Tbsi_Revoke_Attestation-Funktion (tbs.h)
Ungültige PCRs, wenn der ELAM-Treiber einen Richtlinienverstoß erkennt (z. B. ein Rootkit).
Syntax
TBS_RESULT Tbsi_Revoke_Attestation();
Rückgabewert
Rückgabecode/-wert | BESCHREIBUNG |
---|---|
|
Die Funktion wurde erfolgreich ausgeführt. |
|
Interner Softwarefehler.
Hinweis Wenn TBS_E_INTERNAL_ERROR zurückgegeben wird, enthält das Systemereignisprotokoll möglicherweise die Ereignis-ID 16385 aus der TBS-Ereignisquelle mit fehlercode 0x80070032. Dies kann darauf hinweisen, dass die Hardwareplattform kein TCG-Ereignisprotokoll für das Betriebssystem bereitstellt. Manchmal kann dies durch die Installation eines BIOS-Upgrades vom Plattformhersteller behoben werden.
|
Hinweise
Diese Funktion kann im Kernelmodus aufgerufen werden.
Sie müssen diese Funktion mit Administratorrechten ausführen. Diese Funktion erweitert PCR[12] um einen nicht angegebenen Wert und erhöht den Ereignisindikator im TPM. Beide Aktionen sind notwendig, sodass die Vertrauensstellung in allen Anführungszeichen, die von hier aus erstellt werden, unterbrochen wird. Da die PCRs im Ruhezustand zurückgesetzt werden und die Erweiterung auf PCR[12] dann verschwindet, weist eine Lücke im Ereignisindikator auf eine unterbrochene Kette von Protokollen hin.
Daher spiegeln die WBCL-Dateien den aktuellen Zustand des TPM für den Rest der Zeit, zu der das TPM eingeschaltet wird, nicht wider, und Remotesysteme können keine Vertrauensstellung im Sicherheitsstatus des Systems bilden. Beachten Sie, dass Antischadsoftwaresysteme wahrscheinlich zusätzliche Korrekturen oder Warnungen ausführen, aber der Invalidierungsschritt ist entscheidend, wenn der Nachweis unterstützt wird.
Wenn der Computer in den Ruhezustand wechselt und anschließend fortgesetzt wird, geht der vorherige PCR-Ausdehnung verloren, und die unterbrochene Vertrauensstellung wird nicht mehr in den PCR-Messungen widerspiegelt. Um dies zu beheben, erhöht die Tbsi_Revoke_Attestation-Funktion auch den monotonen Ereigniszähler im TPM. Bei weiteren TPM-Nachweisüberprüfungen wird eine Lücke in den Startindikatorwerten der archivierten WBCL-Protokolle festgestellt. Wenn eine solche Lücke ermittelt wird, sollte der Nachweisüberprüfungscode die Überprüfung genauso fehlschlagen, wie dies der Fall wäre, wenn keine anderen erforderlichen Ereignisse im Protokoll vorhanden wären. Beachten Sie, dass für den Zähler im TPM kein Rollback ausgeführt werden kann, sie können die fehlende WBCL nach der Tatsache nicht erstellen.
Anforderungen
Anforderung | Wert |
---|---|
Unterstützte Mindestversion (Client) | Windows 8 [nur Desktop-Apps] |
Unterstützte Mindestversion (Server) | Windows Server 2012 [nur Desktop-Apps] |
Zielplattform | Windows |
Kopfzeile | tbs.h |
Bibliothek | Tbs.lib |
DLL | Tbs.dll |