Ändern der Systemzeit
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Ändern der Systemzeit beschrieben.
Mit dieser Richtlinieneinstellung legen Sie fest, welche Benutzer die Zeit der internen Uhr des Geräts ändern können. Computerbenutzer können mit diesem Recht das mit Datensätzen in Ereignisprotokollen, Datenbanktransaktionen und dem Dateisystem verknüpfte Datum und die Uhrzeit ändern. Dieses Recht wird auch zum Synchronisieren der Zeit benötigt. Diese Einstellung hat keinen Einfluss auf die Fähigkeit von Benutzern, die Zeitzone oder anderer Anzeigeeigenschaften der Systemzeit zu ändern. Informationen darüber, wie Sie die Berechtigung zum Ändern der Zeitzone zuweisen, finden Sie unter Ändern der Zeitzone.
Konstante: SeSystemtimePrivilege
Benutzerdefinierte Liste von Konten
Nicht definiert
- Beschränken Sie das Benutzerrecht Ändern der Systemzeit auf Benutzer, die im Rahmen ihrer Zuständigkeiten die Systemzeit ändern können müssen.
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardmäßig verfügen Mitglieder der Gruppen „Administratoren“ und „Lokaler Dienst“ auf Arbeitsstationen und Servern über dieses Recht. Mitgliedern der Gruppen „Administratoren“, „Serveroperatoren“ und „Lokaler Dienst“ ist dieses Recht auf Domänencontrollern zugewiesen.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Administratoren Serveroperatoren Lokaler Dienst |
Standardeinstellungen für eigenständige Server |
Administratoren Lokaler Dienst |
Effektive Standardeinstellungen für DC |
Administratoren Serveroperatoren Lokaler Dienst |
Effektive Standardeinstellungen für Mitgliedsserver |
Administratoren Lokaler Dienst |
Effektive Standardeinstellungen für Clientcomputer |
Administratoren Lokaler Dienst |
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Benutzer, die zum Ändern der Zeit auf einem Computer berechtigt sind, können verschiedene Probleme verursachen. Beispiel:
Einträge im Ereignisprotokoll können falsche Zeitstempel erhalten.
Erstellte oder geänderte Dateien und Ordner können einen falschen Zeitstempel erhalten.
Computer, die Mitglied einer Domäne sind, können sich möglicherweise nicht selbst authentifizieren.
Benutzer, die sich von Geräten mit einer falschen Zeiteinstellung bei der Domäne anmelden, können sich möglicherweise nicht authentifizieren.
Für das Kerberos-Authentifizierungsprotokoll muss die Uhr auf dem Computer der anfordernden Person und des Authentifikators innerhalb eines vom Administrator festgelegten Versatzzeitraums synchronisiert werden. Ein Angreifer könnte daher durch ein Ändern der Gerätezeit veranlassen, dass der Computer keine Kerberos-Protokolltickets abrufen oder vergeben kann.
Das Risiko derartiger Ereignisse wird auf den meisten Domänencontrollern, Mitgliedsserver und Endbenutzercomputer dadurch verringert, dass der Windows-Zeitdienst die Zeit automatisch auf folgende Weise mit Domänencontrollern synchronisiert:
Alle Desktopclientgeräte und Mitgliedsserver verwenden als Zeitgeber den authentifizierenden Domänencontroller.
Alle Domänencontroller in einer Domäne benennen den Betriebsmaster für die Emulation des primären Domänencontrollers (PDC) als Zeitgeber.
Alle Betriebsmaster für die PDC-Emulation folgen der Hierarchie von Domänen in der Auswahl ihres Zeitgebers.
Der Betriebsmaster für die PDC-Emulation im Stamm der Domäne ist für die Organisation autoritativ. Daher wird empfohlen, diesen Computer so zu konfigurieren, dass er mit einem zuverlässigen externen Zeitserver synchronisiert wird.
Dieses Sicherheitsrisiko wird zu einer ernsthaften Gefahr, wenn ein Angreifer die Systemzeit ändern und anschließend den Windows-Zeitdienst beenden oder so konfigurieren kann, dass er mit einem Zeitserver mit falscher Uhrzeit synchronisiert wird.
Beschränken Sie das Benutzerrecht Ändern der Systemzeit auf Benutzer, die im Rahmen ihrer Zuständigkeiten die Systemzeit ändern können müssen, wie etwa Mitglieder des IT-Teams.
Es sollte keine Auswirkungen geben, da die Zeitsynchronisierung in Organisationen in der Regel für alle Computer, die Mitglied der Domäne sind, vollständig automatisiert erfolgt. Computer, die kein Mitglied der Domäne sind, sollten so konfiguriert sein, dass sie mit einer externen Quelle, beispielsweise einem Webdienst, konfiguriert werden.