Доступ в режиме пользователя к TPM на Windows

Question

Я разработал приложение windows, которое, помимо прочего, обращается к NVM TPM. Во время разработки я протестировал его, запустив от имени администратора, и все работает отлично. Проблема в том, что я не хочу, чтобы он запускался от имени администратора, когда он будет выпущен и использован проектом.

Я думал о повышении привилегий приложения на ограниченный период времени, но для этого требуется учетная запись администратора, чтобы назначить учетной записи пользователя права, которых он не должен иметь.

Затем я наткнулся на этот документ: https://docs.microsoft.com/en-us/windows/win32/tbs/using-tbs, в котором говорится, что можно изменить ограничения доступа, при создании значения реестра не говорится, как это сделать.

1. Каким способом лучше достичь указанной выше цели?
2. Если это путем повышения привилегий, то какой (-ых) это? и почему это лучше?
3. Если это с помощью метода вышеупомянутого документа, то как я могу изменить ограничения доступа и как?

Answer 1

Для TPM 2, на Windows 8 и выше, вам нужно будет добавить указанную c команду, которую вы хотите использовать, в список разрешенных команд по порядковому номеру.

Расположение реестра:

HKEY_LOCAL_MACHINE    
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Например, если вы хотите разрешить команду чтения NV, вы должны добавить новую запись реестра REG_DWORD с именем «14E», поскольку это шестнадцатеричный код для порядкового номера TPM2_CC_NV_READ и значение «1».