende puhul on kanal - Semi-Annual või Semi-Annual
(Targeted). Viimane tuleb reeglina varem välja, et jõuaks võimalikele probleemidele reageerida ja
lahendused läbi mõelda enne kui teised uuenduse saavad ja see kõigile kättesaadavaks muutub.
3.3.2 Automaatne paigaldamine
Uuenduste kontrollimiseks, allalaadimiseks ja tööjaamadele või serveritele lubamiseks tuleb luua reeglid
(Automatic Deployment Rule). Reeglites saab määrata, millised uuendused lubatakse ning kui tihti neid
kontrollitakse. Üldjoontes on kõik valikud samad, mis WSUS serveri tarkvara ja klassifikatsioonide juures.
Nagu nimi ütleb, on tegemist automaatse rakendamise reegliga. Seega saab siin määrata, kuidas
uuendused paigaldatakse.
Antud reeglit on võimalik luua ka PowerShell käsu abil: docs.microsoft.com/en-
us/powershell/module/configurationmanager/new-cmsoftwareupdateautodeploymentrule?view=sccm-
ps vt Tarkvara_haldus_6.pdf.
3.3.3 Tarkvarapakettide loomine
Tarkvarapakettide ja nende uuenduste loomise protseduur on peaaegu identne WSUS Package
Publisherile.
Olenevalt paketist tuleb valida õige paketi tüüp ja anda vastavad väärtused. Täpsem rakenduste ja
pakettide loomise kirjeldus on Configuration Manageri dokumentatsioonis:
https://docs.microsoft.com/en-us/sccm/apps/deploy-use/create-applications (vt hardcopy
Tarkvara_haldus_3.pdf).
Mõned rakendused nõuavad eriseadistusi olenevalt paketi paigaldamise protseduurist ja selle
paigaldamise tuvastusmeetoditest. Näiteks ID-kaardi tarkvara paigaldamiseks on küll olemas MSI failid,
kuid neid paigaldatakse komplektina – tuleb teha skript tüüpi paigalduspakett.
Näidisprotseduur ID-kaardi tarkvara puhul:
Viimase versiooni kõiki komponente sisaldav ZIP fail on kättesaadav
aadressil: https://installer.id.ee/media/win
Seal on fail:
Open-EID.zip 2018-01-08 16:05 127M
See tuleks alla laadida ning pakkida lahti võrgukettale, kus kõigil on lugemisõigus. SCCMis rakenduse
paigalduspaketi loomise viisardis tuleks paigalduse tüübiks valida Script.
Olulised valikud skripti puhul:
1. Content location peaks olema share, kuhu ZIP sai lahti pakitud:
2. Programs kaardil peavad käsud viitama .exe failile koos kõigi vajalike valikutega:
Install: Open-EID-17.12.0.1770_x86.exe /quiet /norestart AutoUpdate=0 IconsDesktop=0
RunQesteidutil=0
Uninstall: Open-EID-17.12.0.1770_x86.exe /uninstall /quiet /norestart
Sätteid saab kontrollida andes väärtuse 0 või 1
AutoUpdate=0 – tarkvara uuendusi ei kontrollita automaatselt.
IconsDesktop=0 – töölauale ei looda ikoone.
RunQesteidutil=0 – ID-kaardi utiliiti ei käivitata peale paigaldamist.
3. Detection method
Detection methodiks tuleks valida MSI paki olemasolu ning sisestada paki OpenEID Metapackage ID.
Peale ülaltoodud install-käsuga viimase versiooni paigaldamist ühes arvutis saab OpenEID Metapackage
MSI ID kätte näiteks Powershell käsuga.
PS C:\WINDOWS\system32> Get-WmiObject -Class Win32_Product | ft | findstr Open
3.3.4 Tarkvarapakettide paigaldamine
Peale tarkvarapakettide loomist tuleb neile teha Deployment reeglid. Deployment reeglid määravad, kas
tarkvara paigaldatakse koheselt või mingi aja pärast ja kas seda sunnitakse peale või on see valikuline.
3.3.5 Ligipääs väljastpoolt sisevõrku
Erinevalt WSUS’ist on SCCM’i puhul võimalik määrata pakettide kättesaadavus ka väljastpoolt sisevõrku,
kui määrata vastav säte Deployment reegli alt või seadistada PKI ja SSL sätted ning suunata vajalikud
pordid. Võimalik on ka selline seadistus, et uuendused laetakse alla otse Microsofti kataloogidest.
3.3.6 Segamudeli soovitused
Juhul kui ettevõttes on kasutusel vanemaid Windows operatsioonisüsteeme - näiteks Windows 7, 8 või
8.1, tuleks nendele vajalikud tarkvarauuendused WSUSis ja SCCMis Products valikute all lubada
samamoodi, nagu seda tehakse Windows 10 puhul. Soovitav on nende lubamiseks teha eraldi reeglid ja
grupid, et neid oleks lihtne eemaldada kui nende eluiga läbi saab.
4 Identiteedihaldus
Identiteedihaldus on protsess identifitseerimaks, autentimaks ja autoriseerimaks isikute ligipääsu mingitele rakendustele, süsteemidele, võrkudele jms. Autentimisel identifitseeritakse kasutaja isik parooli, sertifikaadi (signatuuri), sessioonivõtme vms põhjal. Autoriseerimisel seotakse kasutaja identiteet temale omistatud õiguste ja piirangutega süsteemis. ISKEs räägitakse sellest täpsemalt punktis B 1.18.
4.1 Autentimine
Autentimine on tegevus, mille käigus süsteem tuvastab, kas see, kes süsteemi poole pöördub, on see,
kes ta väidab ennast olevat. Tavaliselt kasutatakse tuvastamiseks parooli või sertifikaati.
Kohtvõrkudes autentimiseks tuleb mõelda, kas kasutada keskset haldust või mitte. Ilma domeenita
kohtvõrk on mõistlik ainult väga väikese kasutajate koguse puhul, kui spetsialistil on võimalik neid
seadmeid pidevalt hallata.
Keskseks halduseks on tavaliselt mõistlik kasutada LDAP (kataloogiteenuse) lahendusi nagu Active
Directory Domain Services (https://docs.microsoft.com/en-us/Windows-server/identity/ad-ds/get-
started/virtual-dc/active-directory-domain-services-overview vt hardcopy Identiteedihaldus_1.pdf) ja vt
ka ISKE M 3.64w) või OpenLDAP (https://www.openldap.org/doc/admin24/intro.html vt hardcopy
Identiteedihaldus_2.pdf ja vt ka ISKE M 3.85w ja M 2.403).
Tänapäeval on võimalus tööjaamad ja kasutajad Microsoft Azure AD-sse liita
(https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis vt
hardcopy Identiteedihaldus_3.pdf), aga see eeldab mõne Microsoft Online teenuse tellimist, mille käigus
Azure AD luuakse ning võimalused olenevad paketist. Täpsemalt saab lugeda:
https://msdnshared.blob.core.windows.net/media/2017/04/AzureADSKUsFeatureComparison.pdf (vt
hardcopy Identiteedihaldus_4.pdf). Azure AD pole LDAP ja ning seal ei ole ka kõiki neid võimalusi, mis
Windows AD-l – näiteks ei saa sinna servereid liita ega luua sellisel kujul rühmapoliitikaid nagu Windows
AD puhul. Azure AD võimaldab vajalikke seadistusi teha Intune (eeldab vastava litsentsi olemasolu) või
Azure AD MDM poliitikate abil.
Kuna selles juhendis on tegemist olukorraga, kus võrgus on peamiselt Windows arvutid ja serverid, on
mõistlik kasutada Windows domeeni Active Directory’t (vt ISKE M 2.229), mis võimaldab keskset
kasutajahaldust.
Windows AD puhul peavad kõik Windows tööjaamad ja serverid olema domeeni lisatud. Samuti tuleb
domeeni luua kõigi kasutajate kasutajakonto. Kui kasutaja soovib domeenis olevasse arvutisse sisse
logida, peab ta olema domeeni kasutaja. AD võimaldab paroolipoliitika nõudeid keskselt GPO abil
seadistada.
ISKE punktist M2.11 lähtudes soovitame, et parool oleks vähemalt kaheksakohaline. Pikemaid paroole ei
soovita kasutajatelt ka nõuda, sest siis võib tekkida probleem parooli meeles pidamisega. See võib kaasa
tuua riskikäitumise nagu parooli kirjutamine töölaual olevale paberile või pika, aga kergelt ära arvatava
parooli kasutamine vms.
Parool peaks sisaldama erinevaid sümboleid või numbreid ning suuri ja väikeseid tähti. Parooli tuleks
muuta vähemalt 90 päeva tagant ja varasemat parooli ei tohiks olla võimalik kohe uuesti kasutada.
Kuna Windowsi parooliaken toetab kuni 127 sümbolit, võib parooli alternatiivina soovitada kasutajatel
märgulauset. Märgulause on parool, mis koosneb 4-5 sõnast, mis moodustavad lause (Näiteks:
LehmaPiimOnValge1), mis on pikem, aga samas kasutajatel lihtsam meeles pidada kui suvalistest
kirjamärkidest koostatud parooli. Lauses ei tasuks kasutada liiga tuntud sõnakombinatsioone või
tsitaate.
Kui on olnud mitmeid ebaõnnestunud sisselogimise katseid, tuleks konto lukustada.
Et vähendada kasutajakonto kuritarvitamist selle lekkimisel, tasuks kasutajate sisselogimist piirata ainult
neile määratud tööjaamade ning serveritega (vt punkt 4.1.3).
Kontod tuleks luua nii, et need on seotud konkreetse inimesega. See võimaldab kasutaja tegevust
paremini jälgida ning kontoga kaasnevaid õiguseid saab vastavalt vajadusele nii paremini piirata. See on
eriti tähtis siis, kui tegemist on kolmandate osapooltega (üldise, firma nimega konto puhul pole kerge
kindlaks teha, kes antud kontot kasutas). Vt ka ISKE M 4.340.
Kui tegemist on ajutise kontoga, tuleks kohe kehtestada aegumiskuupäev (vt punkt 4.1.4).
Kõik ebaõnnestunud sisselogimise katsed tuleks logida (vt 7.2.1.1). Teatud seadmete ning kontode puhul
(näiteks administraatori kontod, serveritesse, tulemüüridesse jms seadmetesse logimised, mis on
kõrgema turvalisuse nõuetega) on mõistlik logida ka kõik sisselogimised.
Kasutaja enda kaitsmiseks ei tohi igapäevane töökonto arvutis olla administraatori õigustega. Ka
lokaalseid paroole on soovitav hallata läbi AD, kasutades selles LAPS lahendust. LAPS (Local
Administrator Password Solution) võimaldab hallata lokaalsete administraatorite paroole domeeni
arvutites, paroolid säilitatakse ADs ja nende ligipääsu saab piirata, et ainult vajalike õigustega inimestele
ligipääs võimaldada.
Paroolide turvalisuse tõstmiseks soovitame kasutusele võtta ka Windows Defenderi funktsiooni
Credential Guard, mis piirab paroolidele ligipääsu ainult lubatud süsteemi tarkvaraga ja kaitseb
igasuguseid paroole, mida võidakse hoiustada või rakendustes kasutada. Credential Guard kasutab
virtualiseerimist, et volitusi operatsioonisüsteemis eraldatud konteineris hoiustada, nii et viirused ja
pahavara sellele informatsioonile ligi ei saa. Credential Guardi kasutusele võtmisel peab arvestama, et
osa autentimistest (näiteks NTLMv1 ja MCHAPv2) ei tööta arvutis üldse või töötavad osaliselt, sest
Credential Guard ei toeta neid ebaturvalisuse tõttu. Täpsemalt saab lugeda siit:
https://docs.microsoft.com/en-us/Windows/security/identity-protection/credential-guard/credential-
guard-considerations (vt hardcopy Identiteedihaldus_5.pdf).
Microsoft soovitab paroolide kasutamisest loobuda ja kasutada hoopis kiipkaarte, virtuaalseid kiipkaarte
või Windows Hello for Business. Kuna Microsoft kavatseb tulevikus virtuaalsetest kiipkaartidest loobuda,
siis Windows Hello for Business on mõistlik valik, kui plaanitakse rakendada paroolivaba autentimist.
Windows Hello for Business kohta saab täpsemalt lugeda siit: https://docs.microsoft.com/en-
us/windows/security/identity-protection/hello-for-business/hello-identity-verification (vt hardcopy
Identiteedihaldus_6.pdf).
Osadel rakendustel on ka ADga seotud SSO (Single Sign-On) ehk ühekordne sisselogimine. Sellisel juhul
kasutatakse kasutaja AD kontot, et mõnda seotud rakendusse, veebilehele või teenusesse sisse logida.
4.1.1 MFA (Multifactor authentication) ehk mitmeastmeline autentimine
MFA ehk mitmeastmeline autentimine on turvasüsteem, mis nõuab kasutaja autentimiseks kahte või
enamat autentimismeetodit.
Näiteks lisaks kasutajanimele ja paroolile kasutatakse kas SMSile tulnud koodi, rakenduses olevat
kinnitust/koodi, sõrmejälge, turvaküsimust, sertifikaati vms.
2FA (two-factor authentication) on MFA alamtüüp, mis nõuab kahe autentimismeetodi olemasolu.
Kui mõni rakendus seda toetab, tasub MFA (multi-factor authentication) kindlasti sisse lülitada – eriti
tasub seda teha administraatorite või muude võtmeisikute kontode puhul. Iga toote ja rakenduse puhul
on MFA võimalused erinevad ning tuleb uurida vastava rakenduse dokumentatsiooni. Näiteks Office 365
juhend https://docs.microsoft.com/en-us/Office 365/admin/security-and-compliance/set-up-multi-
factor-authentication?view=Office 365-worldwide (vt hardcopy Andmete_haldus_29.pdf) ja G Suite
juhend
https://support.google.com/cloudidentity/answer/175197?hl=en&ref_topic=2759193&visit_id=636908
479939567405-1025730311&rd=1 (vt hardcopy Andmete_haldus_30.pdf).
Windows tööjaam hetkel MFA võimalust ei paku.
2FA domeeni sisselogimise rakendamiseks saab kasutusele võtta mõne välise vahendi. Näiteks on
võimalik seadistada ID-kaardiga domeeni sisselogimine – sellisel juhul on vaja sisselogimiseks nii ID-
kaarti kui ka PINi. Täpsem juhend: https://www.id.ee/public/1901_-
_ID_kaardi_login_Windows_domeenis.pdf (vt hardcopy Identiteedihaldus_7.pdf). Sarnaste võimalustega
vahend on veel ka YubiKey: https://support.yubico.com/support/solutions/articles/15000006456-
yubikey-smart-card-deployment-guide (vt hardcopy Identiteedihaldus_8.pdf).
4.1.1.1 VPN ja MFA
Kuna VPN võimaldab ligipääsu sisevõrgule, tuleb arvestada ligipääsu turvalisuse tagamisega. Enamasti
on soovimatu ligipääsu põhjuseks nõrgad või varastatud paroolid. Kuna tavaliselt kasutatakse VPN
ligipääsu autentimiseks kasutajanime ja parooli kombinatsiooni, on mõistlik ka seda mitmeastmelise
autentimisega (MFA) turvata. Kindlasti tuleb seda rakendada administraatorkasutajate puhul, kelle
ligipääsud on tavaliselt suuremad, kuid seda tasub kaaluda ka tavakasutajate puhul.
Üks lihtsamaid võimalusi on lisaks kasutajanimele ja paroolile nõuda ka seda, et VPN ühenduse
loomiseks oleks arvutis olemas sertifikaat (vt peatükk 2.1.1.4.4).
OpenVPN kasutab vaikimisi autentimiseks kliendisertifikaati, aga lisaks on võimalik sisse lülitada ka
kasutajanime ja parooli küsimine vastavalt juhendile: https://openvpn.net/community-resources/using-
alternative-authentication-methods/ (vt hardcopy Identiteedihaldus_9.pdf).
Azure AD kasutajad saavad Windows VPN puhul kasutada Azure MFA laiendust, mis võimaldab nõuda
telefoni aplikatsioonist nõustumist (on variant valida ka SMS koodi sisestamine, aga VPN ühenduse
loomisel ei ole asukohta, kuhu seda koodi lisada). Juhendiga saab tutvuda siin:
https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-vpn
(vt hardcopy Identiteedihaldus_10.pdf).
Samuti toetab suurem osa tulemüüri VPN’e MFA’d, näiteks:
Sophos OTB (lisakood paroolile) https://community.sophos.com/kb/en-us/125228 (vt hardcopy
Identiteedihaldus_11.pdf)
Fortinet Fortitoken
https://kb.fortinet.com/kb/viewAttachment.do?attachID=How%20to%20configure%20FortiOS%
20SSL%20VPN%20with%20FortiToken.pdf&documentID=FD33345 (vt hardcopy
Identiteedihaldus_12.pdf)
Cisco https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-
client/213931-configure-anyconnect-secure-mobility-cli.html (vt hardcopy
Identiteedihaldus_13.pdf)
4.1.2 SSO
Ühest küljest võib SSO (Single Sign-On) tähendada seda, et kasutaja kasutab kõikjal sama kontot, mille
autentimine käib ühest kohast ning parooli muutmisel, lukustamisel või eemaldamisel rakendub see
kõikjal, kus SSO on kasutusel. Teine osa SSOst võib tähendada seda, et kasutaja sisestab parooli oma
arvutis vaid korra ning sama sessiooni ajal teistes seotud teenustes parooli uuesti ei küsita.
Esimese variandi näitena võiks välja tuua tuntud teenusepakkujad nagu Google, Facebook. Tihti on
võimalik paljudes teistes teenustes sisselogimiseks või isegi konto loomiseks kasutada antud
teenusepakkujate linke, kasutajalt küsitakse ainult nõusolekut ühe pakkuja käes oleva info edastamiseks
teisele.
Teise variandi näitena võib tuua Microsoft Active Directory. Domeeni liidetud arvutisse sisselogimisest
piisab, et pääseda ligi näiteks Outlooki postkastile, failiserveri jagatud failidele või andmebaasidele.
Ettevõttesisene Active Directory on võimalik siduda ka Microsofti pilveteenustega. Olenevalt
lahendusest on kasutajal lisaparoole sisestamata võimalik ligi pääseda erinevatele Microsofti
pilveteenustele nagu OneDrive, Teams või Sharepoint Online.
