Devices with critical credentials should be protected by TPM.

Dlaczego to jest ważne

Jeśli urządzenia przechowujące krytyczne poświadczenia nie mają ochrony za pomocą Trusted Platform Module (TPM), te poświadczenia są narażone na kradzież lub wyodrębnienie przez atakujących, którzy uzyskają dostęp fizyczny lub zdalny. TPM zapewnia bezpieczeństwo na poziomie sprzętowym poprzez powiązanie poświadczeń z urządzeniem, co czyni je niedostępnymi nawet w przypadku naruszenia systemu operacyjnego. Bez tej ochrony Twoja organizacja ryzykuje kradzież poświadczeń, ruch boczny i eskalację uprawnień.

Co sprawdza Aether365

Aether365 skanuje Twoją dzierżawę Microsoft 365 w celu identyfikacji urządzeń z krytycznymi poświadczeniami, które nie są chronione przez TPM. Ta kontrola pojawia się na pulpicie nawigacyjnym Aether365 w sekcji sprawdzeń zabezpieczeń Microsoft 365.

Jak naprawić

1. W przypadku urządzeń z systemem Windows upewnij się, że TPM jest włączony i zainicjowany w ustawieniach BIOS lub UEFI.
2. Skonfiguruj zasady grupy, aby wymusić powiązanie TPM dla poświadczeń użytkownika: przejdź do Computer Configuration > Administrative Templates > System > Trusted Platform Module Services i włącz opcję "Turn on TPM for credential protection."
3. Na urządzeniach z systemem Windows 10 lub 11 użyj polecenia Manage-bde -tpm, aby sprawdzić stan TPM, a w razie potrzeby uruchom Initialize-Tpm w PowerShell, aby przygotować TPM.
4. W przypadku urządzeń chronionych przez BitLocker upewnij się, że TPM jest używany jako zabezpieczenie klucza, uruchamiając Get-BitLockerVolume w PowerShell, aby potwierdzić obecność zabezpieczenia TPM.
5. Wdróż zasady zarządzania urządzeniami mobilnymi (MDM) lub zasady zgodności Intune, które wymagają obecności TPM na urządzeniach z wrażliwymi poświadczeniami.

Zgodność

• Framework: Inne

Powiązane zasoby

• Omówienie technologii Trusted Platform Module (Microsoft Learn)
• Włączanie TPM (Microsoft Learn)