Verwenden von TBS

Das TPM-Basisdienstefeature ist in vier Funktionsbereiche unterteilt:

• Ressourcenvirtualisierung
• Befehlsplanung
• Energieverwaltung
• Befehlsblockierung

Um sicherzustellen, dass verschiedene Entitäten nicht auf die Ressourcen des jeweils anderen zugreifen können, wird jeder an die TBS übermittelte Befehl einer bestimmten Entität zugeordnet. Dies wird erreicht, indem ein oder mehrere Kontexte für eine Entität erstellt werden, die dann jedem nachfolgenden Befehl zugeordnet werden, der von dieser Entität übermittelt wird. Jeder Befehl enthält ein Kontextobjekt, mit dem die TBS TPM-Befehle unter dem entsprechenden Kontext ausführen kann. Alle durch Befehle erstellten Objekte werden aus dem TPM geleert, wenn der Kontext geschlossen wird.

Eine Entität erstellt den Kontext, bevor sie zuerst auf die TBS zugreift, und behält den Kontext bei, bis die Ausführung von TBS-Zugriffen abgeschlossen ist. Im Fall eines TSS würde beispielsweise das TCG-Kerndienste-Feature (TCS) des TSS beim Starten einen TBS-Kontext erstellen und diesen Kontext aktiv halten, bis er heruntergefahren wird.

Für Windows Server 2008 und Windows Vista beschränkt tbS den Zugriff auf die TBS-API auf die Konten Administratoren, NT AUTHORITY\LocalService und NT AUTHORITY\NetworkService. Standardmäßig sind diese Konten die einzigen Konten, die eine Verbindung mit TBS herstellen und Kontexte erstellen können. Zugriffsbeschränkungen können geändert werden, indem Sie einen Registrierungsschlüssel Access mit einem Zeichenfolgenwert (REG_SZ) securityDescriptor erstellen.

Datentyp

REG_SZ

darunter wie folgt:

HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

Beispiel:

O:BAG:BAD:(A;;0 x000000001;;; BA)(A;;0 x000000001;;; NS)(A;;0 x000000001;;; LS)

Standardmäßig ist die maximale Anzahl von Kontexten, die vom TBS unterstützt werden, 25. Diese Nummer kann durch Erstellen oder Ändern eines DWORD-Registrierungswerts namens MaxContexts unter HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm geändert werden. Die Verwendung des TBS-Kontexts in Echtzeit kann mithilfe des Leistungsüberwachungstools beobachtet werden, um die Anzahl von TBS-Kontexten zu verfolgen.

Für Windows 8, Windows Server 2012 und höher ermöglicht das TBS den Zugriff auf Standardbenutzer und Administratoren. Die Registrierungsschlüssel "SecurityDescriptor " und "MaxContexts " wurden veraltet. Für Windows 8, Windows Server 2012 und höher, schränkt die TBS den Zugriff auf bestimmte Befehle mithilfe der Befehlsblockierung ein.

Für Windows 10 Version 1607 ermöglicht die TBS den Zugriff über AppContainer-Anwendungen. Für jede TPM-Version wurden die Schlüssel BlockedAppContainerCommands und AllowedW8AppContainerCommands mit den übereinstimmenden Listen blockierter und zulässiger TPM-Befehle hinzugefügt.

Für Windows 10 Version 1803 werden die Registrierungsschlüssel unter AllowedW8AppContainerCommands nicht mehr unterstützt.