Devices with critical credentials should be protected by TPM.

Perché è Importante

Se i dispositivi che archiviano credenziali critiche non dispongono della protezione del Trusted Platform Module (TPM), tali credenziali sono vulnerabili a furti o estrazioni da parte di utenti malintenzionati che ottengono accesso fisico o remoto. Un TPM fornisce sicurezza a livello hardware associando le credenziali al dispositivo, rendendole inaccessibili anche se il sistema operativo è compromesso. Senza questa protezione, la vostra organizzazione rischia furti di credenziali, movimenti laterali ed escalation dei privilegi.

Cosa Verifica Aether365

Aether365 analizza il vostro tenant di Microsoft 365 per identificare i dispositivi con credenziali critiche non protette da un TPM. Questo controllo viene visualizzato nel dashboard di Aether365 nella sezione microsoft-365 security checks.

Come Risolvere

1. Per i dispositivi Windows, assicuratevi che il TPM sia abilitato e inizializzato nelle impostazioni del BIOS di sistema o del firmware UEFI.
2. Configurate i Criteri di Gruppo per imporre l'associazione TPM per le credenziali utente: navigate su Computer Configuration > Administrative Templates > System > Trusted Platform Module Services e abilitate "Turn on TPM for credential protection."
3. Sui dispositivi con Windows 10 o 11, utilizzate il comando Manage-bde -tpm per verificare lo stato del TPM e, se necessario, eseguite Initialize-Tpm in PowerShell per preparare il TPM.
4. Per i dispositivi protetti da BitLocker, assicuratevi che il TPM sia utilizzato come protettore delle chiavi eseguendo Get-BitLockerVolume in PowerShell per confermare la presenza del protettore TPM.
5. Distribuite un criterio di gestione dei dispositivi mobili (MDM) o un criterio di conformità di Intune che richieda la presenza del TPM sui dispositivi con credenziali sensibili.

Conformità

• Framework: Altro

Risorse Correlate

• Trusted Platform Module Technology Overview (Microsoft Learn)
• Enable TPM (Microsoft Learn)