Utilisation de TBS
La fonctionnalité Services de base du module de plateforme sécurisée est divisée en quatre zones fonctionnelles :
- Virtualisation des ressources
- Planification des commandes
- Gestion de l’alimentation
- Blocage des commandes
Pour vous assurer que différentes entités ne peuvent pas accéder aux ressources des autres, chaque commande envoyée au TBS est associée à une entité spécifique. Pour ce faire, créez un ou plusieurs contextes pour une entité, qui sont ensuite associés à chaque commande suivante envoyée par cette entité. Chaque commande inclut un objet de contexte, qui permet au TBS d’exécuter des commandes TPM dans le contexte approprié. Tous les objets créés par les commandes sont vidés du module de plateforme sécurisée lorsque le contexte est fermé.
Une entité crée le contexte avant d’accéder d’abord au TBS et le conserve jusqu’à ce qu’il soit terminé d’effectuer des accès TBS. Par exemple, dans le cas d’un TSS, la fonctionnalité tcG core services (TCS) du TSS crée un contexte TBS au démarrage et maintient ce contexte actif jusqu’à ce qu’il s’arrête.
Pour Windows Server 2008 et Windows Vista, le TBS limite l’accès à l’API TBS aux comptes Administrateurs, NT AUTHORITY\LocalService et NT AUTHORITY\NetworkService. Par défaut, ces comptes sont les seuls qui peuvent se connecter à TBS et créer des contextes. Les restrictions d’accès peuvent être modifiées en créant une clé de Registre Access avec une chaîne (REG_SZ) nom de valeur de Registre SecurityDescriptor
-
Type de données
- REG_SZ
HKEY_LOCAL_MACHINE
Software
Microsoft
TPM
Access
SecurityDescriptor = SecurityDescriptor
Exemple :
O:BAG:BAD:(A;;0 x00000001;;; BA)(A;;0 x00000001;;; NS)(A;;0 x00000001;;; LS)
Par défaut, le nombre maximal de contextes pris en charge par le TBS est de 25. Ce nombre peut être modifié en créant ou en modifiant une valeur de Registre DWORD nommée MaxContexts sous HKEY_LOCAL_MACHINE\Software\Microsoft\Tpm. L’utilisation du contexte tbS en temps réel peut être observée à l’aide de l’outil d’analyse de performances pour suivre le nombre de contextes tbS.
Pour Windows 8, Windows Server 2012 et versions ultérieures, le SCT autorise l’accès aux utilisateurs et administrateurs standard. Les clés de Registre SecurityDescriptor et MaxContexts sont devenues obsolètes . Pour Windows 8, Windows Server 2012 et versions ultérieures, le TBS limite l’accès à certaines commandes à l’aide du blocage de commandes.
Pour Windows 10, version 1607, le TBS autorise l’accès à partir des applications AppContainer. Pour chaque version du module TPM, les clés BlockedAppContainerCommands et AllowedW8AppContainerCommands ont été ajoutées avec les listes correspondantes de commandes TPM bloquées et autorisées, respectivement.
Pour Windows 10, version 1803, les clés de Registre sous AllowedW8AppContainerCommands ne sont plus prises en charge.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour