Menggunakan TBS

Fitur Layanan Dasar TPM dibagi menjadi empat area fungsional:

Untuk memastikan bahwa entitas yang berbeda tidak dapat mengakses sumber daya satu sama lain, setiap perintah yang dikirimkan ke TBS dikaitkan dengan entitas tertentu. Ini dicapai dengan membuat satu atau beberapa konteks untuk entitas, yang kemudian dikaitkan dengan setiap perintah berikutnya yang dikirimkan oleh entitas tersebut. Setiap perintah menyertakan objek konteks, yang memungkinkan TBS menjalankan perintah TPM dalam konteks yang sesuai. Semua objek yang dibuat oleh perintah dibersihkan dari TPM saat konteks ditutup.

Entitas membuat konteks sebelum pertama kali mengakses TBS dan mempertahankan konteks hingga selesai melakukan akses TBS. Misalnya, dalam kasus TSS, fitur layanan inti TCG (TCS) TSS akan membuat konteks TBS saat dimulai, dan akan menjaga konteks tersebut tetap aktif sampai dimatikan.

Untuk Windows Server 2008 dan Windows Vista, TBS membatasi akses ke API TBS ke akun Administrator, NT AUTHORITY\LocalService, dan NT AUTHORITY\NetworkService. Secara default, akun-akun ini adalah satu-satunya yang dapat terhubung ke TBS dan membuat konteks. Pembatasan akses dapat dimodifikasi dengan membuat kunci registri Akses dengan nama nilai registri string (REG_SZ) SecurityDescriptor

Jenis Data

REG_SZ
di bawahnya sebagai berikut:
HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

Contoh:

O:BAG:BAD:(A;;0 x00000001;;; BA)(A;;0 x00000001;;; NS)(A;;0 x00000001;;; LS)

Secara default, jumlah maksimum konteks yang didukung oleh TBS adalah 25. Angka ini dapat diubah dengan membuat atau memodifikasi nilai registri DWORD bernama MaxContexts di bawah HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm. Penggunaan konteks TBS real time dapat diamati dengan menggunakan alat monitor performa untuk melacak jumlah konteks TBS.

Untuk Windows 8, Windows Server 2012 dan yang lebih baru, TBS memungkinkan akses ke pengguna dan administrator standar. Kunci registri SecurityDescriptor dan MaxContexts menjadi usang. Untuk Windows 8, Windows Server 2012 dan yang lebih baru, TBS membatasi akses ke perintah tertentu menggunakan Pemblokiran Perintah.

Untuk Windows 10, versi 1607, TBS memungkinkan akses dari aplikasi AppContainer. Untuk setiap versi TPM, kunci BlockedAppContainerCommands dan AllowedW8AppContainerCommands telah ditambahkan dengan daftar yang cocok dari perintah TPM yang diblokir dan diizinkan.

Untuk Windows 10, versi 1803, kunci registri di bawah AllowedW8AppContainerCommands tidak lagi didukung.