SSO teeb administraatorite töö lihtsamaks ning vähendab võimalust ligipääsude eemaldamisel midagi
unustada, sest kui SSO puhul kasutaja eemaldada või ligipääs keelata, rakendub see kõikides teenustes
korraga. Teiseks heaks küljeks on mugavam ja lihtsam kaheastmelise autentimise rakendamine
kasutajatele, mida saab teha ühest kohast kõigile ning ka kasutajatel on mugavam ainult ühe korra sisse
logida. Riskifaktor on, et kasutaja parooli lekkimisel või tema sessiooni ülevõtmisel pääseb rohkematesse
kohtadesse korraga.
4.1.3 Paroolipoliitika GPO
Paroolipoliitika on tavaliselt juba Default Domain Policy’s teatud sätetega olemas.
Olemasolevaid sätteid võib muuta või luua uue GPO kõrgemale domeeni külge (Server manager – tools –
Group Policy Manager). Valida Computer Configuration – Policies – Windows Settings – Security Settings
– Account Policies – Password Policy.
Sisse tuleb lülitada esimene omadus Enforce Password Policy. Soovitatav mäletatavate paroolide arv
(mida ei saa uuesti paroolina kasutada enne uute paroolide arvu täitumist) peaks olema vähemalt 10
parooli. Vastavalt ISKE soovitusele tuleks Maximum password age panna 90 päeva. Minimum password
age tuleks panna 3 päeva – sellega võtame kasutajalt võimaluse mitmekordse järjestikuse
paroolivahetuse abil sama salasõna uuesti kasutusele võtta. Vastvalt ISKE soovitusele tuleks Minimum
password length määrata vähemalt kaheksakohaline. Sisse on vaja lülitada Password must meet
complexity requirements. See määrab, et parool peab olema vähemalt kuuekohaline, parool ei tohi
sisaldada kasutaja nime ning peab sisaldama kolme neist neljast omadusest: suur täht (A kuni Z), väike
täht (a kuni z), number (0 kuni 9), mittetähestiku märk (näiteks !, % jne).
Sätteid saab muuta Configuration – Policies – Windows Settings – Security Settings – Account Policies –
Account Policies. Muuta tuleks Account lockout duration, mis võiks olla 15-30 minutit või kui soovitakse
olukorda rohkem kontrollida, siis panna 0 (sellisel juhul saab ainult AD administraator konto lukust lahti
teha).
Account lockout threshold sätestab, mitu vale parooli peab panema, et konto lukku läheks. Soovitav
oleks valida viis, sest väiksema arvu määramisel tekib palju juhuseid, kus kasutaja ise kogemata parooli
lukku laseb. Reset account lockout counter after tuleks panna sama väärtus, mis lockout aeg.
Lisatud rühmapoliitika näidis nimega 10_Autentimine_ParooliPoliitika.
4.1.4 Paroolipoliitika PSO (Password Settings Objects) abil
GPOs saab paroolinõudeid määratleda ainult kas Default Domain Policys või siis eraldi GPOs, mis on
lingitud domeeni külge ja mis on kõrgema prioriteediga kui Default Domain Policy. Nõudeid on kindlasti
vaja rakendada kogu domeenile, et kõigile oleks rakendatud keskne paroolipoliitika. Nõudeid ei ole
võimalik rakendada erinevatele kasutajatele või osakondadele, kui on vajadus, et kellegi paroolipoliitika
oleks erinev tavapärasest (näiteks administraatoritel või mõnel kasutajal, kes töötab konfidentsiaalsete
materjalidega jne). Alates Windows 2008 serverist on selleks olemas Fine-grained Password policy, mida
saab rakendada otse kasutajatele või gruppidele. Vastavaid seadistusi saab teha kas Active Directory
Administrative Center või Powershelli kaudu. Samuti võimaldab see seadistada rohkem omadusi kui
GPO.
Seadistamise näites loome domeeni administraatorite grupile uue poliitika, kus parooli vanus on
maksimaalselt 30 päeva ja parooli minimaalne pikkus on 20 märki.
Selle poliitika loomiseks tuleb Powershell kaudu anda käsud:
New-ADFineGrainedPasswordPolicy "Admin_PSO" -MaxPasswordAge "30" -Precedence 100 -MinPasswordLength 20 #Käsk, et luua uus paroolipoliitika
Add-ADFineGrainedPasswordPolicySubject -Identity "Admin_PSO" -Subjects “Domain Admins” #Seo loodud paroolipoliitika kasuajagrupiga
Precedence määrab poliitika prioriteedi (mida väiksem number, seda kõrgem prioriteet).
Loodud poliitika vaatamiseks on käsk:
Get-ADFineGrainedPasswordPolicy -Filter { name -like 'Admin_PSO'}
Poliitika muutmiseks on käsk:
Set-ADFineGrainedPasswordPolicy "Admin_PSO" -MaxPasswordAge "10"
Active Directory Admin Center (ADAC) kaudu poliitika loomiseks tuleb see avada ning avanenud
konsoolist minna Treeview vaate peale.
Avanenud kataloogipuus tuleb valida System - Password Settings Container. Seal teha paremklõps, New -
Password Settings
Avanenud aknas saab määrata soovitud paroolipoliitika sätted ja selle, kellele see poliitika rakendub.
Kasutaja paroolipoliitikat saab kontrollida, kui teha ADAC kasutaja peal paremklõps ning valida View
Resultant Password Settings.
4.1.5 Kasutaja sisselogimise piiramine seadmega
Selleks tuleb avada Active directory Users and Computer, leida vastav kasutaja, vajutada Properties ning
avanenud aknas Account. Sealt Log on To…, valida variant The following computers ja lisada arvutid,
kuhu kasutaja võib sisse logida. Kindlasti on vaja lisada ka serverid, millega kasutaja konto otse suhtleb,
nagu domeeni kontrollerid ja näiteks Exchange server.
Seda on võimalik seadistada ka Powershell kaudu:
Set-ADUser testdrone -LogonWorkstations "WIN10"
Tuleb meeles pidada, et nimekirjas peavad olema kõik seadmed, millesse sisse logimine on lubatud, sest
antud säte kirjutab kõik üle.
Kui on palju kasutajaid ja neile kõigile on vaja lisada uus seade (näiteks uus AD), siis tuleks selleks
kasutada skripti:
$kasutajad = (Get-ADUser -Filter {LogonWorkstations -like "*"}).samaccountname
foreach ($kasutaja in $kasutajad)
{
$arvutid = (Get-ADUser -Identity $kasutaja -Properties LogonWorkstations).LogonWorkstations
$arvutid += ",AD3"
Set-ADUser -Identity $kasutaja -LogonWorkstations $arvutid
$arvutid=$null
}
4.1.6 Konto aegumise määramine
Kui tegemist on ajutise kontoga, mille sulgemise aeg on teada, tasuks kohe seadistada konto aegumine.
Ajutise konto näiteks on projektis osalev töötaja, kes on tööl kaks kuud, või väline teenuspartner, kellel
on vaja süsteemile ligipääsu ainult üheks kuuks. Selleks tuleb avada Active directory Users and
Computers, otsida sealt vastav kasutaja, vajutada Properties ning avanenud aknas Account. Seal on väli
Account expire ja saab valida kuupäeva, millal konto aegub.
Powershellis on selleks käsk:
Set-ADAccountExpiration -Identity [kasutajanimi] -DateTime "31.12.2019"
Oluline on tähele panna, et kui see GUI kaudu määrata, on kirjas End of - selle kuupäeva lõpus konto
aegub. Powershell käsuga määratakse aga esimene päev, millal konto peab olema aegunud. Eelmise
käsu tulemus GUI-s on:
Selleks, et teha päring kõigi aegunud kontode kohta (ja need seejärel näiteks eemaldada), saab kasutada
käsku:
Search-ADAccount -AccountExpired | Select-Object Name, SamAccountName, DistinguishedName
4.1.7 LAPS häälestus
Kuigi Windows 10 vaikimisi installi käigus on lokaalne administraatori konto tavaliselt keelatud seisus,
siis enne LAPS programmi installi tasub sellele vaatamata teha GPO, millega ära keelata vaikimisi
administraator ja ka konto, mis arvuti installil lisati (näiteks admin).
Selleks tuleb luua uus GPO selle OU külge, kus on arvutid ja muuta sätet Computer Configuration >
Preferences > Control Panel Settings > Local Users and Groups. Seal tuleb valida New > Local User.
Järgmisena valida User name Administrator ning valikutest valida Account is disabled:
Sama tuleb teha ka teiste kontodega, mida soovitakse sulgeda. Lisatud on rühmapoliitika näidis nimega
11_Autentimine_KeelaAdmin.
Administraatori konto on võimalik sulgeda ka muutes sätet Computer Configuration – Policies –
Windows Settings – Security Settings – Local Policies – Security Options. Sealt tuleb valida omadus
Accounts: Administrator account status ja sätteks valida Disabled. Lisatud on rühmapoliitika näidis
nimega 12_Autentimine_KeelaAdminv2.
LAPS programmi häälestuseks tuleb see alla laadida, paigaldada serverile ja GPO (või SCCM) kaudu
arvutitele. Lisatud on rühmapoliitika näidis nimega 13_Autentimine_LAPS_install_defaultadmin.
Samuti tuleb uuendada AD schema, et seal saaks hoida tööjaamade paroolide informatsiooni.
TechNet gallery’s on selle paigaldamiseks väga hea juhend, mida tasub jälgida:
https://gallery.technet.microsoft.com/Step-by-Step-Deploy-Local-7c9ef772 (vt hardcopy
Identiteedihaldus_14.pdf).
LAPS programmi saab alla laadida lingilt: https://www.microsoft.com/en-us/download/details.aspx?id=46899
TechNeti juhend viitab administraatori vaikekonto kasutamisele – turvakaalutlustel soovitame luua
administreerimiseks uue konto. Selleks peab installi käigus lisama parameetri administraatori nimega
CUSTOMADMINNAME=testadmin. Seetõttu peab GPO puhul installi tegema skripti kaudu või
transformation faili abil. SCCM puhul saab vajalikud parameetrid lisada paketi loomise käigus.
Skriptiga installi tegemiseks tuleb kõigepealt luua skript, mis kontrollib, kas programm on arvutis olemas
ja kui ei ole, siis installeerib selle (muuta administraatori nimi vastavalt oma soovile):
IF EXIST C:\Program Files\LAPS\CSE\AdmPwd.dll GOTO :end
ELSE
msiexec /q /i "\\testserver\install\LAPS.x64.msi" CUSTOMADMINNAME=testadmin
:end
Või powershell skriptiga:
$fileExists= Test-Path -Path "C:\Program Files\LAPS\CSE\AdmPwd.dll" if ($fileExists -eq $False) { msiexec /q /i "\\testserver\install\LAPS.x64.msi" CUSTOMADMINNAME=testadmin }
GPOs minna Computer Configuration – Policies– Windows Settings – Scripts (startup/shutdown). Valida
Startup, sealt Add (kui kasutada PowerShell skripti, siis ka enne valida sakk PowerShell Scripts) ja Browse,
kopeerida skript sinna kausta, valida see ja vajutada OK. Lisatud on rühmapoliitika näidis nimega
14_Autentimine_LAPSInstall.
Peale seda kui GPO levib ja arvutile tehakse restart, peaks programm olema installeeritud.
LAPS sätete GPOd seadistades tuleb määrata parooli pikkus ja selle muutmise sagedus. Kuna tegemist on administraatori õigustes kontoga, võiks parool olla pikem ja vahetamise sagedus tihedam kui tavakasutajal (näiteks 14 märki ning muutmine iga 30 päeva tagant).
Samuti tasuks GPOs muuta sätet name of administrator account to manage, et luua uus administraatorkonto, mida ründajatel ei ole kerge ära arvata.
4.1.8 Windows Defender Credential Guard
Credential Guard on saadaval ainult Windows 10 Enterprise’s. Credential Guard sisselülitamiseks tuleb
teha uus GPO selle OU külge, kus asuvad arvutid. Lisatud on rühmapoliitika näidis
20_GPO_DeviceGuard.
GPO muutmiseks tuleb minna Computer Configuration – Policies - Administrative Templates – System -
Device Guard.
Kuvatud on võimalus Turn on Virtualization Based Security, sellele tuleb panna Enabled. Select Platform
Security Level valikuks teha Secure Boot and DMA Protection ning sealt Credential Guard Configuration
panna Enabled with UEFI lock. Enabled with UEFI lock tähendab seda, et GPO abil ei ole võimalik seda
välja lülitada. Välja lülitamiseks peab administraator arvutisse logima ja sealt nimetatud sätte välja
lülitama.
4.2 Tulemüüri autentimine
Uuematel tulemüüridel on võimalus seadistada kasutajaid ja teha tulemüürireegleid vastavalt nendele
kasutajatele.
Kasutajapõhised reeglid võimaldavad paremini kontrollida võõraste seadmete ligipääsu sisevõrgust
mujale (näiteks autentimata kasutajad ei pääse Internetti) ja teha kasutajapõhiseid ligipääsureegleid nii,
et kasutajad pääseksid ligi ainult endale vajalikele ressurssidele. Näiteks raamatupidajad pääsevad ligi
majandustarkvara pakkuja kaughaldusele, aga vaikimisi pole see lubatud, või külaliskasutajad saavad
Internetis juurdepääsu ainult teatud teenustele.
Kasutajad saavad tulemüüri autentida tavaliselt näiteks arvutis oleva klientprogrammiga või logides sisse
läbi veebiliidese. Paljud tulemüürid pakuvad võimalust koos AD’ga seadistada ka SSO. Tavaliselt eeldab
see tulemüüri sidumist AD’ga ja tulemüüri agendi installi AD serverisse, mis saadab kasutaja
sisselogimise informatsiooni tulemüürile nii, et tulemüür teab, millisest seadmest ja milline kasutaja on
sisse loginud.
Sophos tulemüüri SSO seadistamine:
https://community.sophos.com/kb/en-us/123156 (vt hardcopy Identiteedihaldus_15.pdf).
Fortigate tulemüüri SSO seadistamine:
https://cookbook.fortinet.com/providing-single-sign-using-ldap-fsso-agent-advanced-mode-expert/ (vt
hardcopy Identiteedihaldus_16.pdf).
5 BYOD (bring your own device)
Tänapäeval, kus elektroonika on kergesti kättesaadav ja levinud, on järjest tavapärasem, et kasutajad
soovivad töökohas ka oma isiklikke seadmeid kasutada.
Väga levinud on isiklike mobiiltelefonide kasutamine, aga järjest tavalisemaks hakkab saama ka isikliku
arvuti (tööjaama) tööl kasutamine. Lisaks tuuakse tööle ka isiklikke USB pulkasid ja väliseid kõvakettad,
mis võimaldavad kiiresti ja lihtsalt andmeid sisevõrgust välisele andmekandjale liigutada.
Kui asutuse võrgus on lubatud isiklikke seadmeid kasutada, peab kindlasti looma BYOD poliitika, mis
määratleb tingimused ja kehtestab reeglid.
Põhilised reeglid, mida BYOD poliitikasse lisada:
1. Määratleda, millised turvanõuded seadmele kehtivad – millised peavad olema paroolid (nende
keerukus, parooli vahetamise sagedus), millised funktsioonid peavad olema seadmetel toetatud
(näiteks kui seade ei toeta krüpteerimist, siis seda võrku ei lubata) ja millised rakendused või
rakenduse versioonid (kui on teada, et mingi kindel versioon on turvaauguga) on keelatud.
2. Koostada keelatud seadmete nimekiri. Kõik seadmed ei toeta määratletud turvanõudeid.
Seetõttu tuleb koostada nimekiri seadmetest ja operatsioonisüsteemidest, mida ei tohi võrku
lubada. Kui on teada, et teatud telefoni mudelil või näiteks Androidi versioonil on turvaauk, siis
tuleks need lisada keelatud seadmete nimekirja. Samuti peaks olema keelatud ettevõtte võrku
tuua näiteks Windows XP arvutit, mis ei saa enam turvauuendusi. Lisaks peaksid olema keelatud
ka kõikvõimalikud muud võrguseadmed (kasutaja isiklikud switchid, ruuterid, WiFi seadmed jne).
3. Seadmete registreerimise protsess. BYOD poliitikas tuleks määratleda, et ainult registreeritud
seadmed saaksid võrku ja registreerimata seadmete võrku pääsemist peaks tehniliselt piirama.
IT osakond/administraatorid peaksid haldama lubatud seadmete registrit.
4. Millised ligipääsud on BYOD seadmetel lubatud (kindlasti ei peaks BYOD seadmed saama
kõikjale samamoodi, kui domeenis olevad arvutid) ja mida teha konfidentsiaalsete andmetega.
Tuleks määratleda, milliseid andmeid tohib antud seadmetes töödelda, kas seadmed peavad
olema krüpteeritud (USB pulkadele ja välistele kettaseadmetele tuleks seda kindlasti rakendada)
ja mida teha seadme kaotuse või varguse puhul või siis, kui töötaja lahkub töölt.
5. Kasutaja nõusolek – kasutajad peavad tutvuma kõigi BYOD poliitika reeglite ning nõuetega,
peavad nendega nõustuma ning seda tõendama oma allkirjaga (muidu seadet võrku ei lubata).
Juhendis on toodud soovitused, mida BYOD rakendamise puhul arvestada. BYOD seadmete puhul peaks
jälgima ka ISKE B 5.14 soovitusi.
5.1 Võrgu seadistus
5.1.1 Võrgu eraldamine
Kasutaja enda toodud seadmete eraldamiseks ja paremaks kontrollimiseks tuleks eraldada võrk, kuhu
need seadmed pääsevad. Kuna tavaliselt on tegemist mobiilsete seadmetega, siis kõige mõistlikum on
luua nende jaoks eraldi WLAN võrk.
Eraldatud võrk võimaldab paremini selle võrguliiklust kontrollida ning tuvastada, millised ligipääsud
sinna võrku ning sealt võrgust on. Lisaks on turvaintsidentide korral eraldatud võrgu osa kerge kogu
ülejäänud võrgust eraldada. Üldiselt tasub eraldi võrgud teha kõikidele seadmetele nagu serverid,
tööjaamad, võrguseadmed, külaliste seadmed jne (ISKE M 5.61 ja M 5.62). Selles juhendis keskendume
põhiliselt BYOD seadmetele võrgu eraldamisele.
