Tbsi_Revoke_Attestation関数 (tbs.h)
ELAM ドライバーがポリシー違反 (ルートキットなど) を検出した場合、PCR を無効にします。
構文
TBS_RESULT Tbsi_Revoke_Attestation();
戻り値
| リターン コード/値 | Description |
|---|---|
|
関数が正常に実行されました。 |
|
内部ソフトウェア エラーが発生しました。
メモ TBS_E_INTERNAL_ERRORが返された場合、システム イベント ログには、エラー コードが0x80070032された TBS イベント ソースからのイベント ID 16385 が含まれている可能性があります。 これは、ハードウェア プラットフォームがオペレーティング システムに TCG イベント ログを提供していないことを示している可能性があります。 これは、プラットフォームの製造元から BIOS アップグレードをインストールすることで解決できる場合があります。
|
注釈
この関数はカーネル モードから呼び出すことができます。
この関数は管理者権限で実行する必要があります。 この関数は、指定されていない値によって PCR[12] を拡張し、TPM のイベント カウンターをインクリメントします。 どちらのアクションも必要であるため、今後ここから作成されるすべての引用符で信頼が壊れます。 PCR は休止状態でリセットされ、PCR[12] に拡張されると消えるので、イベント カウンターのギャップはログのチェーンが壊れていることを示します。
その結果、WBCL ファイルには TPM の現在の状態が反映されず、TPM の電源がオンになり、リモート システムはシステムのセキュリティ状態で信頼を形成できなくなります。 マルウェア対策システムでは、追加の修復またはアラートが実行される可能性がありますが、構成証明がサポートされている場合は、無効化手順が重要であることに注意してください。
コンピューターが休止状態になり、その後再開されると、以前の PCR 範囲が失われ、破損した信頼は PCR 測定に反映されなくなります。 これに対処するために、 Tbsi_Revoke_Attestation 関数は TPM にある単調なイベント カウンターもインクリメントします。 さらに TPM 構成証明の検証を行うと、アーカイブされた WBCL ログのブート カウンター値にギャップが見えます。 このようなギャップが検出されると、構成証明検証コードは、他の必要なイベントがログに存在しない場合と同様に、検証に失敗する必要があります。 TPM のカウンターをロールバックできないことに注意してください。その後、欠落している WBCL を構築することはできません。
要件
| 要件 | 値 |
|---|---|
| サポートされている最小のクライアント | Windows 8 [デスクトップ アプリのみ] |
| サポートされている最小のサーバー | Windows Server 2012 [デスクトップ アプリのみ] |
| 対象プラットフォーム | Windows |
| ヘッダー | tbs.h |
| Library | Tbs.lib |
| [DLL] | Tbs.dll |