使用 TBS
TPM 基本服務功能分成四個功能區域:
為了確保不同的實體無法存取彼此的資源,提交至 TBS 的每個命令都會與特定實體相關聯。 這可藉由建立實體的一或多個內容來完成,然後與該實體所提交的每個後續命令相關聯。 每個命令都包含內容物件,可讓 TBS 在適當的內容下執行 TPM 命令。 當內容關閉時,命令所建立的所有物件都會從 TPM 排清。
實體會在第一次存取 TBS 之前建立內容,並維護內容,直到執行 TBS 存取完成為止。 例如,在 TSS 的情況下,TCG 核心服務 (TSS) 功能會在 TSS 啟動時建立 TBS 內容,而且會在關閉之前讓該內容保持作用中。
針對 Windows Server 2008 和 Windows Vista,TBS 會將 TBS API 的存取限制為系統管理員、NT AUTHORITY\LocalService 和 NT AUTHORITY\NetworkService 帳戶。 根據預設,這些帳戶是唯一可以連線到 TBS 並建立內容的帳戶。 建立具有字串 (REG_SZ) 登錄值名稱SecurityDescriptor的登錄機碼Access,即可修改存取限制
-
資料類型
- REG_SZ
HKEY_LOCAL_MACHINE
Software
Microsoft
TPM
Access
SecurityDescriptor = SecurityDescriptor
範例:
O:BAG:BAD: (A;;0x00000001;;;BA) (A;;0x00000001;;;NS) (A;;0x00000001;;;LS)
根據預設,TBS 支援的內容數目上限為 25。 您可以在HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm下建立或修改名為MaxCoNtexts 的DWORD登錄值來改變此數位。 您可以使用效能監視器工具來追蹤 TBS 內容的數目,來觀察即時 TBS 內容使用量。
針對Windows 8、Windows Server 2012及更新版本,TBS 允許存取標準使用者和系統管理員。 SecurityDescriptor和MaxCoNtexts登錄機碼已過時。 針對Windows 8,Windows Server 2012和更新版本,TBS 會使用命令封鎖來限制特定命令的存取。
針對 Windows 10 1607 版,TBS 允許從 AppContainer 應用程式存取。 針對每個 TPM 版本,已分別新增具有已封鎖和允許 TPM 命令相符清單的 BlockedAppContainerCommands 和 AllowedW8AppContainerCommands 金鑰。
對於 Windows 10 1803 版,不再支援AllowedW8AppContainerCommands底下的登錄機碼。