Tavaliselt on ettevõtetes külalistele mõeldud WiFi võrk juba olemas, kuid soovitav oleks vastavalt
tulemüüri/WiFi seadmete võimalustele luua täiesti uus eraldatud WiFi võrk, kuhu saab luua
ligipääsureeglid, mis pole külaliste võrgus lubatud. See võimaldab eraldi jälgida nii külaliste võrgu
seadmeid kui ka lubatud BYOD seadmeid. BYOD seadmetele mõeldud ligipääsu reeglistikku on
soovitatav hoida eraldi võrgus, et ka ligipääsureeglistikud oleksid võrgupõhiselt eraldatud. See vähendab
ohtu, et inimliku vea tõttu lubatakse suuremate õigustega ligipääse suvalisele külalisseadmele.
Kindlasti ei ole soovitatav BYOD seadet lubada otse sisevõrku, sest nagu eespool mainitud, võimaldab
eraldatud võrk paremini jälgida, mida nende seadmetega tehakse ja aitab vähendada inimliku eksituse
ohtu.
Seega peaks BYOD võrk olema sisevõrgust eraldatud võrgusegment ja sellele ligipääs võiks olla täiendava
kaitsemeetodina (lisaks paroolile jne) piiratud näiteks seadme MAC aadressiga. Lokaalse MAC filtri
tegemise sätted olenevad WiFi seadme tootjast ja selleks tuleks uurida nende seadmete
dokumentatsiooni.
Näiteks:
Cisco
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wlan-security/91901-mac-
filters-wlcs-config.html (vt hardcopy BYOD_1.pdf)
Ruckus
https://docs.ruckuswireless.com/unleashed/200.1.9.12/t-CreateNewL2ACL.html (vt hardcopy
BYOD_2.pdf)
Aruba
https://www.arubanetworks.com/techdocs/Instant_41_Mobile/Advanced/Content/UG_files/Au
thentication/MAC_Authentication.htm#Configur (vt hardcopy BYOD_3.pdf)
Nagu poliitika loomise kohta kirjeldati, tuleb peale ühenduse loomist antud WiFi võrku luua ka reeglistik
(kuhu sealt võrgust edasi pääseb). Olenevalt võrgu seadistusest ja tulemüürist on võimalik lubada
otseligipääsu sisevõrgu teenustele, aga see ei ole soovitatav, sest MAC aadressi on võimalik peita ja nii
ligipääsu petta.
Avalike teenuste ligipääsud (avalik veebileht serveris, Exchange serveri OWA, Internet jne) võib lubada
sarnaselt külaliste võrgu ligipääsudega, aga ülejäänud ligipääsudele tuleks seadistada teine autentimise
aste. Selleks on mitmeid erinevaid võimalusi:
1. Luua sisevõrku VPN ühendus ja edasi toimub ligipääs vastavalt VPN sätetele.
2. Luua ligipääs terminaliserverile, mille kaudu pääseb vajalikele teenustele ligi. Nii on võimalik
piirata andmete kopeerimist ning kogu töö toimub sisevõrgus oleval seadmel.
3. Logida sisse tulemüüri AD kontoga. Selleks tuleb tulemüüri luua vastavad reeglid, mis sellisel
juhul aktiveeruvad. Tulemüüri ja AD vahelist seost on kirjeldatud lõigus 4.2.
4. Sisemiste veebiteenuste ligipääsu võib luua läbi proksiserveri (näiteks Web Application Proxy
vms).
5.
5.1.2 Switchide seadistus
Sülearvutite (ja ka muude Ethernet liidesega seadmete) puhul on oht, et kasutaja võib oma seadme
lihtsalt seinas olevasse vabasse pesasse ühendada. Siis eespool kirjeldatud eraldatud WiFi võrgust kasu
ei ole ja tundmatu seade pääseb lihtsalt sisevõrku.
Soovitused selliseks olukorraks:
1. Kasutuses mitte olevad seinapesad välja lülitada.
2. Avalikes ruumides, kuhu võib sattuda külalisi ning võib vaja minna LAN ühendusi (seminari-
/koosolekusaalid, ooteruum), lubada ainult külaliste võrgu kasutamist.
3. Ülejäänud portidelt nõuda 802.1X autentimist ja kui autentimine ebaõnnestub, suunata BYOD
VLANi.
Varem oli üheks ligipääsu kontrollvahendiks Windows serveris ja tööjaamas NAP (Network Access
Protocol). See oli Windowsi enda serverites olev vahend, mis võimaldas administraatoritel kontrollida
võrku ühendatavate seadmete tervist ja vastavalt sellele seadistada piiranguid ja sätteid. Windows
Server 2016 ja Windows 10 seda enam ei toeta, see tugi kadus juba alates Windows Server 2012 R2
versioonist. Üks põhjus selle funktsionaalsuse eemaldamiseks oli, et see ei toetanud hästi BYOD. NAP
seadistuse kohta on võimalik lugeda siit: http://www.electricmonk.org.uk/2013/12/13/nap-network-
access-protection-on-Windows-server-2012/ (vt hardcopy BYOD_4.pdf).
5.1.2.1 Pordipõhine juurdepääsupoliitika (802.1X)
Enamikes switchides on koostöös Windows Serveriga võimalik seadistada tööjaama autentimine 802.1X
standardit kasutades.
Switchide seadistused olenevad tootjast ja tuleks uurida tootja dokumentatsiooni.
HP: http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998-
8152_wb_2920_asg/content/ch13.html (vt hardcopy BYOD_5.pdf)
Cisco:https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/12-
2_55_se/configuration/guide/3750xscg/sw8021x.html (vt hardcopy BYOD_6.pdf)
Juniper: https://www.juniper.net/documentation/en_US/junos/topics/topic-map/802-1x-
authentication-switching-devices.html (vt hardcopy BYOD_7.pdf)
Nende seadistuste puhul tuleb domeeniks määrata oma Windows domeen, RADIUS serveriks NPS server
ja autentimise meetodiks EAP. Autenditud võrgu VLANiks tuleb määrata sisevõrgu VLAN ja autentimata
võrgu VLANiks BYOD VLAN. Kui switch ei toeta dünaamilisi VLANe, siis autentimise ebaõnnestumise
korral ei saa tööjaam võrguga ühendust.
Enne kui portidele rakendada autentimise nõue, tuleks teha Windows serveri seadistused.
Nende seadistuse eelduseks on installeeritud NPS server: https://docs.microsoft.com/en-us/Windows-
server/networking/technologies/nps/nps-manage-install (vt hardcopy BYOD_8.pdf).
1. Seadistada server switchides RADIUS serveriks.
2. Kui switchdes on RADIUS server seadistatud, siis need switchid tuleks serveris lisada RADIUS
kliendiks.
Powershell kaudu saab need lisada käsuga:
New-NpsRadiusClient -Address "192.168.23.11" -Name "Switch2" -SharedSecret "SalajaneParool"
GUI kaudu seadistamiseks:
Server Manager – Tools - Network Policy Server – RAIDUS Clients and Servers – RADIUS Clients -
New. Seal seadistada nimetus switchile (mille järgi on seda kerge tuvastada), IP aadress või DNS
nimetus ning ka shared secret.
Shared secret on sama, mis seadistati switchis RADIUS serveri määramisel. Kui switche on palju,
siis võib olla mõistlik seadistada Shared secret Template ehk üks parool kõigi switchide puhul.
Network Policy Server konsoolist valida Template Management – Shared Secrets – paremklõps
ja New. Defineerida nimetus ja lisada sinna parool.
Nüüd saab uue RADIUS kliendi lisamisel valida kohe secret template ja ei pea parooli eraldi
sisestama.
3. Luua uus NPS poliitika. Selleks tuleb teha paremklõps Network Policies peal ja valida New.
Määrata sobiv nimi (näiteks: 802.1x autentimine vms), type of Network Access jätta Unspecified
ja valida Next. Conditions alla lisada Machine Group Domain Computers (et sisevõrku pääseks
ainult domeeniarvutid) ning NAS port type Ethernet ja seejärel valida Next.
4. Järgmisel lehel jätta valikuks Access granted ja valida Next.
Autentimise tüüpide juurest eemaldada kõik muud autentimise tüübid ja lisada EAP Types alla
Microsoft: Protected EAP (PEAP), valida Edit ja sealt omakorda määrata EAP Types alla Smart
Card or other certificate.
Muud autentimise viisid ei toimi kui Credential Guard on sisse lülitatud. Järgnevatel lehekülgedel
ei ole vaja midagi muuta ja võib valida Next kuni saab valida Finish. Siis on serveri seadistus
tehtud.
5. Tööjaama seadistuseks on vaja kahte tegevust:
a. Seadistada tööjaamade automaatne sertifikaadi päring ja uuendamine. Sertifikaadi
seadistus tuleb teha sarnaselt punktis VPN kirjeldatud uue sertifikaadi loomisele.
Sertifikaadi aluseks võtta Users sertifikaadi malli asemel Computer sertifikaadi mall.
Tuleb luua ka uus Autoenrollment GPO, mis lubab tööjaamadel automaatselt sertifikaati
pärida. Selleks tuleb GPO luua selle OU külge, kus arvutid asuvad. Sätetes määrata
Computer Configuration – Policies – Windows Settings – Security Settings – Public Key
Policies – Certificate Services Client – Auto-Enrollment. Valida Configuration model
Enabled ning lisada linnukesed sätetele Renew expired certificates, Update pending
certificates, and remove revoked certificates ja Update certificates that use certificate
templates. Lisatud on rühmapoliitika näidis 15_BYOD_Computer_AutoEnroll.
b. Tööjaamas sisse lülitada wired auth teenus ning lubada 802.1x autentimine.
Domeeni tööjaamades saab seda teha läbi GPO. Selleks tuleb uus GPO luua (server
manager – tools – Group Policy Manager) selle OU külge, kus arvutid asuvad. Lisatud on
rühmapoliitika näidis nimega 16_BYOD_802.1x wired auth. Seadistada tuleb järgnevad
sätted:
i. Computer Configuration – Policies – Windows Settings – Security Settings –
System Services. Nimekirjast tuleb otsida Wired AutoConfig, see avada, teha
linnuke sättele Define this policy setting. Select service startup mode alt valida
Automatic.
ii. Computer Configuration – Policies – Windows Settings – Security Settings –
Wired Network (IEEE 802.3) Policies ja teha sellel paremklõps Create a new
wired Network policy for Windows Vista and Later Releases. General vahelelel
määrata antud poliitika nimi ja kirjeldus (näiteks test.local ja test.local wired
auth vms) . Security alt teha linnuke Enable IEEE 802.1x authentication for
Network Access. Select a network authentication method alt määrata Microsoft:
Protected EAP (PEAP) ja selle Properties alt määrata omadus Select
authentication Method – Smart Card or Other Certificate. Authentication
Mehtod alt valida: Computer Only, Max authentication failure jätta 1.
6. Kui GPO on loodud ja arvutitesse levinud, võib switchi portide seadistuse aktiveerida.
Kui arvuti ei suuda nüüd mingil põhjusel võrku autentida, liigutatakse see BYOD võrku.
5.2 Riistvaraliidesed
Kuna riistvaraliidesed nagu USB, Firewire jms võimaldavad väga kiirelt andmeid tööjaamadest liigutada
ja samas on nende seadmete puhul ka andmete kaotuse risk väga kõrge, siis tuleb neid seadmeid
kontrolli all hoida. Seda nii asutuse poolt töötajatele pakutud kui ka töötaja enda seadmete puhul.
Kindlasti peaks kõik need seadmed olema krüpteeritud (võib kasutada Bitlockerit, andmekandja oma
vahendeid vms). Samuti tuleks kõigi taoliste seadmete kohta registrit pidada (BYOD puhul kõigi BYOD
seadmete kohta).
Selleks, et kasutajad mittelubatuid seadmeid ei kasutaks, tuleks ülejäänud seadmed arvutites keelata.
Selleks on võimalik seadistada GPO. GPOs saab määrata, millised seadmed pole keelatud ning see
võimaldab lubada ainult registreeritud ja asutuse lubatud seadmeid.
On ka kolmandate osapoolte vahendeid (tavaliselt viirustõrjeprogrammid), mis võimaldavad seadmete
piiranguid seadistada. Nende lahenduste eelis on see, et üldiselt jõuavad muudatused arvutisse kiiremini
kui GPO puhul, samuti saab piiranguid paremini kontrollida iga arvuti kohta eraldi ning teha raporteid
või lisada kommentaare, mis pole GPO lahenduse puhul võimalik.
Sellised lahendused on näiteks:
ESET https://help.eset.com/ees_mac/6/en-US/ud_devicecontrol.html?ud_devicecontrol_rules.html (vt
hardcopy BYOD_9.pdf)
F-Secure https://community.F-Secure.com/t5/Business/Blocking-device-access-using/ta-p/91439 (vt
hardcopy BYOD_10.pdf)
McAfee https://www.mcafee.com/enterprise/en-us/assets/data-sheets/ds-device-control.pdf (vt
hardcopy BYOD_11.pdf)
DeviceLock https://www.devicelock.com/products/technology.html (vt hardcopy BYOD_12.pdf)
GPO seadistamiseks tuleb GPO luua sellesse harusse, kus on arvutid. Selle seadistuse eripära on, et
ükskõik milliste seadmete install pole lubatud. Lisatud on rühmapoliitika näidis
17_BYOD_DisableDeviceInstall.
Seadistustes tuleb minna Computer Configuration – Policies – Administrative Templates – System -
Device Installation – Device Installation restrictions. Seal on võimalik muuta kolme omadust:
1. Prevent installation of devices not described by other policy settings – valida Enabled ja OK.
2. Display a custom message when installation is prevented by a policy setting – valida Enabled ja
lisada tekst, mida kasutajale kuvatakse kui ta midagi installeerida proovib. Näiteks „Teie IT
osakond ei luba seda seadet“.
3. Allow installation of devices that match any of these device IDs, valida Enabled ja Show alla
lisada IDd, milliseid seadmeid on lubatud installeerida. Et oma võrgus vajalikke seadmeid
tuvastada, on soovitav võtta uus arvuti, kuhu takistamise GPO on rakendunud ja vaadata, mida
seadmete lisamisel blokeeritakse. Soovitav on kohe lisada järgmised seadmed: gencdrom
(DVD/CD-ROM drive), {e0cbf06c-cd8b-4647-bb8a-263b43f0f974} (Bluetooth seadmed),
{6bdd1fc6-810f-11d0-bec7-08002be2092f} (kaamerad ja skännerid), {50dd5230-ba8a-11d1-
bf5d-0000f805f530} (kaardilugeja), {4d36e979-e325-11ce-bfc1-08002be10318} (printerid),
{4d36e978-e325-11ce-bfc1-08002be10318} (COM ja LTP pordid), USB\Class_E0 (juhtmevabad
seadmed) , SWD\PRINTENUM\ (print järjekord Windows 10 puhul), HID_DEVICE (hiir ja
klaviatuur). Kui on soov lubada konkreetne USB seade, siis tuleks sinna lisada näiteks
USBSTOR\DiskADATA___.
Seadmeid saab lubada või keelata ka läbi tooteklasside, kasutades selleks rühmapoliitika omadusi
Prevent/Allow Installation of devices using drivers that match these device setup classes. Nende kohta
saab täpsemalt lugeda siit:
https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.DeviceInstallation::Devi
ceInstall_Classes_Allow (vt hardcopy BYOD_13.pdf) ja
https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.DeviceInstallation::Devi
ceInstall_Classes_Deny (vt hardcopy BYOD_14.pdf) ning
https://www.anotherwindowsblog.com/2012/08/how-to-prevent-devices-from-installing-in-
windows.html (vt hardcopy BYOD_15.pdf).
5.3 Mobiilsed seadmed (telefonid, sülearvutid ja tahvelarvutid)
Väga levinud BYOD seadmed on telefonid ja tahvelarvutid, mille puhul ei pruugita isegi mõelda, et neid
peaks kuidagi piirama. Töökoha e-posti seadistamine nutiseadmesse on väga levinud. Tihtipeale ei
pakugi asutus eraldi nutiseadet, aga ikka on vaja e-kirju telefonis lugeda.
Kuna e-kirjades on tihtipeale konfidentsiaalseid ja vaid ettevõttesiseseks kasutamiseks mõeldud
andmeid, tuleb ka neile seadmetele piirangud seada. Kõik töötajate nutiseadmed tuleks registreerida ja
võimalusel seadistama piirangud, et töötaja ei saaks enne IT osakonna kinnitust ise e-posti oma
seadmetesse seadistada. Registreerimisel saab kontrollida, kas tegemist on lubatud seadmega, kas see
on parooliga kaitstud, kas on olemas viirustõrje ja muid vajalikke sätteid. Paljude e-posti
teenusepakkujate puhul ei ole võimalik seda piirata, aga Exchange ja Office 365 vahenditega on see
võimalik. Seal saab määrata, millised nõuded on seadmele kehtestatud (nt parool) ja seadet on võimalik
kaugelt puhastada, kui see peaks ära kaduma.
Kasutada saab ka erinevaid MDM lahendusi. MDM (Mobile Device Managment) on lahendus, mis
võimaldab kõiki mobiilseid seadmeid keskselt hallata ning neile turvanõudeid rakendada (näiteks
lubatud rakendused, paroolide tugevusnõuded, krüpteeringu nõudmine, samuti erinevad
konfiguratsioonimuudatused ja sertifikaatide haldus). MDM puhul ei ole tähtis, kas seade on domeenis
või see on kasutaja isiklik seade. Kui vanasti tähendas MDM peamiselt mobiilsete seadmete nagu
nutitelefonid ja tahvelarvutid haldust, siis osa MDMe võimaldab hallata ka sülearvuteid.
MDM võimaldab tihtipeale tuvastada ka seadme asukohta ja vajadusel keskselt seadet puhastada.
Kuna MDM ja Office 365 poliitika on kontrollivad ja annavad asutuse IT osakonnale käsutuse seadme
üle, tuleks sellest kasutajat teavitada. Kasutajad ei pruugi soovida sellist kontrolli oma isiklikule
seadmele kehtestada, kuid sellisel juhul ei tohiks neil lubada oma nutitelefonis e-posti seadistada ega
muid asutuse teenuseid kasutada. Võimalik lahendus, kui teisiti kokkuleppele ei jõuta, võib olla asutuse
antud mobiiltelefon.
Tuntumad MDM lahendused on:
Microsoft Intune (võimaldab ka sülearvuteid hallata) https://www.microsoft.com/en-
us/enterprise-mobility-security/microsoft-intune
Cisco Meraki https://meraki.cisco.com/products/systems-manager
Sophos MDM https://www.sophos.com/de-de/solutions/initiatives/mobility.aspx.
