Максимальная погрешность синхронизации часов компьютера
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для этого параметра политики безопасностиМаксимальная погрешность синхронизации часов компьютера.
Справка
Этот параметр безопасности определяет максимальную временную разницу в минутах, допустимую Kerberos V5 между временем на часах клиента и временем на контроллере домена, который реализует проверку подлинности Kerberos.
Для предотвращения «атак с повторением пакетов» протокол Kerberos v5 использует метки времени в рамках определения протокола. Чтобы метки времени работали правильно, часы клиента и контроллера домена должны быть максимально синхронизированы. Другими словами, на обоих устройствах должны быть установлены одинаковые время и дата. Поскольку часы двух компьютеров часто не синхронизированы, вы можете использовать этот параметр политики, чтобы установить максимальное приемлемое для протокола Kerberos различие между часами клиента и контроллера домена. Если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы, указанной в данной политике, любая метка времени, используемая в сеансе между двумя устройствами, будет считаться подлинной.
Ниже перечислены возможные значения этого параметра групповой политики.
Определенное пользователем количество минут от 1 до 99 999
Не определено
Рекомендации
- Рекомендуется установить для параметра Максимальная погрешность синхронизации часов компьютера значение 5 минут.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
5 минут |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не применимо |
Действующие параметры контроллера домена по умолчанию |
5 минут |
Действующие параметры рядового сервера по умолчанию |
Не применимо |
Действующие параметры клиентского компьютера по умолчанию |
Не применимо |
Управление политикой
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.
Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.
Этот параметр политики настраивается на контроллере домена.
Групповая политика
Клиентские устройства получат новый параметр во время следующего запланированного обновления групповой политики. Но чтобы немедленно применить новые параметры для контроллеров домена, необходимо выполнить команду gpupdate.exe /force. На локальном устройстве обработчик конфигурации безопасности обновит этот параметр приблизительно через пять минут.
Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.
Параметры локальной политики
Параметры политики сайта
Параметры политики домена
Параметры политики подразделений
Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Для предотвращения «атак с повторением пакетов» (во время которых злоумышленник или вредоносная программа повторно отправляет учетные данные для доступа к защищенному ресурсу) протокол Kerberos использует метки времени в рамках своего определения. Чтобы метки времени работали правильно, часы клиентского компьютера и контроллера домена должны быть максимально синхронизированы. Поскольку часов двух компьютеров часто не синхронизированы, администраторы могут использовать этот параметр политики, чтобы установить максимальное приемлемое для протокола Kerberos различие между часами клиентского компьютера и контроллера домена. Если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы, указанной в данном параметре, любая метка времени, которая используется в сеансе между двумя компьютерами, будет считаться подлинной.
Меры противодействия
Установите для параметра Максимальная погрешность синхронизации часов компьютера значение "5 минут".
Возможные последствия
Нет. Это конфигурация по умолчанию.