{"id":1189,"date":"2026-07-03T09:41:35","date_gmt":"2026-07-03T07:41:35","guid":{"rendered":"https:\/\/www.docsnet.it\/?p=1189"},"modified":"2026-07-03T09:41:42","modified_gmt":"2026-07-03T07:41:42","slug":"tpm-2-0-e-windows-11","status":"publish","type":"post","link":"https:\/\/www.docsnet.it\/index.php\/tpm-2-0-e-windows-11\/","title":{"rendered":"TPM 2.0 e Windows 11"},"content":{"rendered":"\n<p class=\"has-text-color has-small-font-size wp-block-paragraph\" style=\"color:#1b2a4a\"><strong>DOCLINE SERVICE &amp; NETWORKING<\/strong> \u2014 docsnet.it<\/p>\n\n\n\n<hr class=\"wp-block-separator has-text-color has-alpha-channel-opacity has-background\" style=\"background-color:#c0392b;color:#c0392b\"\/>\n\n\n\n<h3 class=\"wp-block-heading has-text-color\" style=\"color:#1b2a4a\">TPM 2.0 e Windows 11: perch\u00e9 conviene mappare il parco macchine prima di aggiornare<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\" style=\"font-style:italic\">Perch\u00e9 Microsoft lo richiede, cosa rischia chi lo ignora, e come verificarlo in pochi minuti su una o cento postazioni.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-text-color\" style=\"color:#c0392b\">Il problema, in breve<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Da quando Windows 11 \u00e8 disponibile, il requisito che genera pi\u00f9 richieste di supporto da parte dei clienti non \u00e8 la CPU minima n\u00e9 la RAM, ma il <strong>TPM 2.0<\/strong> (Trusted Platform Module). Molti PC aziendali, anche recenti, risultano &#8220;non compatibili&#8221; nel PC Health Check pur avendo il chip fisicamente presente sulla scheda madre, semplicemente perch\u00e9 disattivato nel BIOS\/UEFI. Distinguere un caso dall&#8217;altro prima di pianificare un rollout o una sostituzione hardware evita spese non necessarie al cliente e tempi morti in fase di aggiornamento.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-text-color\" style=\"color:#c0392b\">Perch\u00e9 Microsoft richiede il TPM 2.0<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le motivazioni dichiarate da Microsoft sono di natura prevalentemente security-first e riguardano diverse componenti del sistema operativo:<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table class=\"has-fixed-layout\"><thead><tr><th>Ambito<\/th><th>Perch\u00e9 conta<\/th><\/tr><\/thead><tbody><tr><td><strong>Sicurezza hardware-based<\/strong><\/td><td>Il TPM isola la generazione e la custodia delle chiavi crittografiche dalla CPU e dal sistema operativo, rendendole molto pi\u00f9 difficili da estrarre rispetto a soluzioni solo software.<\/td><\/tr><tr><td><strong>Protezione da attacchi firmware\/rootkit<\/strong><\/td><td>Secure Boot e Measured Boot verificano l&#8217;integrit\u00e0 di firmware, bootloader e OS, rilevando manomissioni prima ancora che Windows sia completamente avviato.<\/td><\/tr><tr><td><strong>Windows Hello<\/strong><\/td><td>Le chiavi di riconoscimento facciale, impronte e PIN restano custodite nel chip, non estraibili anche in caso di compromissione del sistema.<\/td><\/tr><tr><td><strong>BitLocker rafforzato<\/strong><\/td><td>La cifratura del disco si appoggia a un chip dedicato, pi\u00f9 resistente ad attacchi fisici come il cold boot attack rispetto alle versioni precedenti.<\/td><\/tr><tr><td><strong>Virtualization-based Security<\/strong><\/td><td>Processi critici come LSASS vengono isolati in un ambiente virtualizzato la cui integrit\u00e0 \u00e8 attestata anche tramite il TPM.<\/td><\/tr><tr><td><strong>Contrasto al ransomware<\/strong><\/td><td>Microsoft ha motivato la scelta citando dati interni secondo cui una quota rilevante degli attacchi osservati sfruttava vulnerabilit\u00e0 a livello firmware o hardware.