Devices with critical credentials should be protected by TPM.

Proč na tom záleží

Pokud zařízením, která ukládají kritická pověření, chybí ochrana pomocí Trusted Platform Module (TPM), jsou tato pověření zranitelná vůči krádeži nebo extrakci útočníky, kteří získají fyzický nebo vzdálený přístup. TPM poskytuje hardwarovou úroveň zabezpečení tím, že váže pověření k zařízení, čímž je činí nepřístupnými i v případě, že je operační systém ohrožen. Bez této ochrany vaše organizace riskuje krádež pověření, laterální pohyb a eskalaci oprávnění.

Co Aether365 kontroluje

Aether365 prohledává vašeho tenanta Microsoft 365 a identifikuje zařízení s kritickými pověřeními, která nejsou chráněna pomocí TPM. Tato kontrola se zobrazí na řídicím panelu Aether365 v sekci microsoft-365 security checks.

Jak opravit

1. U zařízení s Windows zajistěte, aby byl TPM povolen a inicializován v nastavení systému BIOS nebo UEFI firmwaru.
2. Nakonfigurujte skupinovou politiku pro vynucení vázání TPM u uživatelských pověření: přejděte na Computer Configuration > Administrative Templates > System > Trusted Platform Module Services a povolte "Turn on TPM for credential protection."
3. Na zařízeních s Windows 10 nebo 11 použijte příkaz Manage-bde -tpm pro ověření stavu TPM a v případě potřeby spusťte v PowerShellu Initialize-Tpm pro přípravu TPM.
4. U zařízení chráněných pomocí BitLockeru zajistěte, aby byl TPM použit jako klíčový ochránce, a to spuštěním Get-BitLockerVolume v PowerShellu pro potvrzení přítomnosti ochránce TPM.
5. Nasaďte politiku správy mobilních zařízení (MDM) nebo politiku vyhovění Intune, která vyžaduje přítomnost TPM na zařízeních s citlivými pověřeními.

Compliance

• Rámec: Jiné

Související zdroje

• Trusted Platform Module Technology Overview (Microsoft Learn)
• Enable TPM (Microsoft Learn)