Использование TBS

Функция базовых служб доверенного платформенного модуля разделена на четыре функциональные области:

• Виртуализация ресурсов
• Планирование команд
• Управление питанием
• Блокировка команд

Чтобы разные сущности не могли получить доступ к ресурсам друг друга, каждая команда, отправленная в TBS, связана с определенной сущностью. Это достигается путем создания одного или нескольких контекстов для сущности, которые затем связываются с каждой последующей командой, отправленной этой сущностью. Каждая команда содержит объект контекста, который позволяет TBS выполнять команды TPM в соответствующем контексте. Все объекты, созданные командами, удаляются из доверенного платформенного модуля при закрытии контекста.

Сущность создает контекст перед первым доступом к TBS и сохраняет контекст до завершения доступа к TBS. Например, в случае TSS функция основных служб TCG (TCS) TSS создаст контекст TBS при запуске и будет поддерживать этот контекст активным до завершения работы.

Для Windows Server 2008 и Windows Vista TBS ограничивает доступ к API TBS учетными записями администраторов, NT AUTHORITY\LocalService и NT AUTHORITY\NetworkService. По умолчанию эти учетные записи являются единственными, которые могут подключаться к TBS и создавать контексты. Ограничения доступа можно изменить, создав раздел реестра Access со строковым (REG_SZ) значением реестра SecurityDescriptor.

Тип данных

REG_SZ

под ним следующим образом:

HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

Пример

O:BAG:BAD:(A;;0 x00000001;; BA)(A;;0 x00000001;; NS)(A;;0 x00000001;; LS)

По умолчанию максимальное число контекстов, поддерживаемых СЛУЖБой TBS, составляет 25. Это число можно изменить, создав или изменив значение реестра DWORD с именем MaxContexts в разделе HKEY_LOCAL_MACHINE\Software\Microsoft\TPM. Использование контекста TBS в режиме реального времени можно отслеживать с помощью средства мониторинга производительности для отслеживания количества контекстов TBS.

Для Windows 8, Windows Server 2012 и более поздних версий служба TBS предоставляет доступ стандартным пользователям и администраторам. Разделы реестра SecurityDescriptor и MaxContexts устарели . Для Windows 8, Windows Server 2012 и более поздних версий служба TBS ограничивает доступ к определенным командам с помощью блокировки команд.

Для Windows 10 версии 1607 TBS разрешает доступ из приложений AppContainer. Для каждой версии TPM добавлены ключи BlockedAppContainerCommands и AllowedW8AppContainerCommands с соответствующими списками заблокированных и разрешенных команд TPM соответственно.

Для Windows 10 версии 1803 разделы реестра AllowedW8AppContainerCommands больше не поддерживаются.