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Va detto che la scelta resta controversa: esclude hardware ancora pienamente funzionante, in particolare CPU precedenti al 2018 prive di TPM discreto. Nella maggior parte dei casi pratici, per\u00f2, il chip \u00e8 gi\u00e0 presente sotto forma di fTPM (AMD) o Intel PTT integrato nel chipset, e basta abilitarlo via BIOS: la macchina non va quindi scartata a priori.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-text-color\" style=\"color:#c0392b\">Perch\u00e9 conviene fare l&#8217;audit prima, non durante<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Un controllo preventivo su tutto il parco macchine, invece che postazione per postazione al momento del bisogno, porta tre vantaggi concreti per uno studio di consulenza IT o per il reparto interno di un&#8217;azienda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pianificazione dei costi<\/strong>: si separano subito le macchine &#8220;solo da abilitare in BIOS&#8221; da quelle davvero da sostituire.<\/li>\n\n\n\n<li><strong>Riduzione dei fermi macchina<\/strong>: niente sorprese a ridosso della fine del supporto di Windows 10 (14 ottobre 2025) o durante un aggiornamento massivo.<\/li>\n\n\n\n<li><strong>Evidenza documentale<\/strong>: un report per cliente, utile sia in fase di preventivo sia come tracciabilit\u00e0 degli interventi effettuati.<\/li>\n<\/ul>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-7387b849 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\">\n<h3 class=\"wp-block-heading has-text-color\" style=\"color:#2e7d32\">\u2705 FARE<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verificare lo stato TPM\/PTT\/fTPM nel BIOS-UEFI prima di dichiarare un PC &#8220;non aggiornabile&#8221;<\/li>\n\n\n\n<li>Eseguire l&#8217;audit su tutto il parco macchine prima di pianificare il rollout di Windows 11<\/li>\n\n\n\n<li>Documentare per ogni client l&#8217;esito (idoneo, da abilitare, da sostituire)<\/li>\n\n\n\n<li>Pianificare per tempo la sostituzione dell&#8217;hardware davvero incompatibile<\/li>\n\n\n\n<li>Conservare il report come evidenza per il cliente<\/li>\n<\/ul>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\">\n<h3 class=\"wp-block-heading has-text-color\" style=\"color:#c0392b\">\u274c NON FARE<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aggiornare a Windows 11 aggirando i requisiti con bypass di registro senza informare il cliente<\/li>\n\n\n\n<li>Assumere che l&#8217;assenza di TPM 2.0 nel pannello di controllo significhi hardware incompatibile<\/li>\n\n\n\n<li>Rimandare la verifica a ridosso della fine supporto di Windows 10<\/li>\n\n\n\n<li>Aggiornare macchine di produzione (call center, hotel, reception) senza test preventivo<\/li>\n\n\n\n<li>Ignorare lo stato di Secure Boot, spesso disabilitato su BIOS Legacy<\/li>\n<\/ul>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"wp-block-heading has-text-color\" style=\"color:#c0392b\">Script PowerShell per l&#8217;audit TPM<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Lo script seguente (<code>Test-TPMCompliance.ps1<\/code>) verifica stato TPM, versione, Secure Boot, RAM e OS su una macchina locale, su un elenco di nomi macchina, oppure su tutte le macchine di un dominio Active Directory (ad esempio un dominio Samba4 AD DC come <code>dominio.local<\/code>). Il risultato viene mostrato a schermo con codice colore ed esportato in CSV pronto per Excel.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># Analisi del solo PC locale\n.\\Test-TPMCompliance.ps1\n\n# Analisi di un elenco di macchine specifiche\n.\\Test-TPMCompliance.ps1 -ComputerName PC01,PC02,SERVER-REC01\n\n# Analisi di tutte le macchine del dominio, con export su percorso specifico\n.