我已经开发了Windows应用程序,该应用程序除其他外还访问TPM的NVM。在开发过程中,我通过以管理员身份运行进行了测试,并且一切正常。问题是,我不希望它在项目发布和使用时以管理员身份运行。
我已经考虑过在有限的时间内提升应用程序的特权,但这要求管理员帐户为用户帐户分配他不应该拥有的权限。
然后我遇到了这个文件:https://docs.microsoft.com/en-us/windows/win32/tbs/using-tbs指出可以通过创建注册表值来修改访问限制,但没有说是如何。
对于Windows 8或更高版本的TPM 2,您必须按顺序将要使用的特定命令添加到allowed commands的列表中。
注册表位置是:
HKEY_LOCAL_MACHINE
Software
Microsoft
Tpm
AllowedW8Commands
List
例如,如果要允许NV Read命令,您将添加一个新的REG_DWORD注册表项,其名称为“ 14E”,因为这是TPM2_CC_NV_READ序数的十六进制代码,而值“ 1“。