Condividi tramite


funzione Tbsi_Revoke_Attestation (tbs.h)

Invalida le pcr se il driver ELAM rileva una violazione dei criteri (ad esempio un rootkit).

Sintassi

TBS_RESULT Tbsi_Revoke_Attestation();

Valore restituito

Codice/valore restituito Descrizione
TBS_SUCCESS
0 (0x0)
Funzione completata.
TBS_E_INTERNAL_ERROR
2150121473 (0x80284001)
Si è verificato un errore interno del software.
Nota Se TBS_E_INTERNAL_ERROR viene restituito, il registro eventi di sistema può contenere l'ID evento 16385 dall'origine evento TBS con codice di errore 0x80070032. Ciò può indicare che la piattaforma hardware non fornisce un registro eventi TCG al sistema operativo. A volte questo può essere risolto installando un aggiornamento BIOS dal produttore della piattaforma.
 

Commenti

Questa funzione è chiamabile dalla modalità kernel.

È necessario eseguire questa funzione con diritti amministrativi. Questa funzione estende PCR[12] da un valore non specificato e incrementa il contatore eventi nel TPM. Entrambe le azioni sono necessarie, quindi l'attendibilità viene interrotta in tutte le virgolette create da qui in avanti. Poiché le pcr vengono reimpostate sulla ibernazione e l'estensione a PCR[12] scomparirà, un divario nel contatore eventi indicherà una catena interrotta di log.

Di conseguenza, i file WBCL non riflettono lo stato corrente del TPM per il resto del tempo in cui il TPM è alimentato e i sistemi remoti non saranno in grado di formare attendibilità nello stato di sicurezza del sistema. Si noti che i sistemi antimalware eseguiranno probabilmente ulteriori correzioni o avvisi, ma il passaggio di invalidazione è fondamentale se l'attestazione è supportata.

Quando il computer passa alla ibernazione e successivamente riprende, l'estensione PCR precedente verrà persa e l'attendibilità interrotta non verrà più riflessa nelle misurazioni PCR. Per risolvere questo problema, la funzione Tbsi_Revoke_Attestation incrementa anche il contatore eventi monotonico situato nel TPM. Altre convalida dell'attestazione TPM noteranno un gap nei valori del contatore di avvio dei log WBCL archiviati. Al termine dell'individuazione di tale gap, il codice di convalida dell'attestazione deve non riuscire la convalida, così come se altri eventi obbligatori non erano presenti nel log. Si noti che il contatore nel TPM non può essere eseguito il rollback non è possibile costruire il WBCL mancante dopo il fatto.

Requisiti

Requisito Valore
Client minimo supportato Windows 8 [solo app desktop]
Server minimo supportato Windows Server 2012 [solo app desktop]
Piattaforma di destinazione Windows
Intestazione tbs.h
Libreria Tbs.lib
DLL Tbs.dll