Võrgud

Kaasaegsed WiFi ja kaabelvõrgud sertifitseeritud spetsialistidelt.

Loe lähemalt
Antenni ikoon

WiFi üritustele

Kiire ja asjatundlik lahendus olgu tegemist suure konverentsi, spordiürituse või rabas toimuva seminariga.

Loe lähemalt

IT hooldus

Kiire ja asjatundlik hooldusteenus arvutitöökohtadele ja serveritele.

Loe lähemalt

Ruckuse eliitpartner

Töökindlad seadmed toimivate lahenduste loomiseks.

Loe lähemalt

Kaheastmeline autentimine: juhend ettevõtte IT-turvalisuse suurendamiseks

Mis on kaheastmeline autentimine?

Kaheastmeline autentimine (2FA) on tänapäeval hädavajalik turvameede, mis lisab täiendava turvakihi tavapärasele paroolipõhisele autentimisele. See toimib põhimõttel, et kasutaja identiteedi kinnitamiseks on vaja mitut erinevat tegurit. Microsofti uuringute kohaselt võib kaheastmeline autentimine blokeerida üle 99,2% konto kompromiteerimise rünnakutest. Sisuliselt teeb 2FA volitamata ligipääsu süsteemidele märkimisväärselt raskemaks, isegi kui üks autentimistegur (nt parool) on kompromiteeritud.

Kaheastmelise autentimise tüübid

Kaheastmeline autentimine põhineb tavaliselt kolme tüüpi turvateguritel:

  1. Teadmispõhine (midagi, mida tead) – parool või PIN-kood
  2. Omandipõhine (midagi, mida omad) – mobiiltelefon, turvatoken või rakendus
  3. Biomeetriline (midagi, mis sa oled) – sõrmejälg, näotuvastus

Ettevõtetes levinumad 2FA lahendused:

  • Autentimisrakendused (TOTP – Time-based One-Time Password): Microsoft Authenticator, Google Authenticator
  • Füüsilised turvavõtmed: FIDO2 standardil põhinevad võtmed (YubiKey jt)
  • Push-teatega autentimine: rakenduse kaudu kinnitamine
  • SMS-põhine kood: telefonile saadetav ühekordne kood
  • Biomeetriline autentimine: sõrmejälg, näotuvastus

NIST soovitab eriti tugevalt phishing-kindlaid autentimislahendusi nagu FIDO2 turvavõtmeid ja passkey lahendusi, kuna paroolid üksi ei paku piisavat kaitset.

Microsoft 365 / Office 365 kaheastmelise autentimise seadistamine

Administraatori vaade

Microsoft 365 teenuse administraatorina kaheastmelise autentimise lubamiseks:

  1. Logige sisse Microsoft 365 administraatori keskusesse
  2. Navigeerige Kasutajad > Aktiivsed kasutajad
  3. Valige Mitmefaktoriline autentimine
  4. Valige kasutajad, kellele soovite 2FA sisse lülitada
  5. Määrake sobivad autentimismeetodid ja -seaded

Microsofti uuenduste tõttu tasub teada, et ettevõte plaanib oma autentimistehnoloogiate uuendamist. Alates 30. septembrist 2025 tõstetakse kõik vanemad MFA/SSPR (Self-Service Password Reset) poliitikad ühtsesse Authentication Methods poliitikatesse.

Kasutajate seadistamine ja juhendamine

Kui administraator on kaheastmelise autentimise lubamise seaded aktiveerinud, peavad kasutajad tegema järgmised sammud:

  1. Registreerimine: kasutajad peavad registreerima vähemalt ühe täiendava autentimismeetodi (nt mobiiltelefon või autentimisrakendus)
  2. Seadistamine: järgida süsteemi juhiseid autentimisseadme või -rakenduse seadistamiseks
  3. Testimine: kindlasti tuleks testida, et uus autentimismeetod toimib korrektselt

Kasutajate teavitamise ja koolitamise jaoks on hea luua selged juhendid koos kuvatõmmistega. Eriti oluline on selgitada, miks kaheastmeline autentimine on vajalik ja kuidas see kaitseb nii ettevõtte kui ka kasutajate isiklikku infot.

