Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcja usług podstawowych modułu TPM jest podzielona na cztery obszary funkcjonalne:
- Zasoby wirtualizacji zasobów
- Planowanie poleceń
- zarządzanie energią
- blokowanie poleceń
Aby upewnić się, że różne jednostki nie mogą uzyskać dostępu do zasobów, każde polecenie przesłane do usługi TBS jest skojarzone z określoną jednostką. Jest to realizowane przez utworzenie co najmniej jednego kontekstu dla jednostki, które są następnie skojarzone z każdym kolejnym poleceniem przesłanym przez tę jednostkę. Każde polecenie zawiera obiekt kontekstu, który umożliwia usłudze TBS wykonywanie poleceń modułu TPM w odpowiednim kontekście. Wszystkie obiekty utworzone przez polecenia są opróżniane z modułu TPM po zamknięciu kontekstu.
Jednostka tworzy kontekst przed pierwszym uzyskaniem dostępu do usługi TBS i utrzymuje kontekst do momentu zakończenia wykonywania dostępu do usługi TBS. Na przykład, w przypadku TSS, funkcja podstawowych usług TCG (TCS) w ramach TSS utworzy kontekst TBS podczas uruchamiania i utrzyma ten kontekst aktywny aż do jego zamknięcia.
W przypadku systemów Windows Server 2008 i Windows Vista usługa TBS ogranicza dostęp do interfejsu API TBS do kont Administratorzy, NT AUTHORITY\LocalService i NT AUTHORITY\NetworkService. Domyślnie te konta są jedynymi kontami, które mogą łączyć się z usługą TBS i tworzyć konteksty. Ograniczenia dostępu można modyfikować, tworząc klucz rejestru Access za pomocą ciągu (REG_SZ) nazwy wartości rejestru SecurityDescriptor
-
Typ danych
- REG_SZ
HKEY_LOCAL_MACHINE
Software
Microsoft
TPM
Access
SecurityDescriptor = SecurityDescriptor
Przykład:
O:BAG:BAD:(A;; 0x00000001;;; BA)(A;; 0x00000001;;; NS)(A;; 0x00000001;;; LS)
Domyślnie maksymalna liczba kontekstów obsługiwanych przez tbS wynosi 25. Tę liczbę można zmienić, tworząc lub modyfikując wartość rejestru DWORD o nazwie MaxContexts w obszarze HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm. Użycie kontekstu TBS w czasie rzeczywistym można zaobserwować za pomocą narzędzia monitora wydajności do śledzenia liczby kontekstów TBS.
W systemach Windows 8, Windows Server 2012 i nowszych usługa TBS umożliwia dostęp do zwykłych użytkowników i administratorów. SecurityDescriptor i MaxContexts klucze rejestru stały się przestarzałe. W systemach Windows 8, Windows Server 2012 i nowszych, usługa TBS ogranicza dostęp do niektórych poleceń przy użyciu blokowania poleceń.
W przypadku systemu Windows 10 w wersji 1607 usługa TBS zezwala na dostęp z aplikacji AppContainer. Dla każdej wersji modułu TPM klucze BlockedAppContainerCommands oraz AllowedW8AppContainerCommands zostały dodane, zawierając odpowiednie listy zablokowanych i dozwolonych poleceń TPM.
W przypadku systemu Windows 10 w wersji 1803 klucze rejestru w obszarze AllowedW8AppContainerCommands nie są już obsługiwane.