Vmware AirWatch (võimaldab ka sülearvuteid hallata) https://www.air-watch.com/
Jamf Pro https://www.jamf.com/products/jamf-pro/
Ka Office 365 sisaldab MDMi, aga kuna ActiveSynci poliitika hõlmab juba kõike vajalikku ning on
kasutajale mugavam, ei pruugi selle seadistamine olla mõistlik.
5.3.1 Office 365 mobiilipoliitika loomine
Kui kasutusel on Exchange Online, siis pole nutiseadmete kontrollimiseks MDMi otseselt vaja. Exchange
ActiveSync võimaldab ühendust piirata ja ühenduses olevatele seadmetele nõudeid seadistada.
Office 365 ActiveSync seadistused on ka Exchange meiliserveri puhul sarnased. Seal saab määrata, millal
lubatakse seadmed Exchange ActiveSync teenusega ühendada. Täpsemalt saab selle kohta lugeda siit:
https://www.johnmcgrathonline.com/2018/05/25/mobile-device-and-application-management-mdm-
mam-exchange-activesync-eas/ (vt hardcopy BYOD_16.pdf).
Vaikimisi sätetes võivad kõik seadmed Exchange külge ühenduda ja eraldi kinnitust pole vaja. Soovitame
muuta seda nii, et Exchange ActiveSync Access Settings oleks Quarantine. Siis saadetakse ühenduse
taotlus määratud administraatoritele ja kasutaja saab teavituse, et ühenduse loomiseks tuleb pöörduda
IT osakonna poole. Peale seadme BYOD registris registreerimist võivad administraatorid telefoni
ühendamise lubada.
Samuti on võimalik teha reegleid, mis teatud seadmed ja rakendused kohe blokeerivad (näiteks keelatud
seadmete tabeli järgi). Selleks tuleks Device Access Rules alla teha uus reegel. Määrata Block Access ja
siis mobiili või rakenduse versioon, millega Exchange serveriga ei või ühendust luua. Powershell kaudu
on võimalik täpsemalt määrata, mis mudelit või rakenduse versiooni blokeeritakse. Täpsemalt saab käsu
ja selle parameetrite kohta lugeda siit: https://docs.microsoft.com/en-
us/Powershell/module/exchange/devices/new-activesyncdeviceaccessrule?view=exchange-ps (vt
hardcopy BYOD_17.pdf).
Seadistada tuleks ka Mobile Device Mailbox policy.
Vaikimisi poliitika ei nõua seadmetelt midagi ja lubab sünkroniseerimist kui seade ei vasta poliitikale.
Tuleks luua uus poliitika ja määrata see uueks vaikimisi poliitikaks. Kindlasti ei tohiks sünkroniseerimist
lubada kui seade ei vasta poliitikanõuetele. Veebiliidese kaudu saab ainult teatud omadusi muuta – saab
määrata, kas parool on kohustuslik, kas seade peab olema krüpteeritud, samuti parooli pikkust ja
keerukust. Soovitame kindlasti sisse lülitada parooli nõudmine, parooli pikkuse ja vahetamise sageduse
seadistus. Ülejäänud sätted tuleb määratleda vastavalt BYOD poliitikas määratletud nõuetele.
Rohkem omadusi nagu kaamera lubamine, SD kaardi lubamine, sõnumi saatmise lubamine jne saab
seadistada Powershell käsuga.
Uue poliitika loomiseks:
New-MobileDevice-mailboxPolicy -Name Nutipoliitika -PasswordEnabled $true -AlphanumericPasswordRequired $true -IsDefault $true
Sama poliitika sätete muutmiseks:
Set-MobileDevice-mailboxPolicy -Identity Nutipoliitika -AllowStorageCard $true -AllowPOPIMAPE-mail $false -AllowBluetooth Disable
See poliitika lubab SD kaardid, keelab POPIMAP e-posti kontod ja Bluetooth seadmed.
Täpsemalt saab Powershell käskude ja võimalike seadistatavate omaduste kohta lugeda siit:
1. Üldine teave - https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-
online/exchange-activesync/mobile-device-mailbox-policies (vt hardcopy BYOD_18.pdf)
2. New-MobileDevice-mailboxPolicy - https://docs.microsoft.com/en-
us/Powershell/module/exchange/devices/new-mobiledevice-mailboxpolicy?view=exchange-ps
(vt hardcopy BYOD_19.pdf)
3. Set-MobileDevice-mailboxPolicy - https://docs.microsoft.com/en-
us/Powershell/module/exchange/devices/set-mobiledevice-mailboxpolicy?view=exchange-ps
(vt hardcopy BYOD_20.pdf)
5.4 Muud soovitused
Kuna tööjaamad võimaldavad endas hoida ja töödelda rohkem informatsiooni kui mobiilsed seadmed,
peaks nende BYOD õigused olema rohkem piiratud.
Samuti võib kontole sisselogimise piirata ainult tööajaga. Nii on võimalik vähendada tõenäosust, et
kasutaja saab väljaspool tööaega, kui jälgimine ei ole nii suur, tööressurssidega kahtlaseid toiminguid
teha. Selle piirangu puhul tuleb kindlasti arvestada, et töötaja ei saa siis väljaspool traditsioonilist
tööaega tööd teha, antud piirang on kasutajapõhine ja kehtib ka siis, kui logida sisse tööandja antud
seadmesse. Kui on teada, et kasutaja peab tööd tegema ka väljaspool tööaega või kasutab ka ettevõtte
antud seadet, siis ei pruugi see olla hea piirang või tuleb selliseks olukorraks mõelda eraldi protseduur
(näiteks kui on vaja väljaspool tööaega tööd teha, siis annab kasutaja sellest IT-töötajatele teada ning
need lubavad seda sellel päeval).
Piiranguid saab muuta AD kaudu:
Tuleb minna Active Directory Users and Computers, avada kasutaja Properties, valida Account vaheleht ja
sealt valik Logon Hours… Sealt saab näiteks määratleda, et kasutaja kontoga sisselogimine on lubatud
ainult ajavahemikus 07:00-18:00. Näiteks:
Tasub teha ka eraldi BYOD grupp, kelle tegevusi failidega täpsemalt logitakse. Kui tavaliselt soovitatakse
logida ainult ebaõnnestunud tegevusi ja kustutamist, siis BYOD kasutaja puhul tuleb logida kõiki tegevusi
failidega. Nii on võimalik tuvastada, kui kasutaja hakkab näiteks faile enda arvutisse kopeerima. Logimise
seadistamisest on täpsemalt kirjutatud peatükis 7.
Kindlasti tuleb BYOD sülearvutitele kehtestada samad nõuded nagu teistele asutuste sülearvutitele
(krüpteering, VPN, viirustõrje asutuse poolt) ja soovitada kasutajatele luua oma seadmesse tööasjadeks
eraldi konto, mis poleks administraatori õigustega. Kui on Azure AD võimalus, siis võib arvuti lisada
Azure AD-sse ja määrata, et ettevõtte andmetele saab ligi kasutades just Azure AD kontot.
Ettevõtte andmetele ligipääsuks on soovitav kaaluda terminaliteenuse kasutuselevõtmist, sest siis
kasutatakse andmeid ettevõtte võrgus ja terminalis saab piirata andmete kopeerimist.
6 Rühmapoliitikate rakendamine Windows 10 põhises kohtvõrgus
Rühmapoliitika on Microsoft Windwos Active Directory lisa, mis võimaldab täiendavat kontrolli
kasutajate ja arvutite kontode üle. See võimaldab kasutaja arvutit keskselt hallata ja seadistada, andes
sellega lisaturbe võimaluse. Rühmapoliitka iseenesest on hulk süsteemiadministraatorite loodud
seadistusi, mis on seotud ühe või mitme Active Directory konteineriga (domeenid, OUd, saidid).
Lisavõimalusena on Microsoftil seadmete haldus läbi MDM (Mobile Device Management), kuid see
nõuab Office 365 litsentsi ning Microsoft Intune olemasolu, täpsemat teavet saab siit:
https://docs.microsoft.com/en-us/windows/client-management/manage-windows-10-in-your-
organization-modern-management (vt hardcopy Rühmapoliitika_1.pdf).
Rühmapoliitika eelised:
Lihtsustab IT osakonna tööd – uute kasutajate seadistamisel saab olemasolevaid GPOsid
kasutada.
Võimaldab poliitikate kaudu tarkvara levitada ja neile seadistused määrata.
Paroolipoliitika seadistus – saab määrata kasutajate paroolidele kehtestatavad nõuded.
GPO puudused:
Rakendumiseks on vajalik arvuti restart või kasutaja sisse logimine – puudub ülevaade, kas
kasutajad saavad poliitika kätte.
Poliitika uueneb vaikimisi 90 kuni 120 minuti järel. Liiga tihti uuendamine koormab võrku ja liiga
harva uuendamisel võib vajaliku poliitika levimine liialt kaua aega võtta.
Tarkvara paigaldus läbi Powershelli võib olla palju kiirem ja lihtsam.
6.1 Seadistamine
Rühmapoliitka objektid protsessitakse loogilises järjekorras:
1. Lokaalne poliitika
2. Saidi poliitka
3. Domeeni poliitika
4. OUde poliitika – rakendub ka hierarhiliselt
Rühmapoliitka seadistamine käib lokaalses tööjaamas Local Group Policy Editoris, selle saab avada
käsurealt gpedit.msc ja keskselt Active Directory serveris tuleb avada Group Policy Management CMD
gpme.msc.
Active Directory serveris käib rühmapoliitika halduse paigaldus järgnevalt: Serveri alt valida Add Roles
and Features ja paigaldada Group Policy Management.
Rühmapoliitikate seadistamise server. Administratiivtööriistade alt tuleb avada Group Policy
Management ja esmalt luua uus rühmapoliitika Group Policy Objects alla ning seejärel linkida vastavasse
OUsse. Soovitav on hoida rühmapoliitika objektide struktuur lihtne ja arusaadav. Kõiki poliitikaid ei ole
hea ühte poliitikasse lisada, eriti siis, kui erinevatele tööjaamadele on erinevad poliitikad, kuid need
asuvad samas domeeni OUs. Poliitika rakendumist vajalikele arvutitele on võimalik rakendada mitut
moodi - OUde, õigusgruppide või WMI filtrite järgi.
Lisaks on administraatoritele Group Policy Analyser, mis on Security Compliance Toolkiti osa.
Haldusvahend on mõeldud GPOde omavaheliseks võrdlemiseks ja tööjaamade seadistuste
auditeerimiseks rühmapoliitikate vastu. Täpsemalt saab teemaga tutvuda siin:
https://docs.microsoft.com/et-ee/windows/security/threat-protection/security-compliance-toolkit-10
(vt hardcopy Rühmapoliitika_2.pdf).
Samuti saab organisatsioonis seadistada ja kasutada Security Baseline template’i. Selle abil saab
kasutajate ja seadmete seadistusi sobivate turvaseadete jaoks võrrelda ja seadistust määrata. Täpsemalt
saab lugeda siit: https://docs.microsoft.com/et-ee/windows/security/threat-protection/windows-
security-baselines (vt hardcopy Rühmapoliitika_3.pdf).
PowerShell abil saab pärida kõiki rühmapoliitikaid käsuga:
Get-GPO -All | select DisplayName, ID, Description, CreationTime, ModificationTime, GpoStatus | Export-Csv c:\tmp\ruhmapoliitika.csv -NoTypeInformation -Encoding UTF8
Erinevate PowerShell käskude kohta millega saab hallata rühmapoliitikaid, võib veel lugeda siit
4sysops.com/archives/administering-group-policy-with-powershell/, vt Rühmapoliitika_12.pdf
6.2 Igapäevases praktikas kasulikuks osutunud GPOd Windows 10
tööjaamadele
6.2.1 Lokaalse tööjaama paroolide vahemälu seadistamine
Uue rühmapoliitika loomine: Group Policy Management paremklõps ja New. Edasi tuleb määrata
poliitikale nimi ja teha vajalikud seadistused.
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security
Options ja seadistada järgnevad alapunktid:
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
– lubada ja 1 logon. Ühiskasutuses olevates tööjaamades tasub see kindlasti suuremaks
määrata.
Network access: Do not allow storage of passwords and credentials for network authentication –
lubada.
Lisatud on rühmapoliitika näidis nimega 18_GPO_Logon_cache.
6.2.2 Windows Defender Application Control
Windows Defender Application Controlis on palju kasulikke funktsioone, täpsemalt saab juurutuse ja
rakendamise kohta lugeda siit: https://docs.microsoft.com/en-us/windows/security/threat-
protection/windows-defender-application-control/windows-defender-application-control-deployment-
guide (vt hardcopy Rühmapoliitika_4.pdf).
AppLocker ja Device Guard on Windows Defenderi üks osa.
6.2.2.1 Application Control ja selle seadistamine:
Computer Configuration > Administrative Templates > System > Device Guard > Deploy Windows
Defender Application Control – lubada.
Määrata Application Controli poliitika ja selle fail. Täpsemalt saab lugeda siit:
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-
control/deploy-windows-defender-application-control-policies-using-group-policy (vt hardcopy
Rühmapoliitika_5.pdf).
6.2.2.2 AppLocker seadistamine
Applockeri kasutamiseks on vaja Enterprise versiooni, Pro puhul peab hakkama saama Software
Restriction Policies abil. AppLockeriga on võimalik määrata, milliseid rakendusi ja faile kasutaja saab
käivitada, sh skriptid, teegid (DLL), paketid ja installifailid. Seadistamine rühmapoliitikas: Computer
Configuration > Policies > Windows Settings > Security Settings > Application Control Policies > AppLocker
Soovitav on reeglid automaatselt genereerida ning vajadusel lisareegleid keelata ja lubada.
Tuleb seadistada nii Windows Install Rules, Script Rules kui Packaged app Rules.
Lisatud on rühmapoliitika näidis nimega 19_GPO_Applocker.
AppLocker GPO sätteid on võimalik muuta ka PowerShell abil käskudega docs.microsoft.com/en-
us/windows/security/threat-protection/windows-defender-application-control/applocker/use-the-
applocker-windows-powershell-cmdlets vt Rühmapoliitika_13.pdf.
6.2.2.3 DeviceGuard
Computer Configuration > Administrative Templates > System > Device Guard > Turn On Virtualization
Based Security, sisse lülitada, lisaks Credential Guard Configuration valida Enabled with UEFI lock.
Põhjalikumalt saab lugeda siit: https://docs.microsoft.com/en-us/Windows/security/identity-
protection/credential-guard/credential-guard (vt hardcopy Rühmapoliitika_6.pdf).
Lisatud on rühmapoliitika näidis nimega 20_GPO_DeviceGuard.
Täpsemaid DeviceGuard sätteid on võimalik teha PowerShell abil: www.petri.com/enabling-windows-
10-device-guard vt Rühmapoliitika_14.pdf.
6.2.3 Tarkvarapiirangud
Software Restriction Policies on GPO funktsionaalsus, mis tuvastab arvutis käivitatud tarkvara ja
kontrollib nende programmide käivitumist. Microsoft ei arenda seda funktsionaalsust küll edasi, aga see
on senini väga laialdaselt kasutusel.
Computer Configuration > Windows Settings > Security Setings > Software Restriction Policies > Action >
New Software Restriction Policies
Designated File Types alla tuleks lisada järgnevad failitüübid: PS1, JSE, VBS, SCT, VBE, WSF (ja muud, kui
vaja).
Edasi valik Security Levels > Disallowed > Set as Default
Lisada lubatud programmide teekond Additional Rules > New Path Rule... > Security level: Unrestricted
Piiranguid/erandeid on võimalik teha ka sertifikaatide ja hashi põhjal ning soovitatav ongi seda just hashi
põhjal teha.
Eranditena tuleks kindlasti märkida järgnevad kohad:
C:\Program Files (x86)
C:\Program Files
%WinDir%\* välja arvatud:
%System32%\catroot2\*
%System32%\spool\drivers\color\*
%System32%\Tasks\*
%WinDir%\debug\WIA\*
%WinDir%\Tasks\*
%WinDir%\Temp\*
Lisatud on rühmapoliitika näidis nimega 21_GPO_Application Whitelisting.
6.2.4 Veebisirvija seadistamine rühmapoliitikaga.
Internet Explorer 11 ja Edge vaikesirvijaks seadistamine: Computer Configuration > Administrative
Templates > Windows Components > File Explorer > Set a default associations configuration file ja sisse
lülitada (sama moodi saab seadistada Chrome’i ja Firefoxi).
Kõik Internet Exploreri seadistused rühmapoliitikas asuvad: Administrative Templates > Windows
Components > Internet Explorer > Internet Control
Soovitav on sisse lülitada järgmised seadistused:
Compatibility View > Turn on Internet Explorer Mode for local Internet - lubada
Internet Control Panel > Advanced Page > Turn on Enhanced Prodected Mode - lubada
Internet Control Panel > Security Page > Internet Zone > Turn on Prodected Mode - lubada
Internet Control Panel > Security Page > Intranet Zone > Download signed ActiveX Controls -
lubada
Internet Control Panel > Security Page > Intranet Zone > Download unsigned ActiveX Controls -
lubada
Internet Control Panel > Security Page > Intranet Zone > Run signed ActiveX Controls and Plugins
- lubada
Internet Control Panel > Security Page > Intranet Zone > Turn on Protected Mode - lubada
Internet Control Panel > Security Page > Locked-Down Internet Zone > Turn on Protected Mode -
lubada
Internet Control Panel > Security Page > Locked-Down Intranet Zone > Turn on Protected Mode -
lubada
Internet Control Panel > Security Page > Locked-Down Restricted Sites Zone > Turn on Protected
Mode - lubada
Internet Control Panel > Security Page > Restricted Sites Zone > Turn on Protected Mode - lubada
Internet Control Panel > Security Page > Trusted Sites Zone > Download signed ActiveX Controls -
lubada
Internet Control Panel > Security Page > Trusted Sites Zone > Download unsigned ActiveX
Controls - lubada
Internet Control Panel > Security Page > Trusted Sites Zone > Run signed ActiveX Controls and
Plugins - lubada
Täpsemat teavet saab siit: https://docs.microsoft.com/en-us/Internet-explorer/ie11-deploy-guide/new-
group-policy-settings-for-ie11 (vt hardcopy Rühmapoliitika_7.pdf).
