Verwenden von TBS

Das Feature TPM-Basisdienste ist in vier Funktionsbereiche unterteilt:

Um sicherzustellen, dass verschiedene Entitäten nicht auf die Ressourcen des jeweils anderen zugreifen können, wird jeder An TBS übermittelte Befehl einer bestimmten Entität zugeordnet. Dies wird erreicht, indem ein oder mehrere Kontexte für eine Entität erstellt werden, die dann jedem nachfolgenden Befehl zugeordnet werden, der von dieser Entität übermittelt wird. Jeder Befehl enthält ein Kontextobjekt, mit dem TBS TPM-Befehle im entsprechenden Kontext ausführen kann. Alle von Befehlen erstellten Objekte werden aus dem TPM geleert, wenn der Kontext geschlossen wird.

Eine Entität erstellt den Kontext, bevor sie zum ersten Mal auf den TBS zutritt, und verwaltet den Kontext, bis sie die TbS-Zugriffe abgeschlossen hat. Im Fall eines TSS würde beispielsweise das TCG-Kerndienstfeature (TCS) des TSS beim Start einen TBS-Kontext erstellen und diesen Kontext aktiv halten, bis er heruntergefahren wird.

Für Windows Server 2008 und Windows Vista schränkt TBS den Zugriff auf die TBS-API auf die Konten Administrators, NT AUTHORITY LocalService und \ NT AUTHORITY \ NetworkService ein. Standardmäßig sind diese Konten die einzigen Konten, die eine Verbindung mit TBS herstellen und Kontexte erstellen können. Zugriffseinschränkungen können durch Erstellen eines Registrierungsschlüssels geändert werden: Zugriff mit einer Zeichenfolge (REG _ SZ) registrierungswertname SecurityDescriptor

Datentyp

REG_SZ
under it as follows:
HKEY_LOCAL_MACHINE
   Software
      Microsoft
         TPM
            Access
               SecurityDescriptor = SecurityDescriptor

Beispiel:

O:BAG:BAD:(A;;0 x00000001;;; BA)(A;;0 x00000001;;; NS)(A;;0 x00000001;;; LS)

Standardmäßig beträgt die maximale Anzahl von Kontexten, die vom TBS unterstützt werden, 25. Diese Zahl kann durch Erstellen oder Ändern eines DWORD-Registrierungswerts namens MaxContexts unter HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Tpm geändert werden. Die Echtzeit-TBS-Kontextverwendung kann mithilfe des Leistungsüberwachungstools beobachtet werden, um die Anzahl von TBS-Kontexten zu verfolgen.

Für Windows 8, Windows Server 2012 und höher ermöglicht TBS den Zugriff auf Standardbenutzer und Administratoren. Die Registrierungsschlüssel SecurityDescriptor und MaxContexts sind veraltet. Für Windows 8, Windows Server 2012 und höher, schränkt TBS den Zugriff auf bestimmte Befehle mithilfe von Befehlsblockierung ein.

Für Windows 10 Version 1607 lässt TBS den Zugriff von AppContainer-Anwendungen zu. Für jede TPM-Version wurden die Schlüssel BlockedAppContainerCommands und AllowedW8AppContainerCommands mit den entsprechenden Listen der blockierten bzw. zulässigen TPM-Befehle hinzugefügt.

Für Windows 10 Version 1803 werden die Registrierungsschlüssel unter AllowedW8AppContainerCommands nicht mehr unterstützt.