Hopp til hovedinnhold

Sikre hjemmekontoret med Microsoft 365

Logo letter
Evelon AS
Jon-Alfred Smith

Nedstengingen av Norge i begynnelsen av mars har ført til at en stor andel av befolkningen jobber hjemmefra. Overgangen kom brått. Mange virksomheter har ikke hatt tid til å få god nok sikkerhet på plass for løsningene sine. Dette vakuumet utnyttes av hobby-hackere og profesjonelle datakriminelle. Angrepene har økt drastisk. Umiddelbare strakstiltak bør være: tofaktor-autentisering ved pålogging, hindre bruk av hjemmemaskiner, unngå usikre trådløse nettverk og en fornyet gjennomgang med de ansatte av hvilke svindelforsøk som benyttes for å lure godtroende brukere.

Behovet for å bevare fysisk avstand og hjemmekontor vil vare ved. Dermed må vi gå mer systematisk til verks. Det beste valget er å ta i bruk Microsoft 365. Her har slagordet lenge vært «jobb når som helst, på hva som helst, fra hvor som helst». Det gir deg en overlegen plattform for produktivitet og samarbeid, med skybaserte funksjoner som forenkler og automatiserer arbeidet ditt. Microsoft 365 Business Premium og høyere lar deg sikre identiteter, enheter og tilganger. Minst like viktig er at du får full kontroll over datamaskiner og mobilenheter. Med moderne og dynamiske verktøy kan du administrere dem som om de befant seg på ditt lokale nettverk.

Samarbeid og videokonferanser

M365 hjemme1

Bilde fra Microsoft

Sentralt for hjemmekontor og samarbeid er videomøter. Her er det mange tjenester å velge mellom. Universiteter og korpsmusikken bruker Zoom for fjernundervisning og samspill. Apple Facetime appellerer til folk som kaller klesstilen sin «business casual». Mens Osloskolene og et stadig økende antall virksomheter har lagt seg på Teams, selve knutepunktet for gruppearbeid i Microsoft 365.

Microsoft Teams har tatt opp i seg alle funksjoner fra Skype for Business, innbefattet telefoni, og er langt mer enn et system for lynmeldinger og konferanser. Det bidrar til effektive samarbeidsformer og styrker informasjonsflyten internt. Du kan jobbe fjerntilkoblet, samtidig som du føler at du er del av kontorfellesskapet. Alle tjenester er på ett sted. Noen av egenskapene er:

  • Du kan sende én-til-én-meldinger eller delta i en gruppechat. Grensesnittet er moderne med uttrykksmidler fra sosiale medier. Du kan plusse på med emojis, giphys og klistremerker.
  • Med et klikk går du øyeblikkelig fra gruppechat til videokonferanse. Teams håndterer grupper på opptil flere tusen, uansett hvor mange steder de befinner seg på.
  • Med Teams er det slutt på at du desperat må lete etter filer. Du får tilgang til dokumenter i Word, Excel og PowerPoint og kan dele og redigere dem i sanntid sammen med andre.
  • Versjonene for Windows og macOS er funksjonslike. Det er egne utgaver for mobilenheter med Android, iOS og iPadOS.

Microsoft Teams er det ideelle verktøyet for å jobbe hjemmefra. Teams for utdanning lar skoler opprette virtuelle klasserom som samarbeider. Du får mest ut av Teams ved å kombinere det med de andre applikasjonene i Microsoft 365, som Exchange, SharePoint og OneDrive for Business. Vær oppmerksom på at skrivebordsutgaven av Office-pakken i Microsoft 365, Office ProPlus, er forskjellig fra Office 2019 ved at programmene kontinuerlig utvikles videre, er skyintegrert og tilbyr en rekke funksjoner som er basert på kunstig intelligens. Du kommer imidlertid et godt stykke på vei ved å bruke Teams uten å innlemme det i din eksisterende infrastruktur.

Moderne administrasjon og sikkerhet

Til vanlig håndterer vi brukere og maskiner i lukkede lokalnett. Her benytter vi Windows Active Directory (AD) med gruppepolicyer og verktøy som System Center Configuration Manager. Mens nettverksforsvaret er perimeterbasert. Det betyr at vi omgir infrastrukturen med brannmurer og systemer for å oppdage og forebygge innbrudd (IDS/IPS). Dette kan fungere godt på kontoret, men er dårligere egnet for datamaskiner som knapt er innom. Vi kan ta høyde for å utvide lokalnettet til å omfatte alle hjemmekontorer med private virtuelle nettverk. Men dette er tungvint og ikke alltid like pålitelig. En mer elegant løsning er å benytte seg av skybaserte tjenester som når alle brukere og maskiner, uansett hvor de befinner seg. Her får vi også med mobiler og nettbrett.