Lisatud on rühmapoliitika näidis nimega 22_GPO_Veebrisirvija.
6.2.4.1 Chrome’i seadistamine rühmapoliitikaga
Computer Configuration > Administrative Templates > Add/Remove Templates > Add > lisada
chrome.admx (https://support.google.com/chrome/a/answer/187202?hl=en vt hardcopy
Rühmapoliitika_8.pdf).
Allalaetud failid tuleb kopperida kausta C:\Windows\PolicyDefinitions.
Täpsem Chrome’i võimalike poliitikate kirjeldus on siin:
https://www.chromium.org/administrators/policy-list-3 (vt hardcopy Rühmapoliitika_9.pdf) ja
põhjalikuma juhendiga saab tutvuda siin: http://woshub.com/how-to-configure-google-chrome-via-
group-policies/ (vt hardcopy Rühmapoliitika_10.pdf).
Lisatud on rühmapoliitika näidis nimega 23_GPO_Chrome.
6.2.4.2 Firefoxi seadistamine rühmapoliitikaga
Computer Configuration > Administrative Templates > Add/Remove Templates > Add > lisada
firefox.admx (https://github.com/mozilla/policy-templates/releases)
Allalaetud failid tuleb kopeerida kausta C:\Windows\PolicyDefinitions.
Põhjalikumalt saab Firefoxi poliitikate kohta lugeda siit: https://github.com/mozilla/policy-
templates/blob/master/README.md (vt hardcopy Rühmapoliitika_11.pdf).
6.2.5 Tarkvara paigaldamine rühmapoliitika abil
Rühmapoliitika abil saab paigaldada vaid MSI tüüpi pakette ning nendele ei ole võimalik kaasa anda
argumente või lisaväärtusi nii, nagu seda saab teha näiteks käsureal WSUS Package Publisher või SCCM
puhul.
Rühmapoliitika kaudu tarkvara paigaldamiseks tuleb teha jagatud kaust, millele kasutajatel või arvutitel
on lugemisõigused ning paigaldatav MSI pakett tuleb sellesse kausta kopeerida.
Rühmapoliitika loomisel tuleb minna asukohta: Computer Configuration (või User Configuration) >
Polices > Software Settings > Software installation, tühjas aknas teha paremklõps ja valida New >
Package… olenevalt sellest, kas rakendus paigaldatakse kasutajale või arvutile. Seejärel tuleb liikuda
eelnevalt tehtud jagatud kausta ja valida sinna kopeeritud MSI pakett.
Järgnevalt küsitakse tüüpi, valikuteks on „Assigned“, „Published“ või „Advanded“ (Published paketti ei
saa kasutaja puus teha).
Assigned – Tarkvara paigaldatakse arvutisse või kasutajale peale arvuti käivitumist või kasutaja
sisse logimist.
Published – Tarkvara lisatakse arvutis programmide lisamise või eemaldamise nimekirja ning
kasutaja saab selle ise paigaldada.
Advanced – Lubab teha lisavalikuid tarkvara eemaldamiseks, tarkvara programmide
eemaldamise nimekirjast peitmiseks, ning mõningaid teisi sätteid:
Kui valikud on tehtud ja salvestatud, ilmub tarkvarapakett nimekirja ja seejärel tuleb rühmapoliitika
rakendada kasutajale, arvutile, rühmale või muule objektide kogumile. Rühmapoliitika kaudu tarkvara
paigaldamisel rohkem lisavalikuid ei ole. Kui on vaja täpsemaid valikuid või suuremat kontrolli nende üle,
tuleks kasutusele võtta WSUS Package Publisher, System Center Configuration Manager või mõni
kolmanda osapoole lahendus.
6.2.6 Muud turvalisusega seotud rühmapoliitikad
Järgnevad rühmapoliitikad, mille seadistamine piirab informatsiooni lekkimist asutusest väljapoole.
Nende seadistamine ei ole vajalik, kuid nad võivad teatud olukordades ja asukohtades kasulikud olla.
Computer Configuration/Administrative Templates/Windows Components/Camera
Allow Use of Camera: Disabled
Keelab kasutada arvuti veebikaamerat.
Computer Configuration/Administrative Templates/Windows Components/Data Collection and
Preview Builds
Disable pre-release features or settings: Disabled
Keelab Windowsi ja selle komponentide prooviversioonide paigaldamise. Võiks olla
tavakasutajatele keelatud ja testrühmale lubatud. Võib kaasa tuua paikamata turvanõrkusi.
Toggle user control over Insider builds: Disabled
Keelab kasutajal eelmise sätte muutmise.
Computer Configuration/Administrative Templates/Windows Components/Locations and Sensors
Turn off location: Enabled
- Keelab asukoha määramise ja seeläbi asukoha informatsiooni potentsiaalse edastamise
Microsofti või kolmandate osapoolte serveritele.
Turn off sensors: Enabled – keelab ka sõrmejäljelugejad
- Sarnaselt eelmisele keelab sõrmejäljelugejad, valgusandurid, güroskoobid ja teised
ümbruskonda tuvastavad seadmed.
Computer Configuration/Administrative Templates/Windows Components/Cloud Content/
Turn off Microsoft consumer experiences: Enabled
- Keelab reklaamrakenduste paigaldamise ning nende esile tõstmise start menüüs (Candy Crush,
Photoshop, Minecraft jms)
Computer Configuration/Administrative Templates/Windows Components/Windows Error Reporting
Do not send additional data: Enabled
- Keelab rakenduse veateatega koos täiendava kasutajainfo edastamise (failid, kaustateed,
kasutajaandmed).
Disable Windows Error Reporting: Enabled
- Keelab Windowsi rakenduste vigade korral tõrkeraportite koostamise.
Computer Configuration/Administrative Templates/Windows Components/OneDrive
Prevent the usage of OneDrive for file storage: Enabled
- Seadistada juhul kui ettevõte ei kasuta OneDrive’i. Selle sättega saab selle täielikult keelata.
Save documents to OneDrive by default: Disabled
- Lubab keelata File > Save menüüst failide salvestamisel vaikimisi asukohaks OneDrive
pakkumise.
Computer Configuration/Administrative Templates/Control Panel/Regional and Language
Options/Handwriting personalization
Turn off automatic learning: Enabled
- Selle sätte määramisel ei kasutata enam kirjakeele õppimise mehhanisme ega saadeta kogutud
informatsiooni Microsofti serveritele. See tähendab ka seda, et käsikirja tuvastamine ei muutu
ajapikku paremaks.
Computer Configuration/Administrative Templates/System/User Profiles
User management of sharing user name, account Picture, and domain information with apps:
Enabled, Always off
- Keelab kasutajal anda rakendustele luba kasutajakonto kohta informatsiooni kasutamiseks.
Turn off the advertising ID: Enabled
- Keelab reklaamipakkujatel koguda informatsiooni kasutaja eelistuste ja näidatud ning avatud
reklaamide kohta ehk kasutaja profileerimise.
Computer Configuration/Administrative Templates/System/Internet Communication
Management/Internet Communication settings
Turn off access to the Store: Enabled
- Keelab ligipääsu Microsofti rakenduse poele.
Turn off handwriting personalization data sharing: Enabled
- Keelab kirjakeele õppimise mehhanismide kogutud informatsiooni jagamise Microsofti
partneritele.
Turn off handwriting recognition error reporting: Enabled
- Keelab kirjakeele tuvastusvigade raporteerimise.
Turn off Internet download for Web publishing and online ordering wizards: Enabled
- Keelab internetist printimise ja tellimise viisardite alla laadimise.
Turn off Internet File Association service: Enabled
- Keelab internetist failitüübi järgi selle avamiseks rakenduse otsimise.
Turn off printing over HTTP: Enabled
- Keelab printimise üle ebaturvalise HTTP.
Turn off the "Order Prints" picture task: Enabled
- Keelab fotorakendustest piltide tellimise (Eestis kasutu, sest Eestisse saatvaid pakkujaid ei ole).
Turn off the "Publish to Web" task for files and folders: Enabled
- Keelab failide ja kaustade internetti jagamise.
Turn off Windows Customer Experience Improvement Program: Enabled
- Keelab kasutaja tegevuste jälgimise ning selle informatsiooni edastamise Microsoftile
rakenduste täiendamiseks.
Turn off Windows Network Connectivity Status Indicator active tests: Enabled
- Keelab internetiühenduse tuvastamiseks arvutil teatud serveritega ühendust võtta.
Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options
Accounts: Block Microsoft accounts: Users can’t add Microsoft accounts
- Seadistada juhul kui ettevõte ei kasuta Microsofti pilveteenuseid. Keelab arvutis konto
sidumise Microsofti kontoga.
7 Intsidendi halduse protsess
Intsidendiks loetakse IT-teenuse planeerimata katkemist või kvaliteedi langust. Intsidendi halduse
protsess vastutab intsidentide kogu elutsükli haldamise eest ning intsidendihalduse esmane eesmärk on
taastada IT-teenus kasutajatele nii kiiresti kui võimalik.
Turvaintsident on sündmus või sündmused, millega kaasneb andmete või muude infovarade
käideldavuse, tervikluse või konfidentsiaalsuse kadu või tekib oluline oht andmete käideldavuse,
tervikluse või konfidentsiaalsuse kao tekkeks (https://www.riigiteataja.ee/akt/119032012004 vt
hardcopy Intsidendi_haldus_1.pdf ).
Intsidentide võimalikult kiireks kõrvaldamiseks on vaja intsidendid avastada ja välja selgitada nende
tekkimise põhjused. Juhendis keskendume põhiliselt turvaintsidentidele ja kohtvõrgu seadistustele, mis
võimaldavad peale intsidendi esinemist tuvastada intsidendi juurpõhjuse.
Juhendis on kirjeldatud, kuidas turvaintsidente pahavara tuvastamise ning logimise seadistamise kaudu
avastada. Pahavara saab tuvastada nii Windowsi operatsioonisüsteemi omavahendite kui ka kolmandate
tootjate viirusetõrje/pahavara programmidega. Logimine on võimalik seadistada Windowsi
omavahenditega ning logide paremaks haldamiseks on need mõistlik eraldi kesksesse logiserverisse
koguda.
Intsidentide võimalikult kiireks ja automaatseks tuvastamiseks ning süsteemi pidevaks jälgimiseks on ka
erinevaid tasulisi tarkvaralahendusi. Need jälgivad automaatselt võrguliiklust, koguvad kokku kõikide
arvutite logid, analüüsivad olukorda ning teavitavad võimalikest ohtudest. IT-meeskonna ülesandeks on
teavitusi jälgida ning vastavalt vajadusele ohu kõrvaldamiseks kiiresti reageerida. Mõned näited
sobivatest lahendustest on IBM QRadar (https://www.ibm.com/us-en/marketplace/ibm-qradar-siem)
ning F-Secure RDR (https://www.F-Secure.com/en/web/business_global/rapid-detection-and-response).
Kuna nende lahenduste kasutamisega kaasneb rahaline kulu ning need eeldavad suuremat IT-
meeskonda, on nende kasutuselevõtmine mõistlik kõrge turvalisuse nõudega keskkonnas.
7.1 Pahavara tuvastus
7.1.1 Sissejuhatus (milleks seda on vaja, millised on võimalused, ELAM)
Tänapäeval on kõigil kasutusel kas ettevõtte antud või isiklik tööarvuti (tihti mobiilne ehk sülearvuti) ja
nutiseade. Need on kasutusel läbisegi ja seetõttu ohustavad pahavarad meid nii tööl kui ka kodus. Kuigi
peamine turvalisuse kaitse seisneb kasutaja enda Internetikäitumises, on endiselt vajalik Endpoint
protection kaitse ja intsidendi (pahavara) tuvastus.
Pahavara on tarkvara, mille eesmärk on ühel või teisel moel kasutaja seadmele kahju teha. Tihti on see
arvuti ressursi kasutamine kasutaja teadmata ründaja huvides, kas siis krüptoraha kaevamiseks või
ülemaailmsete rünnete läbiviimiseks. Mõni aeg tagasi oli väga populaarne kasutaja failide krüpteerimine
ja lunaraha nõudmine, mis ettevõtete puhul oli suurem, ohtlikum ja kulukam, kui see levis ka
võrguketastel.
Alates Windows 8 versioonist on Windowsis kasutusel ELAM (Early launch antimalware), mis tuli koos
Secure Bootiga ja kaitseb Windowsi boot seadistusi ja komponente ning laeb ELAM-draiverid. Täpsemalt
saab selle kohta lugeda: https://docs.microsoft.com/en-us/Windows/desktop/w8cookbook/secured-
boot (vt hardcopy Intsidendi_haldus_2.pdf).
Kõikidel turvatarkvaradel, ka Windows Defender Security Centeril on vajalik, et süsteemis oleks kõikide
osapoolte turbevärskendused paigaldatud, seetõttu on vaja kasutada tarkvara paikamist ka kolmandate
osapoolte tarkvaras.
Windowsil on tööriist Windows Malicious Software Removal Tool, mis aitab ründevara tuvastada ja
eemaldada. Selle kohta saab täpsemalt lugeda siit: https://support.microsoft.com/en-
us/help/890830/remove-specific-prevalent-malware-with-Windows-malicious-software-remo (vt
hardcopy Intsidendi_haldus_3.pdf).
7.1.2 Windowsi omavahendid
Windows 10’l on sisseehitatud Windows Defender Security Center, mis sisaldab palju kasulikke
vahendeid tööjaama turvalisuse tõstmiseks, ja millele on võimalik GPOga lisada helpdeski kontaktid.
Selleks peab kasutusel olema Windows 10 Enterprise versioon 1709 (või hilisem). Serveris saab teha
rühmapoliitika halduse Computer configuration > Administrative templates > Windows components >
Windows Security > Enterprise Customization, lubada see ning seadistada ka järgmised seaded:
Configure customized contact information, Configure customized notifications. Lisaks tuleb seadistada
vajalikud andmed: Specify contact company name, Specify contact e-mail address, Specify contact phone
number, Specify contact website.
WDSC hõlmab ja võimaldab seadistada järgnevaid kaitstavaid alasid ning on soovitav sisse lülitada:
Virus & threat protection – soovitav on sisse lülitada reaalajas skaneerimine ning lisaks ka
täiustatud anti-ransomware lisad ja seadistada kontrollitud kaustade ligipääsud. Täpsemalt saab
siit lugeda: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-
defender-exploit-guard/controlled-folders-exploit-guard (vt hardcopy Intsidendi_haldus_4.pdf).
Device performance & health – jälgib ja tuvastab arvuti jõudlusega seotud probleeme, kaasa
arvatud kettruumi otsasaamist.
Firewall & network protection – tuleks seadistada tööjaama tulemüür, seda on kirjeldatud
eespool.
App and browser control – kaitseb andmeid ja seadet kahtlaste koodijuppide eest, mis on
peidetud veebilehtedesse, rakendustesse ja failidesse. See funktsionaalsus tasub igal juhul sees
hoida. Siin all on ka Windows Defender Exploit Guard, mis lubab seadistada ja vähendada oma
töötajate rakenduste rünnakute võimalust (võimalik GPO-põhine lisamine). Sisaldab järgnevaid
lisasid:
Exploit protection – tegemist on funktsionaalsusega, mis kaitseb ja rakendub
operatsioonisüsteemi automaatsete protsesside ja rakenduse ärakasutamise kaitseks.
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-
exploit-guard/exploit-protection-exploit-guard (vt hardcopy Intsidendi_haldus_5.pdf)
Attack surface reduction rules (vajalik Windows Enteprise või Educational litsents) –
funktsionaalsus aitab tuvastada ja ennetada käitumuslikul pahavaral arvuti nakatamist
pahatahtliku koodiga. Võimalik seadistada GPOga ja Powershellist:
Set-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -
AttackSurfaceReductionRules_Actions Enabled.
Täpsemat infot saab siit: https://docs.microsoft.com/en-us/Windows/security/threat-
protection/Windows-defender-exploit-guard/enable-attack-surface-reduction (vt hardcopy
Intsidendi_haldus_6.pdf) ja logi on võimalik vaadata Event viewerist.
Network protection – aitab ennetada ja vähendada internetist pärit sündmuste rünnakuid
arvutile. Võimalik seadistada GPOga või Powershelliga:
Set-MpPreference -EnableNetworkProtection Enabled
Logi on võimalik vaadata Event viewerist.
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-
exploit-guard/network-protection-exploit-guard (vt hardcopy Intsidendi_haldus_7.pdf)
Controlled folder Access – aitab väärtuslike andmetega kaustu pahatahtlike rakenduste ja
ohtude (näiteks lunavara rünnakute) eest kaitsta. Seadistamiseks on vaja valida Virus & threat
protection settings > Controlled folder Access. https://docs.microsoft.com/en-
us/windows/security/threat-protection/windows-defender-exploit-guard/controlled-folders-
exploit-guard (vt hardcopy Intsidendi_haldus_8.pdf)
Kui on vaja lisada kaitstud kaustu, siis tuleb valida Protected folders ja Add a protected folder.
Kui kaitstud kaustadesse on vaja programme lisada, siis tuleb valida Allow an app through Controlled
folder Access ja Add an allowed app.
Family options – ettevõtte tasemel ei ole seda vaja seadistada.
Windows Defenderi võimaluste kohta saab põhjalikumalt lugeda siit: https://docs.microsoft.com/en-
us/windows/security/threat-protection/windows-defender-atp/windows-defender-advanced-threat-
protection (vt hardcopy Intsidendi_haldus_9.pdf)
7.1.3 Kolmanda osapoole vahendid
Pahavaratuvastust ja -kaitset pakuvad mitmed kolmanda osapoole tarkvara loojad. Tuntumad neist on F-
Secure, Eset jt.
F-Secure pahavara tuvastuse ja kaitse valikust on võimalik valida pilvepõhise ja lokaalsel serveril asuva
lahenduse vahel https://www.F-Secure.com/en/business/products. Nn maapealne lahendus on Business
Suite, see pakett sisaldab järgnevaid lisasid:
Keskne haldus – lihtne haldamine, tulemüürireeglite keskne seadistus ja haldus.
Turvapaikamine – peale Microsofti ka kolmandate osapoolte tarkvara uuendamine.
Täiendatud veebikaitse –kahtlaste ja nakatunud saitide ning sisu kontroll ja blokeerimine ning
ohtlike skriptide tuvastus, et kaitsta ärikriitilist veebitegevust.
Vajadusel Proxy kasutamine.
