Devices with critical credentials should be protected by TPM.

Varför detta är viktigt

Om enheter som lagrar kritiska autentiseringsuppgifter saknar Trusted Platform Module-skydd (TPM), riskerar dessa uppgifter att stjälas eller extraheras av angripare som får fysisk eller fjärråtkomst. En TPM tillhandahåller säkerhet på hårdvarunivå genom att binda autentiseringsuppgifterna till enheten, vilket gör dem oåtkomliga även om operativsystemet äventyras. Utan detta skydd löper organisationen risk för stöld av autentiseringsuppgifter, lateral förflyttning och privilegieeskalering.

Vad Aether365 kontrollerar

Aether365 genomsöker din Microsoft 365-klientorganisation för att identifiera enheter med kritiska autentiseringsuppgifter som inte skyddas av en TPM. Denna kontroll visas i Aether365-instrumentpanelen under avsnittet microsoft-365-security checks.

Åtgärd

1. För Windows-enheter: se till att TPM är aktiverad och initierad i systemets BIOS- eller UEFI-firmwareinställningar.
2. Konfigurera grupprinciper för att tvinga TPM-bindning för användarautentiseringsuppgifter: navigera till Computer Configuration > Administrative Templates > System > Trusted Platform Module Services och aktivera "Turn on TPM for credential protection."
3. På enheter som kör Windows 10 eller 11 använder du kommandot Manage-bde -tpm för att verifiera TPM-status, och kör vid behov Initialize-Tpm i PowerShell för att förbereda TPM:en.
4. För BitLocker-skyddade enheter: se till att TPM används som nyckelskydd genom att köra Get-BitLockerVolume i PowerShell för att bekräfta att TPM-skydd finns.
5. Distribuera en policy för hantering av mobila enheter (MDM) eller en Intune-efterlevnadspolicy som kräver att TPM finns på enheter med känsliga autentiseringsuppgifter.

Regelefterlevnad

• Ramverk: Övrigt

Relaterade resurser

• Trusted Platform Module Technology Overview (Microsoft Learn)
• Enable TPM (Microsoft Learn)