Sikkerhet og SMB

Mange små og mellomstore bedrifter (SMB) har ikke nok ekspertise til å holde seg oppdatert på dagens trusselbilde. De kan ikke avsette tilstrekkelig med ressurser for å bedømme og redusere sikkerhetsrisikoer. Det er manglende kunnskaper om gode rutiner. Og det er lett å bli overveldet av alle tilgjengelige tjenester. Her forsøker vi å skjære igjennom for å gi deg en oversikt over hvordan du på best mulig måte kan beskytte virksomheten din, særlig med tanke på mobile brukere og hjemmekontor. Det forutsetter at du gjør deg kjent med enkelte av angrepsmetodene.

Pålogging og identitetstyveri

M365 hjemme2

Passord hackes i stor skala og omsettes på Det mørke nettet. Brukernavnet er som regel kjent, det samme som e-postadressen. Angrepene foregår på to måter:

Passord-spraying er en lav-og-sakte-metode som prøver å få tilgang til et stort antall brukerkontoer med noen få passord som ofte benyttes, så som Passord1 eller Sommer2020. Denne teknikken er vanskelig å oppdage fordi den sjelden fører til at kontoene blir låst.

Rå styrke (brute-force) er angrep som forsøker å få uautorisert adgang til én enkelt eller få kontoer ved å gjette passord. Etter vanligvis tre–fem mislykte forsøk foretar de kriminelle fremstøt mot andre brukere til de har gyldig legitimasjon. Da er de inne på nettverket og kan bevege seg videre.

Utover det benytter datakriminelle sosial manipulasjon og phishing for å lure folk til å gi fra seg påloggingsinformasjon. Rent generelt gir kombinasjonen brukernavn og passord for dårlig beskyttelse. Ved å ta i bruk multifaktor-autentisering (MFA) reduserer du faren for identitetstyveri med 99,9 prosent. Du bør også ha tjenester som Advanced Threat Analytics eller Azure Advanced Threat Protection for å oppdage innbrudd, som ellers er vanskelig å få øye på.

Dagens IT-miljø og mobile brukere

M365 hjemme3

Her kan man møte foreldete måter å tenke sikkerhet på. Perimeterbaserte sikkerhetsmodeller (t.v.) har fortsatt en funksjon i lukkede miljøer, men begynner å bli utdaterte. Selvfølgelig må vi sikre lokalnettet med brannmurer og sørge for at klienter og servere har siste virusdefinisjoner. Det er viktig å ha backuper å falle tilbake på. Filtrering av e-post er nødvendig for å skjerme mot skadelig programvare, søppelpost og phishing. Men modellen tar i liten grad hensyn til at vi i dag har å gjøre med flere mobile endepunkter. Ansatte jobber fra forskjellige steder og har hjemmekontor. Samtidig øker cyberangrep bortimot like eksponentielt som et middels virusutbrudd.

Nettverkssikkerhet har flere andre mangler. Hovedtyngden av angrep er rettet mot klienter. En kompromittert brukerkonto kan være nok til å komme inn i bedriftens interne nett. Derfra beveger inntrengerne seg sidelengs og foretar en rekognosering, utnytter sårbarheter for å skaffe seg privilegerte tilganger og kan ende opp som domeneadministrator. Med den økte bruken av skytjenester befinner applikasjoner og data seg innenfor og utenfor den tradisjonelle brannmuren. Grupper som arbeider med sikkerhet og IT, kan ikke lenger gå ut fra at brukerne og enhetene deres på bedriftsnettverket er sikrere enn på utsiden.

Grenseløs sikkerhet med null klarering

Det som er nødvendig, er en dreining mot en sikkerhet uten grenser, en modell som er basert på null klarering (zero trust). Her vurderes alle brukere og enheter, både innenfor og utenfor lokalnettet, som upålitelige. Adgang blir gitt basert på en dynamisk evaluering av risikoen som er forbundet med hver forespørsel. De samme sikkerhetskontrollene brukes hver eneste gang for alle brukere, enheter, apper og data. I dette ligger at vi sørger for å sikre brukeridentiteter og enheter maksimalt, samtidig som vi beskytter tilgangen til applikasjoner og data. Du skal ikke gi opp beskyttelseslagene rundt lokalnettet ditt. I stedet bør du plusse på med en annen type sikkerhet og gradvis bevege deg i retning av null klarering. Identiteten blir din nye sikkerhetsperimenter eller – som Microsoft formulerer det –ditt nye kontrollnivå.

