Uso de TBS

La característica Servicios base de TPM se divide en cuatro áreas funcionales:

• Virtualización de recursos
• Programación de comandos
• Administración de energía
• Bloqueo de comandos

Para asegurarse de que las distintas entidades no pueden acceder a los recursos de los demás, cada comando enviado a TBS está asociado a una entidad específica. Esto se logra mediante la creación de uno o varios contextos para una entidad, que luego se asocian a cada comando subsiguiente enviado por esa entidad. Cada comando incluye un objeto de contexto, que permite que TBS ejecute comandos de TPM en el contexto adecuado. Todos los objetos creados por comandos se vacían desde el TPM cuando se cierra el contexto.

Una entidad crea el contexto antes de que acceda por primera vez al TBS y mantiene el contexto hasta que termine de realizar los accesos de TBS. Por ejemplo, en el caso de un TSS, la característica de servicios principales de TCG (TCS) del TSS crearía un contexto TBS cuando se inicia y mantenería ese contexto activo hasta que se cierre.

Para Windows Server 2008 y Windows Vista, TBS restringe el acceso a la API de TBS a las cuentas Administradores, NT AUTHORITY\LocalService y NT AUTHORITY\NetworkService. De forma predeterminada, estas cuentas son las únicas que pueden conectarse a TBS y crear contextos. Las restricciones de acceso se pueden modificar mediante la creación de una clave del Registro Access con un nombre de valor del Registro de cadena (REG_SZ) SecurityDescriptor

Tipo de datos

REG_SZ

en él como se indica a continuación:

HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

Ejemplo:

O:BAG:BAD:(A;;0 x0000001;;; BA)(A;;0 x0000001;;; NS)(A;;0 x0000001;;; LS)

De forma predeterminada, el número máximo de contextos admitidos por TBS es 25. Este número se puede modificar creando o modificando un valor del Registro DWORD denominado MaxContexts en HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm. El uso del contexto de TBS en tiempo real se puede observar mediante la herramienta de supervisión de rendimiento para realizar un seguimiento del número de contextos TBS.

Para Windows 8, Windows Server 2012 y versiones posteriores, TBS permite el acceso a usuarios y administradores estándar. Las claves del Registro SecurityDescriptor y MaxContexts se han quedado obsoletas. Para Windows 8, Windows Server 2012 y versiones posteriores, TBS restringe el acceso a determinados comandos mediante el bloqueo de comandos.

Para Windows 10, versión 1607, TBS permite el acceso desde aplicaciones appContainer. Para cada versión de TPM, las claves BlockedAppContainerCommands y AllowedW8AppContainerCommands se han agregado con las listas coincidentes de comandos TPM bloqueados y permitidos, respectivamente.

Para Windows 10, versión 1803, ya no se admiten las claves del Registro en AllowedW8AppContainerCommands.