DOCLINE SERVICE & NETWORKING — docsnet.it
TPM 2.0 e Windows 11: perché conviene mappare il parco macchine prima di aggiornare
Perché Microsoft lo richiede, cosa rischia chi lo ignora, e come verificarlo in pochi minuti su una o cento postazioni.
Il problema, in breve
Da quando Windows 11 è disponibile, il requisito che genera più richieste di supporto da parte dei clienti non è la CPU minima né la RAM, ma il TPM 2.0 (Trusted Platform Module). Molti PC aziendali, anche recenti, risultano “non compatibili” nel PC Health Check pur avendo il chip fisicamente presente sulla scheda madre, semplicemente perché disattivato nel BIOS/UEFI. Distinguere un caso dall’altro prima di pianificare un rollout o una sostituzione hardware evita spese non necessarie al cliente e tempi morti in fase di aggiornamento.
Perché Microsoft richiede il TPM 2.0
Le motivazioni dichiarate da Microsoft sono di natura prevalentemente security-first e riguardano diverse componenti del sistema operativo:
| Ambito | Perché conta |
|---|---|
| Sicurezza hardware-based | Il TPM isola la generazione e la custodia delle chiavi crittografiche dalla CPU e dal sistema operativo, rendendole molto più difficili da estrarre rispetto a soluzioni solo software. |
| Protezione da attacchi firmware/rootkit | Secure Boot e Measured Boot verificano l’integrità di firmware, bootloader e OS, rilevando manomissioni prima ancora che Windows sia completamente avviato. |
| Windows Hello | Le chiavi di riconoscimento facciale, impronte e PIN restano custodite nel chip, non estraibili anche in caso di compromissione del sistema. |
| BitLocker rafforzato | La cifratura del disco si appoggia a un chip dedicato, più resistente ad attacchi fisici come il cold boot attack rispetto alle versioni precedenti. |
| Virtualization-based Security | Processi critici come LSASS vengono isolati in un ambiente virtualizzato la cui integrità è attestata anche tramite il TPM. |
| Contrasto al ransomware | Microsoft ha motivato la scelta citando dati interni secondo cui una quota rilevante degli attacchi osservati sfruttava vulnerabilità a livello firmware o hardware. |
Va detto che la scelta resta controversa: esclude hardware ancora pienamente funzionante, in particolare CPU precedenti al 2018 prive di TPM discreto. Nella maggior parte dei casi pratici, però, il chip è già presente sotto forma di fTPM (AMD) o Intel PTT integrato nel chipset, e basta abilitarlo via BIOS: la macchina non va quindi scartata a priori.
Perché conviene fare l’audit prima, non durante
Un controllo preventivo su tutto il parco macchine, invece che postazione per postazione al momento del bisogno, porta tre vantaggi concreti per uno studio di consulenza IT o per il reparto interno di un’azienda:
- Pianificazione dei costi: si separano subito le macchine “solo da abilitare in BIOS” da quelle davvero da sostituire.
- Riduzione dei fermi macchina: niente sorprese a ridosso della fine del supporto di Windows 10 (14 ottobre 2025) o durante un aggiornamento massivo.
- Evidenza documentale: un report per cliente, utile sia in fase di preventivo sia come tracciabilità degli interventi effettuati.
✅ FARE
- Verificare lo stato TPM/PTT/fTPM nel BIOS-UEFI prima di dichiarare un PC “non aggiornabile”
- Eseguire l’audit su tutto il parco macchine prima di pianificare il rollout di Windows 11
- Documentare per ogni client l’esito (idoneo, da abilitare, da sostituire)
- Pianificare per tempo la sostituzione dell’hardware davvero incompatibile
- Conservare il report come evidenza per il cliente
❌ NON FARE
- Aggiornare a Windows 11 aggirando i requisiti con bypass di registro senza informare il cliente
- Assumere che l’assenza di TPM 2.0 nel pannello di controllo significhi hardware incompatibile
- Rimandare la verifica a ridosso della fine supporto di Windows 10
- Aggiornare macchine di produzione (call center, hotel, reception) senza test preventivo
- Ignorare lo stato di Secure Boot, spesso disabilitato su BIOS Legacy
Script PowerShell per l’audit TPM
Lo script seguente (Test-TPMCompliance.ps1) verifica stato TPM, versione, Secure Boot, RAM e OS su una macchina locale, su un elenco di nomi macchina, oppure su tutte le macchine di un dominio Active Directory (ad esempio un dominio Samba4 AD DC come dominio.local). Il risultato viene mostrato a schermo con codice colore ed esportato in CSV pronto per Excel.
# Analisi del solo PC locale
.\Test-TPMCompliance.ps1
# Analisi di un elenco di macchine specifiche
.\Test-TPMCompliance.ps1 -ComputerName PC01,PC02,SERVER-REC01
# Analisi di tutte le macchine del dominio, con export su percorso specifico
.\Test-TPMCompliance.ps1 -FromAD -OutputCsv C:\Report\TPM_dominio.csv
Requisiti: WinRM abilitato sulle macchine remote (winrm quickconfig), privilegi amministrativi sul dominio o sulle singole postazioni. Lo script è disponibile come file .ps1 scaricabile, pensato per essere lanciato da una postazione con RSAT o direttamente da un DC.
Lettura del risultato
- OK: TPM 2.0 presente, abilitato, Secure Boot attivo, RAM sufficiente — macchina pronta per Windows 11.
- DA ABILITARE: il chip c’è, ma è spento nel BIOS/UEFI — basta un intervento di pochi minuti, da remoto se il fornitore lo consente o in loco.
- NON IDONEO / DA VERIFICARE: manca il TPM 2.0 nativo, o la piattaforma è troppo datata — da valutare caso per caso, con il cliente, se aggiornare l’hardware o mantenere Windows 10 con ESU fino a fine supporto.
Conclusione
Il requisito TPM 2.0 non è un capriccio tecnico, ma risponde a un innalzamento reale del livello minimo di sicurezza richiesto da Microsoft, in un contesto in cui gli attacchi a livello firmware sono in aumento. Per chi gestisce parchi macchine eterogenei — reception di hotel, postazioni di call center, uffici SMB — il modo più efficiente per affrontare la transizione resta un audit preventivo, mirato e documentato, invece di scoperte dell’ultimo minuto.
Test-TPMCompliance.ps1
https:\\www.docsnet.it\script\Test-TPMCompliance.ps1
Docline Service & Networking — IT Consulting dal 1994 — docsnet.it