\\Test-TPMCompliance.ps1 -FromAD -OutputCsv C:\\Report\\TPM_dominio.csv<\/code><\/pre>\n\n\n\n<p class=\"has-small-font-size wp-block-paragraph\" style=\"font-style:italic\">Requisiti: WinRM abilitato sulle macchine remote (<code>winrm quickconfig<\/code>), privilegi amministrativi sul dominio o sulle singole postazioni. Lo script \u00e8 disponibile come file .ps1 scaricabile, pensato per essere lanciato da una postazione con RSAT o direttamente da un DC.<\/p>\n\n\n\n<h2 class=\"wp-block-heading has-text-color\" style=\"color:#c0392b\">Lettura del risultato<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>OK<\/strong>: TPM 2.0 presente, abilitato, Secure Boot attivo, RAM sufficiente \u2014 macchina pronta per Windows 11.<\/li>\n\n\n\n<li><strong>DA ABILITARE<\/strong>: il chip c&#8217;\u00e8, ma \u00e8 spento nel BIOS\/UEFI \u2014 basta un intervento di pochi minuti, da remoto se il fornitore lo consente o in loco.<\/li>\n\n\n\n<li><strong>NON IDONEO \/ DA VERIFICARE<\/strong>: manca il TPM 2.0 nativo, o la piattaforma \u00e8 troppo datata \u2014 da valutare caso per caso, con il cliente, se aggiornare l&#8217;hardware o mantenere Windows 10 con ESU fino a fine supporto.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading has-text-color\" style=\"color:#c0392b\">Conclusione<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Il requisito TPM 2.0 non \u00e8 un capriccio tecnico, ma risponde a un innalzamento reale del livello minimo di sicurezza richiesto da Microsoft, in un contesto in cui gli attacchi a livello firmware sono in aumento. Per chi gestisce parchi macchine eterogenei \u2014 reception di hotel, postazioni di call center, uffici SMB \u2014 il modo pi\u00f9 efficiente per affrontare la transizione resta un audit preventivo, mirato e documentato, invece di scoperte dell&#8217;ultimo minuto.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-text-color has-alpha-channel-opacity has-background\" style=\"background-color:#1b2a4a;color:#1b2a4a\"\/>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Test-TPMCompliance.ps1<\/strong><br><a href=\"https:\\\\www.docsnet.it\\script\\Test-TPMCompliance.ps1\">https:\\\\www.docsnet.it\\script\\Test-TPMCompliance.ps1<\/a><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p class=\"has-small-font-size wp-block-paragraph\" style=\"font-style:italic\">Docline Service &amp; Networking \u2014 IT Consulting dal 1994 \u2014 docsnet.it<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>DOCLINE SERVICE &amp; NETWORKING \u2014 docsnet.it TPM 2.0 e Windows 11: perch\u00e9 conviene mappare il parco macchine prima di aggiornare Perch\u00e9 Microsoft lo richiede, cosa rischia chi lo ignora, e &#8230;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17,1,338,11,360],"tags":[365,366,363,364,367,110],"class_list":["post-1189","post","type-post","status-publish","format-standard","hentry","category-informazioni-varie","category-senza-categoria","category-sistemi-operativi","category-sistemistica","category-windows-11","tag-compliance","tag-sistema-operativo","tag-tpm","tag-tpm-2-0","tag-trusted-platform-module","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/comments?post=1189"}],"version-history":[{"count":1,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1189\/revisions"}],"predecessor-version":[{"id":1190,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/posts\/1189\/revisions\/1190"}],"wp:attachment":[{"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/media?parent=1189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/categories?post=1189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.docsnet.it\/index.php\/wp-json\/wp\/v2\/tags?post=1189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}