Compartir a través de


función Tbsi_Revoke_Attestation (tbs.h)

Invalida los PCR si el controlador ELAM detecta una infracción de directiva (un rootkit, por ejemplo).

Sintaxis

TBS_RESULT Tbsi_Revoke_Attestation();

Valor devuelto

Código o valor devuelto Descripción
TBS_SUCCESS
0 (0x0)
La función se ha realizado correctamente.
TBS_E_INTERNAL_ERROR
2150121473 (0x80284001)
Error interno de software.
Nota Si se devuelve TBS_E_INTERNAL_ERROR, el registro de eventos del sistema puede contener el identificador de evento 16385 del origen del evento TBS con el código de error 0x80070032. Esto puede indicar que la plataforma de hardware no proporciona un registro de eventos TCG al sistema operativo. A veces, esto se puede resolver mediante la instalación de una actualización del BIOS desde el fabricante de la plataforma.
 

Comentarios

Esta función se puede llamar desde el modo kernel.

Debe ejecutar esta función con derechos administrativos. Esta función extiende PCR[12] por un valor no especificado e incrementa el contador de eventos en el TPM. Ambas acciones son necesarias, por lo que la confianza se interrumpe en todas las comillas que se crean a partir de aquí en adelante. Dado que los PCR se restablecen en hibernación y la extensión a PCR[12] entonces desaparecerá, una brecha en el contador de eventos indicará una cadena rota de registros.

Como resultado, los archivos WBCL no reflejarán el estado actual del TPM durante el resto del tiempo que el TPM está encendido y los sistemas remotos no podrán formar confianza en el estado de seguridad del sistema. Tenga en cuenta que los sistemas antimalware probablemente realizarán correcciones o alertas adicionales, pero el paso de invalidación es crucial si se admite la atestación.

Cuando el equipo se vaya a hibernación y se reanude posteriormente, se perderá la extensión de la PCR anterior, y la confianza rota ya no se reflejará en las mediciones de la PCR. Para solucionarlo, la función Tbsi_Revoke_Attestation también incrementa el contador de eventos monotonico ubicado en el TPM. Otras validaciones de atestación de TPM observarán una brecha en los valores de contador de arranque de los registros WBCL archivados. Tras la detección de este tipo de brecha, el código de validación de atestación debería producir un error en la validación, como lo haría si otros eventos necesarios no estuvieran presentes en el registro. Tenga en cuenta que el contador del TPM no se puede revertir, no se puede construir la WBCL que falta después del hecho.

Requisitos

Requisito Value
Cliente mínimo compatible Windows 8 [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2012 [solo aplicaciones de escritorio]
Plataforma de destino Windows
Encabezado tbs.h
Library Tbs.lib
Archivo DLL Tbs.dll