Seadmete kontroll – võimaldab piirata, lubada ja keelata füüsilisi seadmeid nt. USB-pulgad.
Mitmetasemeline Anti-Malware kaitse – ei ole kasutusel ainult ühet tüüpi mootor (nt.
signatuuripõhine, deepguard).
AD sünkroniseerimine ja kasutajate õiguste määramine.
Botneti kaitse.
Dataguard – lisatud krüptovara kaitse.
Programmide ja aplikatsioonide kontroll – võimaldab piirata programmide käivitamist,
installimist jms.
Pilvepõhine lahendus Protection Service for Business (PSB) ja lisad on samade omadustega, mis
maapealsed. Halduses on paar täiendavat võimalust:
Mobiilide haldus ja VPN
Rapid Detection and Reponse – võimaldab PSBle lisada mooduli, kus tehisintellekt analüüsib
reaalajas võrguliiklust ja annab intsidendi korral sellest teada.
Eset võimaldab samuti nii pilvepõhiseid kui ka maapealseid keskhaldusega lahendusi.
https://www.eset.com/us/business/small-business/. Mõlemad sisaldavad järgmiseid omadusi:
HIPS – käitumuslik tuvastus
pNAP – võrgu tasemel töötav kaitse
Tootesisene sandboxing – loob isoleeritud virtuaalse keskkonna
Tulemüür
Lunavara kaitse – jälgib programme käitumispõhiselt
Täiustatud mäluskänner – jälgib mälus jooksvaid protsesse
Botneti kaitse.
7.2 Logimine
Logimine on tähtis, sest see võimaldab intsidendi toimumist tuvastada ja selle juurpõhjust leida.
ISKE B 5.22 järgi mõistetakse IT-süsteemide käitamisel logimise all andmete käsitsi või automaatset
salvestamist sellisel kujul, mis aitab leida vastuseid järgmistele küsimustele: mida keegi põhjustas (st
kasutas), millal ta seda tegi ning milliseid vahendeid ta rakendas.
Nagu eespool mainitud, saab logimist teha ainult lokaalselt või koguda logisid ka eraldi kesksesse
logiserverisse. Keskne logiserver võimaldab logisid paremini analüüsida ja logide tervikluse ja
tõestusväärtuse paremini tagada. Kahjuks nõuab keskne logiserver palju ressurssi ega ole väiksemate
asutuste puhul mõistlik.
Juhendis tutvustame, kuidas logimisi Windows kohtvõrgus seadistada – kuidas täpsemalt Windowsi
serveri teenuseid ja ka tulemüüre või switche logida. Viitame ka erinevatele kesksetele logihalduse
võimalustele ja kirjeldame, kuidas neid seadistada, et logide terviklus tagada.
Logimiseks tasub läbi mõelda, milliseid logisid organisatsioonil on vaja (ISKE M 4.431).
7.2.1 Windowsi teenuste logimine
Teenused, mida Windowsi serverite puhul tasub logida, on AD, NPS, DNS, DHCP ning failiserveri puhul
failide poole pöördumised.
AD logimine annab ülevaate, kas kontodes on tehtud muudatusi, kas kasutajakontode sisselogimisel on
esinenud anomaaliaid (nagu kahtlane kellaaeg või kahtlane arvuti) või on need mingil põhjusel
ebaõnnestunud.
NPS logimine aitab jälgida, milliseid erinevaid ühendusi (VPN, 802.1x) on loodud ja milliseid ühendusi on
proovitud seda serverit kasutades luua.
DNS ja DHCP serveri logid aitavad võõra seadme võrgus olemise kahtluse puhul tuvastada, millal, mis
nime ja IP aadressiga seade võrgus oli.
Failide poole pöördumise logimine aitab tuvastada, kas keegi on proovinud ligi pääseda failidele, millele
tal õigused puuduvad, kui midagi on kustutatud, siis milline kasutaja need kustutas ja teatud juhtudel
(näiteks BYOD puhul või tähtsate kataloogide puhul) jälgida kõiki muudatusi, mis failidega tehakse.
Samuti tasub Windowsi serveri puhul logida kui serveri või teenuste töös esineb tõrkeid või
ülekoormust, kui süsteemipoliitikas on toimunud muutusi, milliseid muudatusi on logide endaga tehtud
jms. See tagab serveri tervikluse ja annab ülevaate serveri kohta.
Microsoft soovitab jälgida sündmuseid, mis on kirjeldatud dokumendis: https://docs.microsoft.com/en-
us/Windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor (vt hardcopy
Intsidendi_haldus_10.pdf).
7.2.1.1 Windowsi server, AD ja NPS logimine
Windowsi serveri logimiseks tuleb GPO kaudu auditeerimised sisse lülitada. Saame lähtuda Microsofti
Best Practices soovitustest: https://docs.microsoft.com/en-us/Windows-server/identity/ad-
ds/plan/security-best-practices/audit-policy-recommendations (vt hardcopy Intsidendi_haldus_11.pdf).
Selleks tuleb GPO luua selle OU külge, kus asuvad serverid (lisatud on rühmapoliitika näidis nimega
24_Logimine_Serveri Logimine) ja linkida ka selle OU külge, kus asuvad tööjaamad (lisatud on
rühmapoliitika näidis nimega 25_Logimine_Arvuti logimine). Domeenikontrollerite logimiseks tuleb GPO
linkida ka Domain Controllers OU külge (lisatud on rühmapoliitika näidis nimega 26_Logimine_DC
Logimine).
1. Computer Configuration – Policies - Windows Settings – Security Settings – Local Policies –
Security Options ja määrata Enabled omadus Audit: Force audit policy subcategory setting
(Windows Vista or later) to override audit policy category settings.
See omadus on vajalik, et auditeerimise alamkategooriatesse tehtavad muudatused
rakenduksid.
2. Computer Configuration – Policies - Windows Settings – Security Settings - Advanced Audit
Policy Configuration – Audit Policies ning muuta järgevad sätted Microsofti soovituste järgi:
a. Account Logon alt
i. Audit Credential Validation – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
ii. Audit Kerberos Authentication Service – määrata, et logitaks nii Success kui ka
Failure sündmuseid.
iii. Audit Kerberos Service Ticket Operations – määrata, et logitaks nii Success kui ka
Failure sündmuseid.
iv. Audit Other Account Logon Events – määrata, et logitaks nii Success kui ka
Failure sündmuseid.
b. Account Management alt
i. Audit Computer Account Management – määrata, et logitaks nii Success kui ka
Failure sündmuseid.
ii. Audit Other Account Management Events – määrata, et logitaks nii Success kui
ka Failure sündmuseid.
iii. Audit Security Group Management – määrata, et logitaks nii Success kui ka
Failure sündmuseid.
iv. Audit User Account Management – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
c. Detailed Tracking alt
i. Audit DPAPI Acitvity – määrata, et logitaks nii Success kui ka Failure sündmuseid.
ii. Audit Process Creation – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
d. Logon/Logoff alt
i. Audit Account Lockout – määrata, et logitaks Success sündmuseid.
ii. Audit Logoff – määrata, et logitaks Success sündmuseid.
iii. Audit Logon – määrata, et logitaks nii Success kui ka Failure sündmuseid.
iv. Audit Network Policy Server – määrata, et logitaks nii Success kui ka Failure
sündmuseid (ainult serverite GPO puhul).
v. Audit Other Logon/Logoff Events – määrata, et logitaks nii Success kui ka Failure
sündmuseid (ainult serverite GPO puhul).
vi. Audit Special Logon – määrata, et logitaks nii Success kui ka Failure sündmuseid.
e. Policy Change alt
i. Audit Policy Change – määrata, et logitaks nii Success kui ka Failure sündmuseid.
ii. Audit Authentication Policy Change – määrata, et logitaks nii Success kui ka
Failure sündmuseid.
iii. Audit MPSSVC Rule-Level Policy Change – määrata, et logitaks Success
sündmuseid.
f. System alt
i. Audit IPSec Driver – määrata, et logitaks nii Success kui ka Failure sündmuseid.
ii. Audit Other System Events – määrata, et logitaks nii Success kui ka Failure
sündmuseid (ainult serverite GPO puhul).
iii. Audit Security State Change – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
iv. Audit Security System Extension – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
v. Audit System Integrity – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
g. DS Access alt (vajalik ainult domeeni kontrolleri puhul)
i. Audit Directory Service Access – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
ii. Audit Directory Service Changes – määrata, et logitaks nii Success kui ka Failure
sündmuseid.
Kui peale GPO rakendamist Local Security Policy’t vaadata, pole seal näha, et need oleks rakendunud.
Nende sätete rakendumist saab kontrollida käsuga
auditpol.exe /get /category:*.
Kõigi nende sündmuste logid kogutakse Event Viewer – Security logisse.
NPS logimine lülitati sisse punktis d.iv. ja neid on võimalik eraldi näha Custom Views - Server Roles –
Network and Policy Server.
7.2.1.2 DNS serveri logimine
DNS audit logi on vaikimisi sisse lülitatud. Logimise detailsust saab häälestada DNS Server konsoolis.
Paremklõps serveri nimel – Properties – Event Logging. All Events on vaikimisi sees.
DNS logisid on võimalik näha Applications and Services Logs – DNS-Server või Custom Views – Server
Roles – DNS Server (serveri teenuse logid, teenuse restart, tegevused jne) ja Applications and Services
Logs – Microsoft – Windows – DNS-Server- Audit (DNS kirjete loomise ja kustutamise logi).
Alates Windows 2012 R2st on võimalus sisse lülitada DNS analüütiline logi. See on asjakohane, kui on
vaja analüüsida kindlat päringuprobleemi, muul juhul ei ole mõistlik seda sees hoida. Logi nähtavale
toomiseks tuleb minna Event Vieweris – Applications and Services Logs – DNS-Server, paremklõps View –
Show Analytic and Debug Logs. Analüütilist logi on võimalik näha Applications and Services Logs –
Microsoft – Windows – DNS-Server-Analytic.
Isegi kui see on nähtavale toodud, on see vaikimisi välja lülitatud. Sisselülitamiseks teha paremklõps
Analytic peal ja Enable Log. Kui teha lihtsalt Enable log, siis kohe pole logi sisu näha, vaid see tuleb
nähtavale peale seda, kui teha Disable Log. Teine võimalus on teha paremklõps Properties peal ja valida
Do not owerwrite events (Cleat logs manually) ja seejärel Enable log. Sellisel juhul on logid kohe näha.
DNS serveri logimist on võimalik seadistada ka PowerShell käsuga docs.microsoft.com/en-
us/powershell/module/dnsserver/set-dnsserverdiagnostics?view=win10-ps vt Intsidendi_haldus_19.pdf.
7.2.1.3 DHCP serveri logimine
DHCP logisid on võimalik näha Event Vieweris Custom Views - Server Roles – DHCP Server (serveri
teenuse logid, teenuse restart, tegevused jne) ja Application and Services – Microsoft – DHCP-Server
(erinevad auditi logid, DHCP teenuse muudatuse logid).
Täpsem DHCP audit logi (DHCP päringud jms) on vaikimisi sisse lülitatud ja asub kaustas
C:\Windows\System32\dhcp\.
Kui see on mingil põhjusel välja lülitatud või on vaja sätteid muuta, saab seda teha mitmel viisil:
1. Käivitada Powershell käsk:
Set-DhcpServerAuditLog -Enable $True.
Kui soovitakse muuta logifaili asukohta ja suurust, saab seda teha sama käsu parameetritega:
Set-DhcpServerAuditLog -Enable $True -Path C:\Logs\DHCP -MaxMBFileSize 100
Sätete rakendumiseks on vajalik DHCP server teenuse restart.
Täpsem informatsioon antud käsu kohta: https://docs.microsoft.com/en-
us/Powershell/module/dhcpserver/set-dhcpserverauditlog?view=win10-ps (vt hardcopy
Intsidendi_haldus_12.pdf).
2. Haldusliidesest:
Käivitada Server Manager – Tools – DHCP, valida kas IPv4 või IPV6 (vastavalt vajadusele)
paremklõps Properties ja General vahelehel – Enable DHCP audit logging. Logi asukohta saab
muuta Advanced vahelehelt Audit Log file path.
7.2.1.4 Failiserveri logimine
Failiserver on asutuse üks kriitilisemaid teenuseid, sest seal asuvad tihtipeale igapäevased tööks
vajalikud failid ning need võivad sisaldada ka tundlikke andmeid. Saamaks paremat ülevaadet, milliseid
toimetusi failidega tehakse või failidega esineva intsidendi puhul selle põhjuse leidmiseks tuleks sisse
lülitada jagatud kaustade logimine.
Tavaliste jagatud kaustade puhul tasuks auditeerida kõigi kasutajate ebaõnnestunud tegevusi ning kõiki
õnnestunud kustutamisi, õiguste muutmist ning kaustade või failide omastamist.
Kui asutuses on kasutuses ka BYOD sülearvutid, siis nende seadmete omanike puhul tasub logida kõik
tegevused, sest on tähtis, et nad ei kopeeriks faile oma arvutisse.
Samuti võib olla mõni tundlikum kataloog, mille puhul on tähtis, et kõik tegevused oleksid logitud.
Failiserveri kataloogide logimise sisse lülitamiseks on vaja teha kaks tegevust:
1. Lülitada GPOga sisse Object Access auditeerimine. Selleks teha GPO selle OU külge, kus
failiserver asub. Lisatud on rühmapoliitika näidis nimega 27_Logimine_Failiserveri logimine. Kui
see pole juba muu GPOga määratud, siis lülitada sisse Computer Configuration – Policies –
Windows Settings – Security Settings – Local Policies – Security Options alt policy Audit: Force
audit policy subcategory settings (Windows Vista or later) to override audit policy category
settings.
Peale seda minna Computer Configuration – Policies – Windows Settings – Security Settings –
Advanced audit policy configuration – Audit Policies. Punkti Object Access alt:
a. Audit File System - määrata, et logitaks nii Success kui ka Failure sündmuseid.
b. Audit Handle Manipulation - määrata, et logitaks nii Success kui ka Failure sündmuseid.
c. Audit File Share - määrata, et logitaks nii Success kui ka Failure sündmuseid.
2. Kaustal, mida soovitakse logida, tuleb auditeerimine sisse lülitada. Selleks tuleb minna soovitud
kausta peale ja teha paremklõps Properties. Avanenud aknas valida Security vaheleht ja sealt
Advanced. Edasi valida vaheleht Auditing ja Add. Principal puhul valida Everyone, valida Type
Success ja jätta Applies to samaks, mis pakutakse. Seejärel valida Show advanced premissions,
eemaldada kõik teised linnuksed ning valida omadused Delete subfolders and files, Delete, Read
premisssions, Change premissions ja Take ownership.
Peale Seda valida uuesti Add, määrata Principal Everyone, Type Fail ning valida Full Control.
Kui teatud gruppide või kaustade puhul on vaja erinevalt logida, tuleb ka need reeglid
samamoodi luua. Näiteks, et logida BYOD kasutajate grupi kõiki tegevusi, tuleb valida
Principaliks vastav grupp, Type Success ning õigusteks Full Control (Type Faili ei ole vaja eraldi
teha, sest see on juba vaikimisi kõikidel kaustadel rakendatud).
Kui on vaja, et näiteks raamatupidamise kausta kõik tegevused oleks logitud, tuleb minna selle
kausta Auditing vahelehele ning sealt lisada reegel, kus Principal on Everyone ja premissions on
Full Control.
Failiserveri auditeerimine suurendab märgatavalt logide arvu. Security log suurust on soovitatav
suurendada vähemalt 500 MB peale ja arhiveerida logi siis, kui see on täis, või seadistada mingi
rotatsioon. Kui on vaja leida informatsiooni failide poole pöördumise kohta tasub peamiselt jälgida Event
ID 4663.
7.2.2 Süvalogimine
Süvalogimine on logimine, mis logib täpsemalt süsteemis toimuvaid tegevusi (protsesside loomine,
failide ning võrguühenduste muudatused), mis võimaldavad paremini tuvastada, kas serveris toimub
anomaaliaid või pahatahtlikke tegevusi.
Süvalogimine aitab turvaintsidendi korral intsidendi alget tuvastada, kui seda ei ole võimalik tuvastada
tavavahenditega. Näiteks kui on kahtlus, et serveris toimuvad mingid tegevused, mida ei tohiks olla, aga
pole olnud võimalik neid tuvastada või näiteks kui kasutaja arvuti nakatub pidevalt uuesti sama viirusega
ning pole suudetud leida selle juurpõhjust.
Süvalogimist ei ole vaja pidevalt sees hoida kui tegu ei ole just kõrge turvalisusega keskkonnaga, mille
kõik tegevused peavad olema väga detailselt pidevalt logitud.
Käepäraseks süvalogimise lahenduseks on Sysmon, mis võimaldab logida protsesside, draiverite jt.
detailsemaid muudatusi. Sysmoni koos tutvustuse ja paigaldusjuhendiga leiab aadressilt
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
Sysmoni paigaldamisel võib kasutada vaikekonfiguratsiooni (installimisel käsuga sysmon -accepteula –i),
rakenduse detailsemaks häälestamiseks saab aluseks võtta konfiguratsioonifailide näidised
https://Github .com/SwiftOnSecurity/sysmon-config (vt hardcopy Intsidendi_haldus_13.pdf), mida võib
vastavalt oma vajadustele täiendada.
Sysmoni loodud logisid saab lugeda Event Vieweris – Applications and Services Logs – Windows – Sysmon
– Microsoft-Windows-Sysmon/Operational.
7.2.3 Võrguseadmete logimine
Võrguseadmete logid annavad palju informatsiooni selle kohta, mis võrgus toimub ning seda saab siduda
ka teiste logidega, et luua hea ülevaade ning paremini intsidente tuvastada. Kui võrguseadmed seda
toetavad, tasub kõigis võrguseadmetes (tulemüürid, switchid, WiFi seadmed) logimine sisse lülitada.
Kuna iga võrguseadme seadistus on individuaalne, tasub täpsemat logimise seadistuse infot uurida
vastava võrguseadme dokumentatsioonist. Samuti on dokumentatsioonis kirjas logide kesksesse
haldussüsteemi saatmise seadistused. Tuleb kindlasti jälgida, milliseid logisid sinna saadetakse, kuna
tulemüürid genereerivad palju logisid ning kõige saatmisel kesksesse logiserverisse tekib probleem.
