Tbsi_Revoke_Attestation, fonction (tbs.h)
Invalide les fichiers DEP si le pilote ELAM détecte une violation de stratégie (un rootkit, par exemple).
Syntaxe
TBS_RESULT Tbsi_Revoke_Attestation();
Valeur de retour
| Code/valeur de retour | Description |
|---|---|
|
La fonction a réussi. |
|
Une erreur interne du logiciel s'est produite.
Note Si TBS_E_INTERNAL_ERROR est retourné, le journal des événements système peut contenir l’ID d’événement 16385 de la source d’événements TBS avec le code d’erreur 0x80070032. Cela peut indiquer que la plateforme matérielle ne fournit pas de journal des événements TCG au système d’exploitation. Parfois, vous pouvez résoudre ce problème en installant une mise à niveau du BIOS à partir du fabricant de la plateforme.
|
Remarques
Cette fonction peut être appelée à partir du mode noyau.
Vous devez exécuter cette fonction avec des droits d’administration. Cette fonction étend PCR[12] par une valeur non spécifiée et incrémente le compteur d’événements dans le module de plateforme sécurisée. Les deux actions sont nécessaires, de sorte que l’approbation est rompue dans tous les guillemets créés à partir d’ici à l’avance. Étant donné que les pcr sont réinitialisés lors de la mise en veille prolongée et que l’extension à PCR[12] disparaît, un écart dans le compteur d’événements indique une chaîne de journaux rompue.
Par conséquent, les fichiers WBCL ne reflètent pas l’état actuel du module de plateforme sécurisée pendant le reste du temps où le module de plateforme sécurisée est mis sous tension et les systèmes distants ne pourront pas établir de confiance dans l’état de sécurité du système. Notez que les systèmes anti-programme malveillant effectueront probablement des corrections ou des alertes supplémentaires, mais l’étape d’invalidation est cruciale si l’attestation est prise en charge.
Lorsque l’ordinateur passe à la mise en veille prolongée et reprend par la suite, l’étendue PCR précédente est perdue et la confiance rompue n’est plus répercutée dans les mesures PCR. Pour résoudre ce problème, la fonction Tbsi_Revoke_Attestation incrémente également le compteur d’événements monotonique situé dans le module de plateforme sécurisée. D’autres validations d’attestation TPM remarqueront un écart dans les valeurs du compteur de démarrage des journaux WBCL archivés. Lors de la découverte d’un tel écart, le code de validation d’attestation doit échouer à la validation, comme il le ferait si d’autres événements requis n’étaient pas présents dans le journal. Notez que le compteur dans le module de plateforme sécurisée ne peut pas être restauré. Vous ne pouvez pas construire la liste WBCL manquante après coup.
Configuration requise
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge | Windows 8 [applications de bureau uniquement] |
| Serveur minimal pris en charge | Windows Server 2012 [applications de bureau uniquement] |
| Plateforme cible | Windows |
| En-tête | tbs.h |
| Bibliothèque | Tbs.lib |
| DLL | Tbs.dll |