Parimad praktikad kaheastmelise autentimise juurutamisel

Ettevõtte IT-juhtidele on oluline rakendada järgmisi parimaid praktikaid:

  1. Prioritiseeri kriitilised süsteemid: Alusta 2FA juurutamisest kõige olulisemate süsteemide ja kasutajakontode puhul (eriti süsteemiadministraatorid)
  1. Järkjärguline kasutuselevõtt: Rakenda 2FA järk-järgult, alustades IT-meeskonnast ja liikudes edasi teiste osakondade juurde
  1. Koosta varuplaan: Taga võimalused juurdepääsuks hädaolukorras, kui 2FA meetodid pole kättesaadavad (turbekoodid, tagavarameetodid)
  1. Vali phishing-kindlad lahendused: ENISA soovitab võimalusel kasutada FIDO2 turvavõtmeid või passkey lahendusi
  1. Koolita kasutajaid: Järjepidev koolitus ja selged juhendid aitavad vähendada kasutajate vastuseisu ja tõsta turvateadlikkust
  1. Auditeeri ja dokumenteeri: ENISA nõuete järgi tuleb autentimislogisid dokumenteerida ja MFA protseduure regulaarselt üle vaadata (vähemalt iga kahe aasta tagant)
  1. Rakenda paroolihaldust: 2FA võimaldab kasutada ka lühemaid paroole – NIST soovitab vähemalt 8-märgilisi paroole MFA kasutamisel (võrreldes 15-märgiliste paroolidega ilma MFA-ta)

Kaheastmelise autentimise haldamine ja monitoorimine

Efektiivne 2FA haldus hõlmab:

  1. Kasutajakontode jälgimine: Jälgige, millised kontod on MFA-ga kaitstud ja millised vajavad tähelepanu
  1. Logide monitooring: Kontrollige regulaarselt autentimislogisid kahtlaste tegevuste tuvastamiseks
  1. Vananenud autentimismeetodite uuendamine: Uuendage turvapoliitikaid uute ohtude ja tehnoloogiate ilmnemisel

Ettevõtetel on soovitatav kasutada tsentraalset identiteedihalduse lahendust, mis võimaldab paremini hallata ja monitoorida kaheastmelist autentimist kogu organisatsioonis. E-ITS (Eesti infoturbestandard) raamistik pakub selleks kasulikke juhiseid.

Tõrkeotsingujuhised

Kaheastmelise autentimisega võib esineda probleeme, mille lahendamisel aitavad järgmised juhised:

Administraatoritele:

  1. Kasutaja ei saa koodi või teateid:
  • Kontrollige, kas kasutaja seadme andmed on õigesti registreeritud
  • Veenduge, et kasutaja seadme kellaaeg on õige (TOTP-põhiste rakenduste puhul)
  • Kontrollige, kas rakendusel on internetiühendus
  1. Seadmete registreerimisprobleemid:
  • Kontrollige, et kasutajal oleks õigused seadme registreerimiseks
  • Veenduge, et kasutatav rakendus on uusim versioon
  1. Lukustatud kontod:
  • Kasutage administraatori parooli lähtestamist
  • Rakendage eelnevalt määratud varumeetodid

Lõppkasutajatele:

  1. Ei saa koodi kätte:
  • Kontrolli internetiühendust
  • Veendu, et seadme kellaaeg on õige
  • Kontrolli, kas rakendus on uuendatud
  1. Seade on kadunud või vahetatud:
  • Kasuta eelnevalt seadistatud varumeetodeid (tagavarakoodid)
  • Võta ühendust IT-toega uue seadme registreerimiseks
  1. Ei pääse kontole ligi:
  • Kasuta alternatiivseid autentimismeetodeid, kui need on seadistatud
  • Võta ühendust IT-toega abi saamiseks

Kaheastmeline autentimine ja Eesti-spetsiifilised nõuded

Eestis kehtivad E-ITS (Eesti infoturbestandard) nõuded ja küberturvalisuse seadus. NIS2 direktiiv nõuab, et kriitilised varad oleksid kaitstud mitmefaktorilise autentimise või riskipõhise pideva autentimise mehhanismiga. Eriti oluline on see süsteemiadministraatorite kontode puhul, mis peavad olema eraldatud, individuaalsed ja tugevate autentimismeetoditega kaitstud.

VPN, kaugpääsu süsteemid, e-posti portaalid ja muud internetipõhised teenused peavad alati kasutama mitmefaktorilist autentimist. Infoturbe halduse süsteem peaks olema juurutatud vastavalt regulatsioonidele.

Kokkuvõte

Kaheastmeline autentimine on tänapäeval hädavajalik turvameede, mis pakub märkimisväärset kaitset küberrünnakute vastu. Microsofti uuringute kohaselt blokeerib 2FA üle 99,2% konto kompromiteerimise rünnakutest. Ettevõtete IT-juhid peaksid mõistma, et:

  • Kaheastmeline autentimine on mitmekihiline kaitsemeede, mis on eriti oluline kaugtöö puhul
  • Õigesti juurutatud 2FA vähendab oluliselt andmelekete ja kontode ülevõtmise riski
  • Protsessi tuleks rakendada järk-järgult, prioritiseerides kriitilised süsteemid
  • Kasutajate koolitus ja selged juhendid on edu võti
  • Regulaarne auditeerimine ja turvameetmete uuendamine on hädavajalik

Integreeritud IT-halduse terviklahendused aitavad tagada kaheastmelise autentimise sujuva juurutamise ja toimimise, muutes teie ettevõtte digitaalsed varad oluliselt turvalisemaks.