システム時刻の変更
[システム時刻の変更] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、デバイスの内部時計の時刻を調整できるユーザーを決定します。この権利では、イベント ログ、データベース トランザクション、ファイル システムのレコードに関連付けられた日付と時刻の変更をコンピューター ユーザーに許可します。この権利は、時刻の同期を実行するプロセスでも必要です。この設定は、タイム ゾーンまたはシステム時刻のその他の表示特性を変更するためのユーザーの権限には影響しません。タイム ゾーンを変更する権利を割り当てる方法の詳細については、「タイム ゾーンの変更」を参照してください。
定数: SeSystemtimePrivilege
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- [システム時刻の変更] ユーザー権利は、システム時刻を変更する正当な必要性があるユーザーに限定します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、Administrators グループと Local Service グループのメンバーには、ワークステーションとサーバーでこの権利が付与されます。Administrators、Server Operators、Local Service グループのメンバーには、ドメイン コントローラーでこの権利が付与されます。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators Server Operators Local Service |
スタンドアロン サーバーの既定の設定 |
Administrators Local Service |
DC の有効な既定の設定 |
Administrators Server Operators Local Service |
メンバー サーバーの有効な既定の設定 |
Administrators Local Service |
クライアント コンピューターの有効な既定の設定 |
Administrators Local Service |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー
設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。グループ ポリシーが次に更新された時に、ローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
コンピューターの時刻を変更できるユーザーが原因でいくつかの問題が発生する可能性があります。たとえば、次のような問題があります。
イベント ログ エントリのタイム スタンプが不正確になる可能性がある
作成または変更されたファイルとフォルダーのタイム スタンプが不正確になる可能性がある
ドメインに属するコンピューターが自身を認証できない可能性がある
時刻が不正確なデバイスからドメインにログオンしようとするユーザーが認証できない可能性がある
また、Kerberos 認証プロトコルでは要求者と認証システムの時計が管理者が定義したずれの範囲内で同期されていることが要求されるため、デバイスの時刻を変更する攻撃者により Kerberos プロトコルのチケットが取得または付与できなくなる可能性があります。
Windows タイム サービスが次の方法で自動的に時刻をドメイン コントローラーと同期するため、この種のイベントによるリスクはほとんどのドメイン コントローラー、メンバー サーバー、エンド ユーザー コンピューターで軽減されています。
すべてのデスクトップ クライアント デバイスとメンバー サーバーが認証ドメイン コントローラーを受信時刻パートナーとして使用します。
ドメイン内のすべてのドメイン コントローラーがプライマリ ドメイン コントローラー (PDC) エミュレーターの操作マスターを受信時刻パートナーとして指定します。
すべての PDC エミュレーターの操作マスターが、受信時刻パートナーの選択内でドメインの階層に従います。
ドメインのルートにある PDC エミュレーターの操作マスターは、組織に対する権限があります。そのため、このコンピューターは信頼できる外部のタイム サーバーと同期するように構成することをお勧めします。
攻撃者がシステム時刻を変更してから、Windows タイム サービスを停止するか、正確でないタイム サーバーと同期するように再構成することができる場合には、この脆弱性はずっと深刻になります。
対策
[システム時刻の変更] ユーザー権利は、IT チームのメンバーなど、システム時刻を変更する正当な必要性があるユーザーに限定します。
考えられる影響
ほとんどの組織の時刻の同期は、ドメインに属するすべてのコンピューターで完全に自動化されているため、影響はありません。ドメインに属していないコンピューターは、Web サービスなどの外部ソースと同期するように構成する必要があります。