Utfordringen med dagens hjemmekontor

Utfordringen med hjemmekontor er at vi må kunne administrere og sikre enhetene med tilgang til bedriftsdata som om de var på lokalnettet. Det kan vi med verktøyene som følger med Microsoft 365 Business Premium og Enterprise. Vi behøver ikke se maskinene eller nærmere oss dem fysisk. Det er disse tjenestene som skal benyttes:

Windows Autopilot lar oss på en enkel måte rulle ut datamaskiner med Windows 10 til brukere, melde dem inn i Azure Active Directory (AD) og Intune. Det er støtte for hybride konstellasjoner med Windows AD.

Microsoft Intune sørger for mobil enhets- og applikasjonsbehandling. Her registrerer du datamaskiner og mobilenheter for dine ansatte. Det er bare disse som får lov til å logge seg på virksomheten din. Du benytter Intune for å holde enhetene oppdatert og distribuere programvare. Du setter opp profiler og policyer for å konfigurere dem og sørger for at de er i samsvar med dine retningslinjer.

Azure AD i kombinasjon med Intune gir muligheten til å kvalifisere hvilke forutsetninger som må være til stede for å gi en bruker og enhet adgang til organisasjonen din. Dette kalles betinget tilgang. Det vil typisk være en bedriftseid bærbar og en mobiltelefon som oppfyller alle krav til sikkerhet og samsvar. Hjemmemaskiner bør stenges ute fordi IT ikke har kontroll over dem, og de kan inneholde skadelig programvare.

Vi ønsker å distribuere og oppdatere en tilpasset versjon av Windows 10. Her inngår retningslinjer og profiler som konfigurerer operativsystemet. Enhetene må beskyttes, og vi må administrere og sikre applikasjoner og bedriftsdata. Intune og eventuelt Azure Log Analytics lar oss overvåket dem.

Windows Autopilot

M365 hjemme4

Autopilot revolusjonerer prosessen med å rulle ut Windows 10. Utgangspunktet er at det allerede er installert en kopi. Den får en grunnleggende tilpasning og kan oppgraderes fra Pro til Enterprise underveis ved subscription activation. Enheten meldes inn i Azure AD og registreres i Microsoft Intune. Dette skjer automatisk i bakgrunnen mens dine ansatte får en forenklet ut-av-esken-opplevelse. Med noen få museklikk blir enheten bedriftsklar og kan tas i bruk – en magisk opplevelse for dine ansatte og automatisk for IT. Det gjør det lett for deg å distribuere PCer internt og sende dem ut til hjemmekontor. Brukeren som knyttes opp mot enheten, trenger ikke være lokal administrator.

IDer for maskinvaren må lastes opp til skytjenesten i forkant, og du må konfigurere hvilke valg bruker skal se. Microsoft samarbeider med en rekke maskinvareleverandører som har integrert Windows Autopilot i sin forhandlerkjede og i leveransesystemer, så enhetene automatisk blir registrert i Windows Autopilot for din organisasjon – blant andre Dell, HP, Lenovo og Microsoft med Surface. Noe mer arbeid blir det for IT-avdelingen om de må samle inn IDene fra eksisterende datamaskiner, laste dem opp til Intune og klargjøre dem. Det er også mulig å nullstille enheter for gjenbruk.

Microsoft Intune

M365 hjemme5

Microsoft Intune er en intelligent skybasert plattform for mobil enhets- og applikasjonsbehandling. Den kjører i Azure og kommuniserer direkte med Azure AD, neste generasjons katalogtjeneste for identitets- og tilgangsstyring. Med Intune kan du:

  • Konfigurere enheter. Det angår profiler og konfigurasjonspolicyer. Støttede plattformer er Windows 10, macOS, Android, iOS og iPadOS.
  • Beskytte data. Det omfatter beskyttelsespolicyer for apper og samsvarspolicyer for enheter.
  • Behandle apper. Her inngår apper generelt og konfigurasjonspolicyer for dem.

Du administrer Intune i en web-konsoll. Azure AD Connect lar deg synkronisere brukere, grupper og enheter mellom lokalt AD og Azure AD. Du kan distribuere apper fra Apple Store, Google Play og Microsoft Store. SaaS står for software as a service eller programvare som tjeneste. Her er det flere tusen apper å velge mellom, som Dropbox og Salesforce. Det kan også være egne applikasjoner du publiserer med Azure AD Application Proxy. Du kan rulle ut Office-pakken og annen programvare for Windows og macOS.

