Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Компонент базовых служб доверенного платформенного модуля делится на четыре функциональные области:
Чтобы убедиться, что разные сущности не могут получить доступ к ресурсам друг друга, каждая команда, отправленная в ТБS, связана с определенной сущностью. Это достигается путем создания одного или нескольких контекстов для сущности, которые затем связаны с каждой последующей командой, отправленной этой сущностью. Каждая команда включает объект контекста, который позволяет ТБС выполнять команды TPM в соответствующем контексте. Все объекты, созданные командами, очищаются из TPM при закрытии контекста.
Сущность создает контекст перед первым доступом к TBS и поддерживает его, пока не завершит выполнение всех доступов к TBS. Например, в случае TSS функция основных служб TCG (TCS) TSS создаст контекст TBS при запуске, и он будет поддерживать этот контекст активным до завершения работы.
Для Windows Server 2008 и Windows Vista TBS ограничивает доступ к API TBS для администраторов, NT AUTHORITY\LocalService и NT AUTHORITY\NetworkService. По умолчанию эти учетные записи являются единственными, которые могут подключаться к ТБS и создавать контексты. Ограничения доступа можно изменить, создав раздел реестра Access со строкой (REG_SZ) именем значения реестра SecurityDescriptor
-
Тип данных
- REG_SZ
HKEY_LOCAL_MACHINE
Software
Microsoft
TPM
Access
SecurityDescriptor = SecurityDescriptor
Пример:
O:BAG:BAD:(A;; 0x00000001;; BA)(A;; 0x00000001;; NS)(A;; 0x00000001;; LS)
По умолчанию максимальное число контекстов, поддерживаемых ТБS, равно 25. Это число можно изменить, создав или изменив значение реестра DWORD DWORD с именем MaxContexts в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm. Использование контекста ТБS в режиме реального времени можно наблюдать с помощью средства монитора производительности для отслеживания количества контекстов ТБS.
Для Windows 8, Windows Server 2012 и более поздних версий ТБS предоставляет доступ к стандартным пользователям и администраторам. Ключи реестра SecurityDescriptor и MaxContexts стали устаревшими. Для Windows 8 Windows Server 2012 и более поздних версий ТБS ограничивает доступ к определенным командам с помощью блокировки команд.
Для Windows 10 версии 1607 ТБS разрешает доступ из приложений AppContainer. Для каждой версии доверенного платформенного модуля ключи BlockedAppContainerCommands и AllowedW8AppContainerCommands добавлены с соответствующими списками заблокированных и разрешенных команд TPM соответственно.
Для Windows 10 версии 1803 ключи реестра в AllowedW8AppContainerCommands больше не поддерживаются.