Изменение системного времени
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Изменение системного времени.
Справочные материалы
Этот параметр политики определяет, какие пользователи могут изменять время на внутренних часах устройства. Это право позволяет пользователю компьютера изменять дату и время, связанные с записями в журналах событий, транзакциями базы данных и файловой системой. Это право также необходимо для процесса, выполняющего синхронизацию времени. Этот параметр не влияет на возможность пользователя изменять часовой пояс или другие характеристики отображения системного времени. Сведения о назначении права на изменение часового пояса см. в статье Изменение часового пояса.
Константа: SeSystemtimePrivilege
Возможные значения
Пользовательский список учетных записей
Не определено
Рекомендации
- Предоставьте право Изменение системного времени пользователям с оправданной необходимостью изменения системного времени, например членам ИТ-группы.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию члены групп "Администраторы" и "Локальная служба" имеют это право на рабочих станциях и серверах. Члены групп "Администраторы", "Операторы сервера" и "Локальная служба" имеют это право на контроллерах домена.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Администраторы Операторы сервера Локальная служба |
Параметры автономного сервера по умолчанию |
Администраторы Локальная служба |
Действующие параметры контроллера домена по умолчанию |
Администраторы Операторы сервера Локальная служба |
Действующие параметры рядового сервера по умолчанию |
Администраторы Локальная служба |
Действующие параметры клиентского компьютера по умолчанию |
Администраторы Локальная служба |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.
Групповая политика
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта.
Параметры политики домена.
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пользователи, которые могут изменять время на компьютере, могут создать ряд проблем. Например:
Метки времени в записях журнала событий могут быть неточными.
Метки времени в созданных или измененных файлах и папках могут быть неточными.
Компьютеры, входящие в состав домена, могут не пройти проверку подлинности.
Пользователи, которые пытаются войти в домен с устройств с неточным временем, могут не пройти проверку подлинности.
Кроме того, поскольку протокол проверки подлинности Kerberos требует, чтобы часы инициатора запроса и проверяющей стороны были синхронизированы с определенным администратором периодом отклонения, злоумышленник, изменяющий время устройства, может сделать так, что компьютер не сможет получать или предоставлять билеты протокола Kerberos.
Риск возникновения этих типов событий снижен на большинстве контроллеров домена, рядовых серверов и компьютеров пользователей, поскольку служба времени Windows автоматически синхронизирует время с контроллерами домена следующими способами.
Все настольные клиентские устройства и рядовые серверы используют в качестве источника времени проверяющий контроллер домена.
Все контроллеры домена используют в качестве источника времени хозяина эмулятора операций основного контроллера домена (PDC).
При выборе источника времени все хозяева эмулятора операций основного контроллера домена следуют иерархии доменов.
Хозяин эмулятора операций PDC в корне домена является доверенным источником времени для организации. Поэтому рекомендуется настроить этот компьютер на синхронизацию с надежным внешним сервером времени.
Эта уязвимость будет гораздо более серьезной, если злоумышленник изменит системное время, а затем остановит службу времени Windows или перенастроит ее на синхронизацию с сервером времени, предоставляющим неточные данные.
Меры противодействия
Предоставьте право Изменение системного времени пользователям с оправданной необходимостью изменения системного времени, например членам ИТ-группы.
Возможные последствия
Отрицательного влияния быть не должно, поскольку синхронизация времени в большинстве организаций должна быть полностью автоматизирована для всех компьютеров, входящих в состав домена. Компьютеры, не входящие в состав домена, должны быть настроены на синхронизацию с внешним источником, таким как веб-служба.