Betinget tilgang

Den sentrale funksjonen er betinget tilgang, som etablerer en ny form for sikkerhetsperimeter. Den strekker seg utover tradisjonell nettverksbeskyttelse og omfatter bruker- og enhetsidentiteter. Betinget tilgang er en funksjon i Azure AD som bringer sammen signaler (betingelser), tar avgjørelser og håndhever aktuelle policyer. Det er kjernen i det identitetsdrevne kontrollnivået.

I sin enkleste form er policyer for betinget tilgang hvis–så-utsagn. Om brukere ønsker å få adgang til en ressurs, må de utføre en handling. Eksempel: Økonomisjefen skal inn i lønnssystemet og er pålagt å logge seg på med tofaktor-godkjenning. Som IT-administrator har du to hovedmål:

  • Du må sørge for at brukerne er produktive uansett hvor de er.
  • Du må beskytte bedriftsdata.

Med regler for betinget tilgang kan du sette opp nødvendige tilgangskontroller, så du sikrer virksomheten, uten at det griper forstyrrende inn i arbeidet for de ansatte når det ikke trengs. Retningslinjene håndheves etter at første autentisering er godkjent.

M365 hjemme6

Microsoft omtaler betingelser som signaler her. Med brukere eller gruppemedlemskap kan du bestemme hva de skal ha adgang til og hvordan. Sted refererer til IP-adresser og lar deg oppette unntak for nettverk du stoler på. Applikasjoner kan kreve at forskjellige forutsetninger må være til stede før de kan tas i bruk. Sanntidsvurdering av risiko ved påloggingen kan tvinge bruker til å endre passord, logge på med MFA eller føre til at kontoen bli blokkert. Microsoft Cloud App Security (ikke vist her) lar deg overvåke og kontrollere tilgangen til applikasjoner og sesjoner i sanntid.

Enten får bruker adgang, eller så blokkeres den. Tillatte tilganger kan ytterligere kvalifiseres og kreve multifaktor-autentisering, at enheten er i samsvar med dine retningslinjer, har hybrid medlemskap i Azure AD eller at klientappen er godkjent. Med appbeskyttelsespolicyer kan du på mobilenheter fordre at bare opplyste apper skal kunne aksessere bedriftsdata; de holder dem atskilt fra personlige data og støtter MFA. Flere policyer kan tre i kraft og bestemme om bruker skal ha tilgang og hvordan.

Beste praksis for betinget tilgang

M365 hjemme7

Microsoft Endpoint Manager er en paraply for endepunktsadministrasjon. Her inngår Intune, deler av Azure AD og antivirus. Som gode rutiner anses:

  • Krev MFA for brukere med administrative roller og oppgaver i Microsoft 365 og Azure.
  • Blokker pålogging med eldre autentiseringsprotokoller.
  • Blokker eller gi tilgang fra bestemte steder.
  • Blokker risikofylt påloggingsadferd, eventuelt krev MFA eller passordendring.
  • Krev bedriftsadministrerte enheter for spesifikke applikasjoner.

Enkelte organisasjoner fraviker kravet om MFA på lokalnettet for å gjøre livet enklere for brukere. Det er ikke beste praksis, fremfor alt ikke for hjemmekontor. Det er enkelt å benytte Microsoft Godkjenner på en mobil eller Apple Watch, som popper opp med en melding. Du trykker bare på Godkjenn. Stadig flere enheter kommer med muligheten for biometrisk pålogging. Det er et bedre alternativ enn å droppe MFA.

Eksempel på en konfigurasjon

M365 hjemme8

To enheter er registrert for jonsmi@sildeviga.no. De er satt opp med konfigurasjonsprofiler, som tilsvarer gruppepolicyer i Windows AD. Enhetene må være i samsvar med retningslinjene som er trukket opp for dem, så som kryptert lagring, sekssifret PIN-kode og siste oppdateringer av operativsystemet. Det er ett av kriteriene i betinget tilgang. Et annet er at det alltid må benyttes multifaktor-autentisering (MFA). For en gyldig pålogging kreves dermed:

  • Du kan bare logge på organisasjonen fra én av disse to enhetene.
  • Du må oppgi brukernavn, passord og benytte appen Microsoft Godkjenner (Authenticator).