Võrguseadmete ja muude seadmete logide omavahel sidumisel on tähtis, et kõigi seadmete kellaaeg
oleks ühtne. Windows domeenivõrgus soovitame selleks seadistada kõigi seadmete NTP serveriks
domeenikontrolleri serveri.
Kindlasti tasub logida ja keskselt säilitada võrguseadmete konfiguratsioonimuudatusi, kasutajakontode
muudatusi ning nende sisse- ja väljalogimisi (nii edukaid kui ka ebaõnnestunuid) (vt ka ISKE M 4.47).
Kui tulemüür seda toetab, tasub kindlasti sisse lülitada sissetungituvastuse ja -vältimise süsteemid ning
nende logimised, mis aitavad kaasa intsidentide tuvastusele ja ennetusele.
7.2.4 Logide keskhaldus
Logide keskne talletamine annab süsteemis toimuvast parema ülevaate, lihtsustab mistahes
analüüsimeetodi kasutamist ning lubab rakendada tõhusaid meetmeid logide tervikluse tagamiseks.
Logide keskseks halduseks on saadaval väga mitmeid erinevaid lahendusi, millel kõigil on oma head ja
halvad omadused.
Nii tasuliste kui ka vabavaraliste lahenduste funktsionaalsus on tavaliselt sama, aga vabavaraliste
lahenduste korral tuleb vajalikud päringud, mis kogutud logidest informatsiooni otsivad ja seda mugaval
kujul esitavad, ise luua. Tasuliste lahenduste puhul on taoline analüütiline pool tavaliselt juba loodud,
olemas on suur hulk erinevaid päringuid ja neid saab ka ise lisada. Tavaliselt eeldavad vabavaralised
lahendused administraatorilt rohkem seadistamist, tasulised on pigem out-of-box lahendused.
Erinevate lahenduste näited:
ELK stack https://www.elastic.co/elk-stack;
Splunk https://www.splunk.com/;
Azure Monitor https://docs.microsoft.com/et-ee/azure/azure-monitor;
Graylog https://www.graylog.org/ jt.
Juhendis kasutame logide keskseks talletamiseks vabavaralist ELK stack (Elasticsearch, Logstash, Kibana)
lahendust, mis võimaldab toimuvast paremat ülevaadet andva töölaua seadistamist ning logide
arhiveerimist. ELK stacki saab paigaldada nii Linuxi kui Windowsi serverile, juhendis keskendume
Windowsi versioonile ning serverina on kasutusel Windows Server 2016.
7.2.4.1 Logitasemed
Iga logiteade sisaldab tavaliselt informatsiooni teavituse taseme kohta, mis annab infot teate
kriitilisusest. Windowsi seadmetes on tavaliselt neli logitaset: informatiivne (rakenduse teavitus millegi
toimimise kohta), hoiatav (teavitus sündmuse kohta, millest võib potentsiaalselt viga tekkida), viga või
kriitiline (rakenduse töös tekkis tõsine viga). Ka teistel seadmetel ja tarkvaradel on tavaliselt erinevad
logitasemed, mille kohta saab informatsiooni nende dokumentatsioonist. Enne keskse logide kogumise
seadistamist tasub planeerida, millist informatsiooni oleks mõistlik kesksesse logiserverisse koguda. Kui
sinna koguda kõik tasemed, kasvab kasutatav kettamaht eksponentsiaalselt ning samuti on sellist mahtu
keeruline analüüsida.
7.2.4.2 ELK Stacki seadistamise juhend
ELK Stack on kolme vabavaralise toote kogum – Elasticsearch, Logstash ja Kibana. Elasticsearch on
otsingu- ning analüüsi andmebaas/mootor. Logstash on logide kogumise tööriist, mis võtab logisid vastu
mitmest sisendist, suudab neid teisendada ja andmeid edasi erinevatesse väljunditesse saata. Kibana on
Elasticsearch pistikprogramm, mis võimaldab Elasticsearchis olevaid andmeid visualiseerida. Koos
töötades kogub ja analüüsib Logstash logisid, Elasticsearch indekseerib ja hoiustab informatsiooni ning
Kibana pakub võimaluse kogutud andmete põhjal visuaalseid graafikuid luua.
ELK Stack vajab küll palju seadistamist ja sellel pole kõiki omadusi, mis tasulistel variantidel, kuid see
pakub siiski piisavalt võimalusi. ELK Stack on üsna ressursinõudlik, vaja on vähemalt 4 CPUd ja 8 GB mälu
(16 - 32 GB muudab töö mõistagi kiiremaks).
ELK Stacki Windowsi serverile installeerimiseks on mitmeid juhendeid:
1. https://medium.com/@samil.mehdiyev/elk-stack-on-Windows-server-part-2-installation-
d2a7200b65a6 (vt hardcopy Intsidendi_haldus_14.pdf)
2. https://logz.io/blog/installing-the-elk-stack-on-Windows/ (vt hardcopy
Intsidendi_haldus_15.pdf)
7.2.4.2.1 Logstashi seadistamine
Logstashi seadistamisel tuleb erinevate logide kogumiseks teha erinevad sisendid. Sisendeid
seadistatakse logstash.json failis (vaikimisi C:\ELK\logstash\bin\logstash.json).
Fail koosneb kolmest osast:
1. Input – erinevate logide puhul tuleb vastavalt tüübile teha erinevad sisendid.
2. Filter – erinevate sisendite ja sisendi tüübi järgi saab väärtustega teha muudatusi.
3. Output – üldjuhul on väljundiks Elasticsearch, mis talletab, arhiveerib ja indekseerib kõik logid.
Selleks, et Logstashi ja serverite vaheline suhtlus toimuks üle turvalise kanali, tuleb luua sertifikaat ja
privaatvõti ning need Logstashi konfiguratsioonifailis seadistada.
Sertifikaadi päringu loomiseks Windowsi serveris tuleb sinna installeerida OpenSSL:
https://blog.didierstevens.com/2015/03/30/howto-make-your-own-cert-with-openssl-on-Windows/ (vt
hardcopy Intsidendi_haldus_16.pdf).
Sertifikaadi saab pärida Windowsi CAd kasutades. Võib kasutada ka ise loodud sertifikaati või sertifikaadi
mujalt osta, aga kui Windows CA on võrgus olemas, siis on see kõige mõistlikum, sest kõik domeeniga
seotud masinad usaldavad seda sertifikaati.
Privaatvõtme, sertifikaadipäringu ja sertifikaadi loomiseks tuleb teha järgenvad sammud:
1. Peale programmi installi tuleb avada käsuviip ja minna OpenSSL kausta (näiteks cd C:\Program Files\OpenSSL-Win64\bin) ja seal käivitada käsk ELK kausta privaatvõtme loomiseks (näiteks C:\ELK). openssl genrsa 2048 -out C:\ELK\private\logstash.key
2. Luua sertifikaadipäring
openssl req -new -sha256 -key C:\ELK\private\logstash.key -out C:\ELK\certs\logstash.csr
Common name panna oma logstash serveri nimi (logserver.test.local).
3. Pärida sertifikaat. Selleks tuleb minna oma CA CertSRV veebilehele, valida sealt Request a
Certificate, advanced certificate request, Submit a certificate request by using a base-64-encoded
CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
Järgmiseks võtta loodud request faili sisu ning sinna kopeerida. Certificate Template võib olla
Web Server ning seejärel vajutada Submit. Sertifikaadifail tuleb alla laadida kui Base 64 encoded.
Fail tuleb ümber nimetada kui logstash.cer ja liigutada näiteks C:\ELK\certs kausta.
4. Laadida alla ka CA sertifikaat ja liigutada see C:\ELK\certs kausta.
5. Seadistada logstash.json failis iga inputi kohta, et kasutataks SSLi ja määrata sertifikaadi ja
privaatvõtme asukoht:
ssl_enable => true
ssl_verify => false
ssl_certificate_authorities => "C:\ELK\certs\root.cer"
ssl_cert => "C:\ELK\certs\logstash.cer"
ssl_key => "C:\ELK\private\logstash.key"
Näidisena on lisatud konfiguratsioonifail, kus on seadistatud Event Vieweri logide vastuvõtmine.
Erinevad filtrid ja nende tööpõhimõte on kirjeldatud juhendites:
https://www.elastic.co/guide/en/logstash/current/filter-plugins.html (vt hardcopy
Intsidendi_haldus_17.pdf).
Logisid arhiveeritakse Logstash outputi abil. Võimalik on määrata arhiivi asukoht ning sorteerida logid
aastate ja neid saatnud seadmete järgi kaustadesse. Soovi korral on võimalik arhiveeritavad logid kokku
pakkida. See konfiguratsioon on järgmine:
output {
file {
path => "E:\logarchive\%{+YYYY}\%{hostname}\log%{+YYYY-MM-dd}.gz"
codec => "rubydebug"
gzip => true
}
}
Logisid salvestatakse logiserverisse jaotusega iga hosti logi kuupäevade kaupa, salvestamise käigus dubleeritakse Logstash logid nii, et üks koopia andmetest jääb Elasticsearchi ja teine faili kujul arhiivi.
7.2.4.2.2 NXlogi seadistamine
Selleks, et logid jõuaksid serveritest ja mujalt kesksesse kohta, on vaja programmi, mis neid sinna
saadaks. Variante on mitmeid, praeguses dokumendis kasutame NXLOG programmi.
Windows serverisse tuleb paigaldada NXLOG ja teha soovitud sündmuste kogumiseks vajalikud
häälestused konfiguratsioonifailis.
NXLOG saab alla laadida lehelt https://nxlog.co/products/nxlog-community-edition/download.
NXLOG konfiguratsioon asub kaustas C:\Program Files (x86)\nxlog\conf.
Konfiguratsioonifailis tuleb näidata, milliseid sündmusi ja millisel tasemel soovitakse koguda.
Kuna kõikide teenuste logide formaat on erinev, tuleb need eraldi edasi saata ja logiserveris vastu võtta,
et oleks võimalik neid erinevalt parsida. Selleks on NXLOG konfiguratsioonis tehtud EventLog kohta
eraldi sisendid.
EventLog sisendis saab määrata erinevaid logimise tasemeid.
Samuti tuleb NXlog certs kausta kopeerida domeeni CA sertifikaat ja määrata see konfiguratsioonis kui
CAFile C:\Program Files (x86)\nxlog\cert\root.cer.
7.2.4.3 Logide terviklus
Selleks, et logisid intsidendi juurpõhjuse leidmiseks kasutada, on vaja tagada logide terviklus ja
tõestusväärtus (logisid ei ole muudetud).
Ligipääs arhiveeritud logifailidele tuleb piirata ning nende failide poole pöördumised täiendavalt logida.
Kuna ELK Stack hoiab failide koopiaid (üks koopia Elasticsearchis ja teine arhiivis), tekib võimalus neid
omavahel võrrelda ning seeläbi logide terviklus tagada.
7.2.4.3.1 Arhiveeritud logide turvamine
Arhiveeritud logide ligipääsu piiramiseks saab teha järgmist:
Piirata arhiivikataloogide puhul õigused selliselt, et failidele oleks ligipääs ainult kasutajal SYSTEM ning
ainult selleks ettenähtud kasutajal, näiteks: domeen/arhiveerija. Kataloogi omanikuks tuleb määrata
sama kasutaja.
1. Kasutaja parool on kättesaadav ainult paroolide peakasutajale, mitte tavaadministraatoritele.
2. Selle kasutaja sisse logimist logiserverisse tuleb piirata – tal ei tohi olla ligipääsu üle võrgu (faili
share’de) ja RDP-ga.
3. Kui arhiveerimiseks määratud kasutaja õigustes on vaja süsteemile ligi saada, saab domeeni
administraator seda ajutiselt lubada. Selle muutmisele on vaja peale panna ka auditeerimine:
3.1. Lülitada sisse Local Security Policys Audit Authentication Policy Change ja jälgida järgmisi
evente:
3.1.1. EventID 4718 – kui kasutaja eemaldatakse Deny access to this computer from the Network
või Deny log on through Remote Desktop Services alt.
3.1.2. EventID 4717 – kui kasutaja lisatakse Deny access to this computer from the Network või
Deny log on through Remote Desktop Services alla.
3.2. Local Security Policyga tuleb administraatoritel keelata endale omaniku rolli võtmine. Sellega
võetakse administraatoritelt võimalus arhiveeritud kataloogis õiguste muutmiseks. Muudatuste
jälgimiseks tuleb sisse lülitada Authorization Policy Change. Jälgida tuleb evente:
3.2.1. EventID 4705 – Kasutajalt võeti ära õigus Take ownership of files or other objects.
3.2.2. EventID 4704 – Kasutajale anti õigus Take ownership of files or other objects.
Lisaks on logide tervikluse tagamiseks teisi variante:
1. Logide aheldamine
2. Ajatembeldamine
3. Räsi loomine ja igapäevane kontroll
7.2.4.3.2 Logide aheldamine
Üks võimalus logide kaitsmiseks on need omavahel krüptoaheldada. Krüptoahel kujutab endast seda, et
iga logikirje sisaldab logikirjet ja eelmise logikirje põhjal loodud räsi. Kui muuta mingit logikirjet, saab
selle kohe avastada, sest ahel läheb katki.
Selle loomiseks on mitmeid lahendusi, RIA pakub tasuta tarkvara Pythoni baasil. See lahendus töötab nii
Windowsi kui Linuxi peal. Selle saab alla laadida siit: https://www.ria.ee/sites/default/files/content-
editors/publikatsioonid/slog.zip
Windowsis tuleb selleks paigaldada ka Python 2.6 (RIA leheküljel olev slog nõuab kindlalt seda Pythoni
versiooni) ja Python for Windows Extension. Need saab alla laadida siit:
https://www.python.org/ftp/python/2.6/python-2.6.amd64.msi
ja siit:
https://Github .com/mhammond/pywin32/releases/download/b221/pywin32-221.win-amd64-
py2.6.exe
Peale Pywin installi anda kindlasti ka käsk:
python C:\Python26\Scripts\pywin32_postinstall.py –install
Samuti lisada C:\Python26 PATH muutuja juurde.
Rakenduse Windowsi installiks tuleb slog zip pakett kõigepealt luua Linuxi serveris (selleks võib kasutada
ka Windows Subsystem for Linux lahendust https://docs.microsoft.com/en-us/windows/wsl/install-
win10 ) alla laetud securelog kausta:
.create_zip.sh
Loodud zip fail tuleb alla laadida ja serveris näiteks kausta c:\slog lahti pakkida.
Programmi installeerimiseks minna käsuviiba kaudu sinna kausta ja anda käsk:
slogdsvc.py install
Konfiguratsioonifailis (slogd.conf) tuleb määrata, millist logifaili peab jälgima ning kuhu kirjutatakse räsi.
Logiräsi kontrollimiseks anda käsud:
slogverify.py -l logi_ahela_failinimi
Tulemus on stiilis:
=== Analyzing file E:\Logchain\log.txt.0.20190413_162434 ===
First record in this file has sequence number of 0
Last record in this file has sequence number of 3844
Kui faili on muudetud, siis:
=== Analyzing file E:\Logchain\log.txt.0.20190413_162434 ===
First record in this file has sequence number of 0
Error on line 2347: Invalid linking info, log line probably tampered
Last record in this file has sequence number of 2347
ELK Stack puhul on seda võimalik kasutada vaikimisi slog võimalustega ainult siis, kui salvestada logi
arhiiv ühte logifaili, mis pole kokku pakitud. Logifailide rotatsioon tuleks teha käsitsi või automatiserida
teiste vahenditega kui Logstash ise.
7.2.4.3.3 Ajatembeldamine
Ajatembeldamine on logi tõestusväärtuse tagamise võimalus. Ajatempel näitab, et sellel ajahetkel on
taoline logi eksisteerinud. Selleks on vaja logifailile lisada usaldusväärse ajatempliteenuse osutaja antud
ajatempel. Ajatempel näitab, et sellel ajahetkel on taoline, sellise sisuga logi olemas olnud. Ajatempel
koosneb logi pealt loodud räsist ja ajatempli teenusepakkuja poolt sellega seotud ajast.
Riigiasutustel on võimalik ajatempli jaoks kasutada GuardTime lahendust, Eestis pakub ajatempli teenust
ka SK: https://www.sk.ee/teenused/ajatempliteenus (vt hardcopy Intsidendi_haldus_18.pdf).
7.2.4.3.4 Räsi loomine ja kontroll
Salvestatud logide muutmiskatse õigeaegse avastamise tagamiseks tuleb luua task, mis loob
igapäevaselt kõikide failide kohta räsi ning kontrollib, et failid pole muutunud. Informatsioon muutumise
kohta saadetakse peakasutaja e-postile.
Lahenduseks saab kasutada näiteks Microsofti tööriista Microsoft File Checksum Integrity Verifier:
https://www.microsoft.com/en-us/download/details.aspx?id=11533
Failide hash salvestatakse eraldi XML andmebaasi, mis asub C:\Windows kaustas: fciv.exe -add E:\logarchive -r -XML C:\Windows\loghashes.xml
Muudatuste kontrollimiseks tuleb käivitada käsk:
fciv -v -XML C:\Windows\loghashes.xml
Skript failide kontrolliks:
REM Lisame tänase kirje xml andmebaasi
C:\skripts\fciv.exe E:\logarchive -r -XML C:\Windows\loghashes.xml
REM kontrollime kas eelmise korraga võrreldes on midagi muutnud:
C:\skripts\fciv -v -XML C:\Windows\loghashes.xml > C:\Windows\loghashes.log
Powershell C:\skripts\e-mail.ps1
e-mail.ps1 skript:
$E-mailFrom = "[email protected]"
$E-mailTo = "[email protected]"
$Subject = "Hash verification tulemus"
$Body = "Lisatud on verification log"
$Attachment = "C:\Windows\loghashes.log"
$SMTPServer = "Ettevõtte meiliserver"
Send-MailMessage -from $E-mailFrom -to $E-mailTo -subject $Subject -body $Body -Attachment $Attachment -SMTPServer $SMTPServer
8 Segamudeli soovitused
8.1 Erinevate OS masinate halduspoliitika
RIA on seisukohal, et Windows 10 on turvalisem kui varasemad Windowsi versioonid ja selle kasutamine
on asutuse võrgus soovituslik. Paratamatult on olukordi, kus pole võimalik kõiki tööjaamu koheselt
Windows 10 peale uuendada.
