Valkohattuhakkerin Microsoft 365 tietoturvavinkkejä. Osa 1: Vierailijat
Johdanto
Päivätyöni Tampereen kehyskuntien tietohallintojohtajana on antanut hyvän näkyvyyden kuntien yleiseen toimintaa, tietohallintoon ja tietoturvaan. Vapaa-ajallani toimin tietoturvatutkijana, keskittyen Microsoftin pilvipalveluiden tietoturvaan. Tämä ”kädet savessa” tyyppinen harrastus on tuonut itselle hyvää tasapainoa päivätyön hieman hallinnollisempaan arkeen. Melkoinen osuus vapaa-ajasta onkin kulunut AADInternals työkalun parissa, sekä löydösteni esittämisessä konferensseissa ympäri maailmaa. Mieleenpainuvimpana näistä Las Vegasissa vuosittain järjestettävä BlackHat tapahtuma viime vuoden elokuulta.
Jaan tässä artikkelisarjassa oppimiani ja löytämiäni tietoturvaan liittyviä ongelmakohtia, sekä vinkkejä niiltä suojautumiseen. Vaikka näkökulmana on pääosin julkishallinto, toimivat vinkit kaikentyyppisissä ja -kokoisissa organisaatioissa.
Vierailijat
Microsoft 365 ja Office 365 palvelut hyödyntävät tunnistautumisessa Azure Active Directorya (AAD). Jokainen organisaation käyttäjä on oman organisaationsa AAD:n jäsen. Jäsenten lisäksi, AAD:sta löytyy organisaation ulkopuolisia käyttäjiä, joita kutsutaan vierailijoiksi. Oletuksena vierailijoiden oikeudet ovat rajatumpia kuin jäsenten. Vierailijoilla ei esimerkiksi ole oikeutta listata organisaation AAD:en sisältöä.
Ehkä tyypillisin paikka missä vierailijatunnuksiin törmätään on Teams. Aina kun Teamsiin kutsutaan organisaation ulkopuolinen henkilö, muodostuu käyttäjälle vierailijatunnus. Samalla siis annetaan , usein tiedostamatta, ulkopuoliselle käyttäjälle (rajoitettu) pääsy organisaation AAD:en tietoihin.
Tietoturvaongelma
Vierailijat voivat käytännössä listata kaikki organisaation käyttäjät ja ryhmät
Kesällä julkaisemassani blogissa esittelin kuinka vierailijat voivat käytännössä listata kaikki organisaation AAD:n käyttäjät ja ryhmät. Vaikka varsinainen tietojen listaaminen onkin estetty, vierailijat näkevät annetun käyttäjän ryhmät, sekä annetun ryhmän jäsenet. Näin vierailija pystyy rajoituksista huolimatta käymään läpi organisaation käyttäjät ja ryhmät, kunhan tietää edes yhden organisaation jäsenen tai vierailijan sähköpostiosoitteen.
Tyypillisesti AAD:ssa on omat ryhmänsä kaikille organisaatioiden jäsenille ja vierailijoille. Näiden ryhmien avulla nähdään helposti organisaation kaikki käyttäjät ja vierailijatunnukset. Erityisesti vierailijatunnusten paljastuminen on ongelmallista, koska se saattaa paljastaa organisaation asiakkaiden ja kumppaneiden tietoja. Esimerkiksi yksityinen Teams ryhmä nimeltään ”Yrityskauppa” ja sen jäsenten listaaminen paljastaa pahimmillaan sisäpiiritietoa organisaatioiden ulkopuolisille.
Suojautuminen
Suojautuminen on onneksi helppoa, eikä se vaadi mitään lisähankintoja. Microsoft julkaisi alkusyksystä uuden ominaisuuden, jolla vierailijoiden oikeuksia AAD:ssa voidaan rajata. Oletuksena valittuna on keskimmäinen vaihtoehto, joka siis sallii pääsyn AAD:n tietoihin rajatusti ja sallii siis edellä mainitun. Alin vaihtoehto on kaikista rajaavin ja estää täysin edellä kuvatun pääsyn organisaation tietoihin.
Oikeuksien rajaamisella ei ole tunnettuja haittavaikutuksia normaaliin käyttöön organisaatioiden jäsenille. Vierailijoille muutos saattaa aiheuttaa ongelmia Forms, Planner, Project ja Yammer tuotteiden kanssa.
Vaikka ominaisuus onkin vasta ”Preview” vaiheessa, suosittelen voimakkaasti tämän ottamista käyttöön VÄLITTÖMÄSTI kaikissa organisaatioissa!
Lopuksi
Kerroin tässä artikkelissa vierailijakäyttäjiin liittyvästä tietoturvaongelmasta ja siltä suojautumisesta. Muistutan kuitenkin, että organisaatioiden jäsenillä on edelleen pääsy kaikkeen AAD:n sisältämään tietoon, eikä näitä oikeuksia voi käytännössä rajata.
Myyntinörtti | Tietokeskus | JCI
3yHyvä kirjoitus. Sinällään tuo kuuluisi olla Microsoft järjestelmien asiantuntijoiden tiedossa, mutta hyvin usein nörttikuplassa unohdetaan käyttäjä, eli ihminen jolle tämä ei ole niin selvää. Loistavaa arjen sankarmruutta. Keep it up👍
Customer Success Account Manager @ Microsoft | Driving customer success with cloud solutions
3yErinomainen artikkeli jälleen Nestori. Hienoa kuinka arkikielellä nostat tärkeitä aiheita organisaatioiden tietoisuuteen.
Toimitusjohtaja at Jalo IT Oy
3yEnsimmäisen artikkelin aihe olikin jo meillä yhden asiantuntijan toimesta sisäisesti nostettu esiin. Meilläkin suosittelemme että tuo rajaavin vaihtoehto otetaan vierailijoiden osalta käyttöön.