Bruker er knyttet til enhetene sine. Begge deltar i autentiseringen for tilgang. All annen pålogging vil feile. Det gjør det vanskelig, om ikke umulig, for hackere å komme inn. Office 365-applikasjonene og dataene er trygge, godt beskyttet i Microsofts datasentre. Din oppgave er å sørge for at tilgangene er sikre. Om en av enhetene kommer bort, deaktiverer du den og setter i gang en fjernsletting.

Du kan myke opp reglene og konfigurere unntak ved eksempelvis å tillate adgang til e-post fra en nettleser uavhengig av enhet. Her vil du definitivt kreve MFA, samtidig hindre at vedlegg kan lastes ned. Sånn blir brukeridentiteten til din nye brannmur, både på ditt interne nettverk og over et fiendtlig Internett fra hjemmekontor.

Administrasjon via Intune

M365 hjemme89png

Det er ingen forskjell om du administrerer maskiner på lokalnettet eller hjemmekontor. Du kan konfigurere enhetene, holde programvaren oppdatert, sørge for at de er i samsvar og overvåke dem. I skjermbildet ovenfor er applikasjonene distribuert til PCen og iOS-enheten. Her har vi bare skrapt på overflaten, uten å bli for tekniske. Som siste moment skal nevnes at du kan integrere TeamViewer i Intune for sikker ekstern brukerstøtte og skjermdeling – noe som kommer godt med når du skal hjelpe dine ansatte på hjemmekontor.

Avsluttende ord

Kriser gir liv til trender som er der på forhånd, og kan skape noe nytt og stort. Utviklingen og bruken av offentlige og private Internett-tjenester i Norge rager allerede høyt over snittet i Europa. Nå gjør vi ytterligere et kvantesprang i digitaliseringen av samfunnet. Enkelte oppfatter åpne kontorlandskap som en djevelsk oppfinnelse fra de innerste gemakker i helvete og får samlet seg ved å arbeide hjemme. For andre er det et godt alternativ innimellom. Vi bruker mindre tid på transport og kan bo lengre unna jobben. Vi trenger å være mer i ro, kan fordype oss og blir ofte overrasket over hvor mye mer vi får gjort.

Hjemmekontor bør imidlertid ikke bli den nye normalen. Det gjør det vanskelig å få til gode samarbeidsrelasjoner og kan svekke jobbtilknytningen. Noe som ikke kan erstattes av teknologi og ligger dypt nedfelt i biologien vår, er behovet for ansikt-til-ansikt-kontakt. Og som kjent slutter en bedrift å være innovativ når kaffemaskinen går i stykker; for da møtes man ikke lenger på tvers av avdelinger til uformelle samtaler. Antakelig ender vi opp med mer fleksible arbeidsformer der vi kan alternere mellom hjem og kontor. Denne ordningen krever at de ansatte får god maskinvare. Like nødvendig er det med en ny sikkerhetsmodell og muligheten til å administrere enheter utenfor huset.

Som samarbeidsplattform er Microsoft 365 – verdens produktivitetssky – helt overlegen i forhold til lokale løsninger. Den lar deg sette opp en sikkerhet som bygger på null klarering, og administrere bærbare og mobilenheter som sjelden eller aldri er innom kontoret. Tradisjonell nettverksbeskyttelse minner mest om første fase i bekjempelsen av en global epidemi: skjerpet grensekontroll med feber-screening, intervjuer, karantene og eventuell avvisning. Men denne modellen er til liten hjelp når viruset eller inntrengeren er innenfor. Den beskytter heller ikke hjemmekontor som går rett mot skytjenester.

Epidemiologer driver med smittesporing, bryter infeksjonskjeder og isolerer dem. Innen IT må du ha egen programvare for å spore innbrudd, noe som følger med enkelte av Microsoft 365-versjonene. Det kan også være en fordel med identitetsbeskyttelsen i Azure, som advarer mot mistenkelige pålogginger og kan tvinge frem MFA eller en passordendring. Om situasjonen kommer fullstendig ut av kontroll, med hackere som har fått herredømmet over domenet, står du foran et gigantisk opprydningsarbeid med nedstengte tjenester, ikke ulikt det vi opplever i landet nå. Den beste strategien er å holde seg til et føre-var-prinsipp og sørge for at identiteter, enheter og tilganger er maksimalt beskyttet med et solid immunforsvar mot et pandemisk kriminelt Internett.

En takk til Also, som har vært så vennlig å forsyne oss med to av figurene. Enkelte av tankene om hjemmekontor er hentet fra artikkelen Forskere advarer mot at hjemmekontor blir normalen.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!