Usando TBS

O recurso TPM Base Services é dividido em quatro áreas funcionais:

• Virtualização de Recursos
• Agendamento de comando
• Gerenciamento de Energia
• Bloqueio de comando

Para garantir que diferentes entidades não possam acessar os recursos umas das outras, cada comando enviado ao TBS está associado a uma entidade específica. Isso é feito criando um ou mais contextos para uma entidade, que são então associados a cada comando subsequente enviado por essa entidade. Cada comando inclui um objeto de contexto, que permite que o TBS execute comandos TPM no contexto apropriado. Todos os objetos criados por comandos são liberados do TPM quando o contexto é fechado.

Uma entidade cria o contexto antes de acessar primeiro o TBS e mantém o contexto até concluir a execução de acessos de TBS. Por exemplo, no caso de um TSS, o recurso TCS (serviços principais de TCG) do TSS criaria um contexto de TBS quando fosse iniciado e manteria esse contexto ativo até que ele fosse desligado.

Para o Windows Server 2008 e o Windows Vista, o TBS restringe o acesso à API TBS às contas Administradores, NT AUTHORITY\LocalService e NT AUTHORITY\NetworkService. Por padrão, essas contas são as únicas que podem se conectar ao TBS e criar contextos. As restrições de acesso podem ser modificadas criando uma chave do Registro Access com uma cadeia de caracteres (REG_SZ) nome do valor do registro SecurityDescriptor

Tipo de dados

REG_SZ

sob ele da seguinte maneira:

HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

Exemplo:

O:BAG:BAD:(A;;0 x00000001;;; BA)(A;;0 x00000001;;; NS)(A;;0 x00000001;;; LS)

Por padrão, o número máximo de contextos compatíveis com o TBS é 25. Esse número pode ser alterado criando ou modificando um valor de registro DWORD chamado MaxContexts em HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm. O uso de contexto tbs em tempo real pode ser observado usando a ferramenta de monitor de desempenho para acompanhar o número de contextos de TBS.

Para Windows 8, Windows Server 2012 e posteriores, o TBS permite acesso a usuários e administradores padrão. As chaves do registro SecurityDescriptor e MaxContexts tornaram-se obsoletas. Para Windows 8, Windows Server 2012 e posteriores, o TBS restringe o acesso a determinados comandos usando o Bloqueio de Comando.

Para Windows 10, versão 1607, o TBS permite o acesso de aplicativos AppContainer. Para cada versão do TPM, as chaves BlockedAppContainerCommands e AllowedW8AppContainerCommands foram adicionadas com as listas correspondentes de comandos TPM bloqueados e permitidos, respectivamente.

Para Windows 10, versão 1803, não há mais suporte para as chaves do Registro em AllowedW8AppContainerCommands.