Uso di TBS

La funzionalità servizi di base TPM è suddivisa in quattro aree funzionali:

• Virtualizzazione risorse
• Pianificazione dei comandi
• Risparmio energia
• Blocco comandi

Per assicurarsi che le diverse entità non possano accedere alle risorse dell'altra, ogni comando inviato alla TBS è associato a un'entità specifica. Questa operazione viene eseguita creando uno o più contesti per un'entità, che vengono quindi associati a ogni comando successivo inviato da tale entità. Ogni comando include un oggetto context, che consente a TBS di eseguire comandi TPM nel contesto appropriato. Tutti gli oggetti creati dai comandi vengono scaricati dal TPM quando il contesto viene chiuso.

Un'entità crea il contesto prima di accedere alla TBS e mantiene il contesto finché non viene completato l'esecuzione degli accessi TBS. Ad esempio, nel caso di un TSS, la funzionalità dei servizi di base TCG (TCS) del servizio TSS creerebbe un contesto TBS all'avvio e manterrà attivo tale contesto fino all'arresto.

Per Windows Server 2008 e Windows Vista, tbS limita l'accesso all'API TBS agli account Administrators, NT AUTHORITY\LocalService e NT AUTHORITY\NetworkService. Per impostazione predefinita, questi account sono gli unici che possono connettersi a TBS e creare contesti. È possibile modificare le restrizioni di accesso creando una chiave del Registro di sistema Access con una stringa (REG_SZ) nome del Registro di sistema SecurityDescriptor

Tipo di dati

REG_SZ

sotto di esso come segue:

HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

Esempio:

O:BAG:BAD:(A;;0 x00000001; BA)(A;;0 x00000001; NS)(A;;0 x00000001; LS)

Per impostazione predefinita, il numero massimo di contesti supportati da TBS è 25. Questo numero può essere modificato creando o modificando un valore del Registro di sistema DWORD denominato MaxContexts in HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm. L'utilizzo del contesto TBS in tempo reale può essere osservato usando lo strumento di monitoraggio delle prestazioni per tenere traccia del numero di contesti TBS.

Per Windows 8, Windows Server 2012 e versioni successive, tbS consente l'accesso agli utenti e agli amministratori standard. Le chiavi del Registro di sistema SecurityDescriptor e MaxContexts diventano obsolete. Per Windows 8, Windows Server 2012 e versioni successive, tbS limita l'accesso a determinati comandi usando il blocco dei comandi.

Per Windows 10 versione 1607, la TBS consente l'accesso dalle applicazioni AppContainer. Per ogni versione TPM, sono state aggiunte rispettivamente le chiavi BlockedAppContainerCommands e AllowedW8AppContainerCommands con gli elenchi corrispondenti di comandi TPM bloccati e consentiti.

Per Windows 10 versione 1803, le chiavi del Registro di sistema in AllowedW8AppContainerCommands non sono più supportate.