Sellises olukorras tuleb luua vastav poliitika, millised vanemad Windows OS versioonid on lubatud ja
millised piirangud neil masinatel on. Peab arvestama, et lubatud ei tohiks olla vanemad Windowsi
versioonid, mida Microsoft enam ei toeta. Samuti tuleb seda poliitikat pidevalt uuendada kui mõni
versioon aegub. Hetkel oleks lubatud operatsioonisüsteemid Windows 7 (kuni 14.01.2020) ja Windows
8.1 (kuni 10.01.2023).
Samuti tuleb vanematel Windows OS seadmetel ebaturvalised funktsioonid välja lülitada ja vaadata, et
ka vanemad seadmed saaksid vajalikud uuendused. Tuleb arvestada, et paljud turvalisuse lisad nagu
näiteks Device Guard töötavad ainult Windows 10 peal.
Soovitused, mida teha:
1. Seadista WSUS või SCCM, et need kaasaks ka vanema OSi uuendusi.
2. Lülitada kõigil seadmetel välja SMB1.
3. Windows 7 arvutitel lülitada välja Desktop Gadgets.
4. Lülitada välja AutoRun
5. Otsustada, kas vanemaid seadmeid lubada failiserverile ligi. Lülitada serveris sisse SMB Security
Enhancments:
https://docs.microsoft.com/en-us/Windows-server/storage/file-server/smb-security (vt
hardcopy Segamudel_1.pdf)
Võimalusel uuendada tööjaamad Windows 10 peale.
8.1.1 Aegunud ebaturvaliste funktsioonide välja lülitamine GPOga
Keelata Windows Sidebar ja Gadgets: Computer Configuration > Policies > Administrative Templates >
Windows Components > Desktop Gadgets, sisse lülitada järgnevad seadistused:
Restrict unpacking and installation of gadgets that are not digitally signed – lubada.
Turn off desktop gadgets – lubada.
Turn Off user-installed desktop gadgets – lubada.
Lisatud on rühmapoliitika näidis nimega 28_segamudel_Keela Win Gadgets ja Sidebar.
Keelata autoplay ja autorun: Computer Configuration > Policies > Administrative Templates > Windows
Components > AutoPlay Policies ja seadistada järgnevad parameetrid:
Default behavior for AutoRun – lubada ja valida Do not execute any autorun commands.
Turn off Autoplay – lubada ja valida All Drives.
Turn off Autoplay for non-volume devices – lubada.
Lisatud on rühmapoliitika näidis nimega 29_segamudel_Keela autoplay.
Keelata SMBv1: (täpsem Microsoft juhend: https://support.microsoft.com/en-us/help/2696547/detect-
enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server vt hardcopy Segamudel_2.pdf).
Computer Configuration > Preferences > Windows Settings > Registry > New > Registry Item
Järgmiste parameetritega: MRxSMB10
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\services\mrxsmb10
Value name: Start
Value type: REG_DWORD
Value data: 4
LanmanWorkstation
Action: Replace
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Value name: DependOnService
Value type REG_MULTI_SZ
Value data: Bowser, MRxSmb20, NSI
Lisatud on rühmapoliitika näidis nimega 30_segamudel_SMBv1
8.1.2 Serverite GPOd, mis nõuavad kõrgemat turvalisust
SMBv1 keelamine serveril: Computer Configuration > Preferences > Windows Settings > Registry > New >
Registry Item
Järgnevate parmeetritega: LanmanServer
Action: Create
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Value name: SMB1
Value type: REG_DWORD
Value data: 0
Lisatud on rühmapoliitika näidis nimega 31_segamudel_SMBv1_server.
8.2 Automaatne paikamine
Juhul, kui ettevõttes on kasutusel vanemaid Windows operatsioonisüsteeme (näiteks Windows 7, 8 või
8.1), tuleks nendele vajalikud tarkvarauuendused WSUSis ja SCCMis Products valikute all lubada
samamoodi nagu seda tehakse Windows 10 puhul. Soovitav on nende lubamiseks teha eraldi reeglid ja
grupid ning Auto Approve või Deployment reeglid, et neid oleks lihtne eemaldada, kui nende eluiga läbi
saab.
9 Võrgu ja võrguseadmete füüsiline turvalisus
ISKE annab turvaliste serveriruumide ja nõrkvoolupaigaldiste rajamiseks piisavalt detailsed juhised.
Asutuse IT-meeskond peab tagama, et algselt kavandatud turvataset nende tegevuse või
tegevusetusega ei kahjustataks.
1. Serveriruum peab olema lukustatav ja varustatud signalisatsiooniga (ISKE B2.4) – andmeturbe
eest vastutaja roll on tagada, et uks ka tegelikult lukus püsib ja kõrvalistel isikutel serveriruumi
võtmele ligipääsu ei ole (ISKE M2.17).
2. Serveriruumi külastuste üle tuleb arvestust pidada.
3. Ka kõik ülejäänud seadmekapid ja võrgusõlmed peavad olema volitamata ligipääsu eest kaitstud
– kappide uksed peavad olema lukus ja nende asukoht videovalve vaateväljas. Erilist tähelepanu
tuleb pöörata hoonete üldkasutatavates ruumides (koridorid, trepikojad jms) paiknevate
nõrkvoolurajatiste kaitsele.
4. Serveriruumist väljapoole paigutatud (dubleerivad) varundusseadmed peavad asuma lukustatud
ruumis või seadmekapis.
5. Serveriruum võib olla algselt kavandatud tuleohutusnõuetele vastavalt ning organisatsiooniliste
meetmetega tuleb tagada, et olukord sellisena ka püsiks – see ei ole koht pakkematerjali,
koristusvahendite jms hoidmiseks.
6. Serveriruumis paiknevaid seadmeid toitvate UPSide võimsus on sageli kavandatud üksnes nende
soetamise hetkel kaitset vajanud seadmete vajaduste katmiseks. Serverite ja võrguseadmete
lisandudes tuleb kontrollida, kas UPSid ka tegelikult lisanduva koormusega toime tulevad.
Seadmete lisamisel ja ümberpaigutamisel on kindlasti vaja kontrollida, kas uus toiteskeem
vastab kavandatule – piiratud ligipääsuga seadmekappides on eksimise võimalus suur (toite
jaotuspaneelide ja serverite toitejuhtmete ebakorrektse märgistuse korral võivad UPSi taha
saada seadmed, mis seal ei peaks olema ja vastupidi; harvad ei ole ka UPSide soovimatud
jadaühendused).
7. IT-ruumis veetorude vältimise nõue (ISKE M1.24) on üldjuhul täidetud, praktikas ilmneb
probleeme lokaalsete jahutusseadmete kondensvee ärajuhtimiseks mõeldud torustiku
korrashoiuga. Äravoolutorustik peab olema kavandatud selliselt, et võimaliku lekke korral ei
jõuaks vesi seadmekappide ega toiteseadmeteni.
8. ISKE M5.61 ja M5.62 kirjeldavad andmesidevõrkude segmenteerimise võimalusi. Väikeses
asutuses on tööjaamad ja serverid reeglina samas võrgusegmendis ning eraldi segmenti
kasutatakse üksnes külalistele mõeldud WiFi ühenduse isoleerimiseks. Sama põhimõtet tuleb
kasutada ka avalikus tsoonis (koosolekuruumid, koridorid jms) paiknevate arvutivõrgu pesade
ühendamisel – külalisel ei tohi olla võimalust oma sülearvuti ühendamiseks asutuse sisevõrku.
ISKE M2.333 kirjeldab nõupidamisruumide turvalist kasutamist detailsemalt.
9. ISKE B2.12 soovitab aktiveerida ainult need ühendused ja pistikupesad, mida tõepoolest
vajatakse. Kõik muudatused kaabelduses tuleb jooksvalt dokumenteerida (ISKE M5.143).
10. ISKE M1.32 kirjeldab meetmeid, mida on vaja rakendada prinditud materjalide kaitseks
volitamata lugemise või kopeerimise eest. Väikesel asutusel ei ole nende meetmete täismahus
rakendamine otstarbekas, samas tuleb ühiskasutatavate printerite asukoha valikul
turvanõuetega siiski arvestada.
10 Tööjaamade varunduslahendused
Et tagada andmete käideldavus, on tähtis tööjaamade varundus. Tööjaamade puhul võib esineda
kõvakettarikkeid, kasutaja poolt failide kogemata kustutamist, krüptoviiruste rünnakut jms, mille
tulemusena kasutaja arvutis olevad failid pole enam kasutatavad.
Seetõttu on väga tähtis, et ka tööjaamade varundus on üldisesse andmevarunduse kontseptsiooni
loomisesse kaasatud (ISKE M 6.33).
Kuna suure tõenäosusega pole piisavalt vaba ruumi, et tööjaamu täielikult varundatuna hoida, tuleb
varunduspoliitikas määratleda, milliseid katalooge arvutist varundatakse ning kasutajaid teavitada, et
nad oma vajalikke faile neis kataloogides hoiaksid ning hoiatada, et teistest asukohtadest pole faile
võimalik taastada.
Tavaliselt on nendeks kataloogideks kas kasutaja Desktop ja My Documents või kogu kasutajaprofiil. Kui
kasutajaprofiil on täielikult varundatud, tuleks kasutajaid kindlasti teavitada, et nad isiklikke suuremaid
faile (nagu pilte, muusikat ja videosid) profiili kataloogides ei hoiaks.
Varundamiseks on mitmeid võimalusi ja tuleb kaaluda, milline on kõige sobivam lahendus. Oluline on
administreerimise lihtsus, varunduse keskne haldamine ja mahukontroll.
Kui kasutusel on Office 365 OneDrive, on võimalik seadistada, et My Documents ja Desktop oleks
sünkroniseeritud OneDrive’i peale. Juhend selleks:
https://support.office.com/en-us/article/back-up-your-documents-pictures-and-desktop-folders-with-
onedrive-d61a7930-a6fb-4b95-b28a-6552e77c3057 (vt hardcopy Varundus_1.pdf).
Ka Google Drive’i on võimalik andmeid varundada:
https://www.cloudwards.net/how-to-use-google-drive-to-backup-your-data/ (vt hardcopy
Varundus_2.pdf).
Andmeid saab varundada ka vajalikke dokumente pilvesalvestuse (OneDrive, Google Drive jms)
sünkroniseerimise kataloogi lohistades. Faile võib varundada ka näiteks kasutades PowerShell skripti:
https://medium.com/@pablo127/how-do-i-make-quick-automatic-backup-with-using-powershell-
9fa8de3f1784 (vt hardcopy Varundus_6.pdf). Antud skript on küll välise ketta jaoks, aga muutes skriptis
varunduse asukohta (muutuja $pathToPrefix) OneDrive või muu pilvesalvestuse toote kataloogi peale,
saab seda varundust seadistada ka sinna.
Üks võimalus kasutajate andmete varundamiseks on GPO abil vajalikud kataloogid serverisse suunata
ning need serveri varunduse kaudu katta.
Tavaliselt tasub serverisse suunata My Documents ja Desktop kataloogid.
GPO seadistamiseks tuleb luua GPO selle haru külge, kus asuvad kasutajad. GPOs tuleb muuta sätet User
Configuration – Policies – Windows Settings – Folder Redirection. Sealt tuleb valida Desktop, teha
paremklõps ning valida Settings valikus Basic – Redirect everyone’s folder to the same location. Kui valida
Advanced, on võimalik määrata, et vastavalt grupile suunatakse kataloogid erinevasse asukohta (näiteks
kui teatud kasutajate puhul on vajalik pikaajalisem varundus, saab nende kataloogid suunata sellisesse
asukohta, mille varundust hoitakse kauem).
Target Folder location puhul jätta valik Create a folder for each user Under the root path ning määrata
serveris jagatud kataloog (serveri kataloogi õigused tuleb määrata vastavalt juhendile
https://support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-
redirected-folders-by-usin vt hardcopy Varundus_3.pdf), kuhu kasutajate kataloogid suunatakse.
Sama seadistus tuleb teha ka My Documents kataloogi puhul.
Selleks, et need kataloogid oleks kättesaadavad ka väljaspool sisevõrku, tuleb tagada, et Offline Files
oleks sisselülitatud. Seda saab teha näiteks rühmapoliitikaga. Rühmapoliitikas tuleb minna User
Configuration – Policies- Administrative Templates – Network Offline Files. Valida säte Specify
administratively assgined Offline Files. Valida Enabled ning Files alt määrata kasutaja kataloogide
asukoht.
Lisatud on rühmapoliitika näidis 32_Varundus_FolderRedirect.
Selle seadistuse puhul tuleb arvestada, et mõnikord ei tööta Windows Offline Files oodatult ja seetõttu
võib kataloogidele ligipääsuga probleeme esineda. Selle parandamiseks on alternatiivina olemas
Windows Work Folders, mis võimaldab hoida profiili lokaalsena, aga saab seadistada nende serveriga
sünkroniseerimise. Selle seadistamise juhend https://docs.microsoft.com/en-us/windows-
server/storage/work-folders/deploy-work-folders (vt hardcopy Varundus_4.pdf).
Ka mitmed kolmandad osapooled pakuvad tööjaamale varundustarkvara. Sellisel juhul on vaja kas eraldi
NAS seadet või tuleb varundus teha serveri kettale (siis tuleb selle serveri ketas kindlasti serveri
varundusest välistada, muidu hakkab serveri varundus kasutama suurt hulka kettaruumi). Samuti
eeldavad need tööjaama ja serverisse agendi installi.
Erinevad tarkvarad on näiteks:
1. Microsoft DPM - Microsofti backup teenus, mis võimaldab varundada domeeni arvuteid ja seda
keskselt hallata. Eelduseks on seadistatud DPM server. https://docs.microsoft.com/en-
us/system-center/dpm/back-up-workstations?view=sc-dpm-2019
2. Veeam Endpoint Backup – seda saab tasuta kasutada, kuid tasuta verisooni pole võimalik
keskselt hallata. Siiski on seda võimalik kasutada koos Veeam Backup & Replication serveriga,
mis seda võimaldab
https://www.veeam.com/Windows-endpoint-server-backup-free.html.
3. Druva Insync – tasuline tarkvara, mis võimaldab varundust keskselt hallata. See eeldab kas Druva
pilve või oma serveri seadistamist. Arvutitesse tuleb paigaldada agent
https://www.druva.com/solutions/endpoint-backup/.
4. Acronis Backup
https://www.acronis.com/en-us/business/backup/workstation/
Windows 10s on ka File History, mis tasub sisse lülitada. See varundab kasutaja andmed, mis asuvad
Libaries, Desktop, Contacts and Favorites kataloogides. See eeldab teise salvestuslokatsiooni olemasolu -
kas teine ketas arvutis, eemaldatav USB ketas või ka jagatud kaust serveris või NAS peal. Teine variant on
kasutada Backup and Restore (Windows 7) tööriista, mis võimaldab andmeid varundada/taastada nii
nagu seda tehti Windows 7 puhul https://www.thewindowsclub.com/use-windows-7-back-up-and-
restore-tool-windows-10 (vt hardcopy Varundus_5.pdf).
11 Lõppkasutaja turvakoolituse korraldamine
Lõppkasutaja turvakoolituste korraldamine on GDPR rakendamisel eriti aktuaalseks muutunud.
Koolitus- ja teavitusprogrammi loomist ning käigushoidmist kajastab ISKE moodul B1.13. Viidatakse
vajadusele võrdselt koolitamisega tegeleda ka teavitustöö ning töötajate üldise infoturbe alase
teadlikkuse tõstmisega.
Kodus töötamise võimaluse üha laiem kasutuselevõtmine muudab vältimatuks selle, et töötaja peab
suutma teadlikult hallata ka kogu kodust IT-alast tegevust. Ainult tööandja rakendatud
sunnimeetmetega ei õnnestu vältida seda, et arvutit võivad kasutada ka töötaja lapsed vms. Seega peab
lõppkasutajakoolitus hõlmama turvateemasid laiemalt – käitumist sotsiaalmeedias, avalike
pilveteenuste kasutamist, WiFi turvalist kasutamist jms.
Koolituskava võiks hõlmata:
asutuses kehtestatud IT turvareeglite tundmaõppimist, turvanõuete ja riskide selgitamist;
kaasaskantavate seadmete kasutamisega seotud riske ja nende ennetamise meetodeid;
ligipääsuõiguste volitamata kasutamise tagajärgede kajastamist;
spetsiaalseid infoturbealaseid teadmisi, mida töötajad oma erialaste ülesannete täitmiseks
vajavad (ISKE M2.557);
turvaintsidentidele adekvaatse reageerimise õpetamist (esmased tegevused intsidendi
avastamisel, teavitusahel ja edasiste juhiste saamine, turvalisuse valdkonna kontaktisiku
määramine (ISKE M3.46));
potentsiaalsete ohtude ja enamlevinud ründeviiside äratundmist (Phishing, Social Engineering,
meetodid veebilehtede usaldusväärsuse hindamiseks jms), selliste rünnete tagajärgede
hindamist;
sotsiaalmeedia pakutavaid võimalusi ja nendega kaasnevate ohtude analüüsi;
avalike pilveteenuste, sh andmetalletusteenuste (Dropbox jms) kasutusvõimalusi ja sellega
kaasnevaid riske;
hiljutiste avalikuks tulnud turvaintsidentide analüüsi koos põhjuste ja võimalike ennetusviiside
kirjeldamisega.
ISKE soovitab võimalike koolitusmeetoditena:
kontaktkoolitus;
infoturbega seotud teabekogu, blogi vms;
infoturbe alased ajakirjad;
organisatsioonisisesed teabeüritused;
organisatsioonivälised seminarid, messid, konverentsid;
spetsiifilised infoturbe teemasid kajastavad videomaterjalid;
e-õppe programmid;
rollimängud.
Meetodite valikul tuleb lähtuda asutuse üldisest töökultuurist ning konkreetsetest sihtrühmadest.
Kogemused näitavad, et parema ja kestvama koolitustulemuse tagavad reeglina asutusevälised
spetsialistid. Koolitamine vajab pidevat enesetäiendamist ja esinemiskogemust, ent asutuse IT-
spetsialistil on raske ennast koolitajana tasemel hoida.
Koolituskava võiks tagada lõppkasutaja turvateemade kajastamise vähemalt kord aastas. Lisaks
seniõpitu meenutamisele ja kinnistamisele saab nii kasutajani viia teadmised uuematest riskidest ja
ilmsiks tulnud intsidentidest.
Õpitulemuste edukuse kontrollimiseks sobivad koolitusele vahetult järgnevad testid koos hilisema
järelkontrolliga. Siin on väga heaks vahendiks veebipõhised testkeskkonnad.