TBS 사용

TPM 기본 서비스 기능은 다음 네 가지 기능 영역으로 나뉩니다.

• 리소스 가상화
• 명령 예약
• 전원 관리
• 명령 차단

서로 다른 엔터티가 서로의 리소스에 액세스할 수 없도록 하기 위해 TBS에 제출된 각 명령은 특정 엔터티와 연결됩니다. 이렇게 하려면 엔터티에 대해 하나 이상의 컨텍스트를 만든 다음, 해당 엔터티에서 제출한 각 후속 명령과 연결됩니다. 각 명령에는 TBS가 적절한 컨텍스트에서 TPM 명령을 실행할 수 있는 컨텍스트 개체가 포함됩니다. 명령으로 만든 모든 개체는 컨텍스트가 닫혀 있을 때 TPM에서 플러시됩니다.

엔터티는 먼저 TBS에 액세스하기 전에 컨텍스트를 만들고 TBS 액세스 수행이 완료될 때까지 컨텍스트를 유지 관리합니다. 예를 들어 TSS의 경우 TSS의 TCG 핵심 서비스(TCS) 기능은 TBS 컨텍스트가 시작될 때 만들어지고 종료될 때까지 해당 컨텍스트를 활성 상태로 유지합니다.

Windows Server 2008 및 Windows Vista의 경우 TBS는 TBS API에 대한 액세스를 Administrators, NT AUTHORITY\LocalService 및 NT AUTHORITY\NetworkService 계정으로 제한합니다. 기본적으로 이러한 계정은 TBS에 연결하고 컨텍스트를 만들 수 있는 유일한 계정입니다. REG_SZ(문자열) 레지스트리 값 이름 SecurityDescriptor를 사용하여 레지스트리 키 Access를 만들어 액세스 제한을 수정할 수 있습니다.

데이터 형식

REG_SZ

아래는 다음과 같습니다.

HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

예제:

O:BAG:BAD:(A;;0 x00000001;;; BA)(A;;0 x00000001;;; NS)(A;;0 x00000001;;; LS)

기본적으로 TBS에서 지원하는 최대 컨텍스트 수는 25개입니다. 이 번호는 HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm에서 MaxContexts라는 DWORD 레지스트리 값을 만들거나 수정하여 변경할 수 있습니다. 성능 모니터 도구를 사용하여 TBS 컨텍스트 수를 추적하여 실시간 TBS 컨텍스트 사용을 관찰할 수 있습니다.

Windows 8 Windows Server 2012 이상에서는 TBS에서 표준 사용자 및 관리자에 대한 액세스를 허용합니다. SecurityDescriptor 및 MaxContexts 레지스트리 키는 사용되지 않습니다. Windows 8 Windows Server 2012 이상의 경우 TBS는 명령 차단을 사용하여 특정 명령에 대한 액세스를 제한합니다.

Windows 10 버전 1607의 경우 TBS는 AppContainer 애플리케이션에서 액세스할 수 있도록 허용합니다. 각 TPM 버전에 대해 BlockedAppContainerCommands 및 AllowedW8AppContainerCommands 키가 각각 차단 및 허용된 TPM 명령의 일치하는 목록과 함께 추가되었습니다.

Windows 10 버전 1803의 경우 AllowedW8AppContainerCommands 아래의 레지스트리 키는 더 이상 지원되지 않습니다.