本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

更改系统时间

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此策略设置确定哪些用户可以调整计算机的内部时钟上的时间。 此权限允许计算机用户若要更改的日期和时间与事件日志、 数据库事务和文件系统中的记录相关联。 执行时间同步的过程也需要此权限。 此设置不会影响的用户能够更改时区或系统时间的其他显示特征。 有关分配的权限更改时区的信息,请参阅更改时区

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeSystemtimePrivilege

  • 用户定义的帐户的列表

  • 未定义

  1. 限制更改系统时间从右到具有正当理由需要更改系统时间,例如,IT 团队的成员的用户的用户。

G p o\Computer Configuration\Windows 设置 \ 安全设置 \ 本地策略 \ 用户权限分配

默认情况下,管理员和本地服务的成员组在工作站和服务器上具有此权限。 管理员、 Server Operators 和本地服务组的成员在域控制器上具有此权限。

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

Administrators

Server Operators

本地服务

独立服务器默认设置

Administrators

本地服务

DC 有效默认设置

Administrators

Server Operators

本地服务

成员服务器有效默认设置

Administrators

本地服务

客户端计算机有效默认设置

Administrators

本地服务

在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。

本部分介绍功能、 工具和指南来帮助你管理此策略。

重新启动计算机不需要为此策略设置才能生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

用户可以更改的计算机上的时间可能会导致一些问题。 例如:

  • 事件日志条目的时间戳可能会进行不准确

  • 文件和文件夹的创建或修改的时间戳可能不正确

  • 属于某个域的计算机可能不能对自身进行身份验证

  • 尝试从具有不准确的时间的计算机登录到域的用户可能不能进行身份验证。

此外,因为 Kerberos 身份验证协议要求请求者和身份验证器具有其在管理员定义的时间差期内同步的时钟,攻击者将会更改计算机的时间可能会导致该计算机不能获得或授予 Kerberos 协议票证。

因为 Windows 时间服务自动同步时间与域控制器通过以下方式,则可以从这些类型的事件的风险缓解大多数域控制器、 成员服务器和最终用户计算机上:

  • 所有桌面客户端计算机和成员服务器作为其入站的时间伙伴使用身份验证的域控制器。

  • 在域中的所有域控制器都提名主域控制器 (PDC) 仿真器操作主机作为其入站的时间伙伴。

  • 所有的 PDC 模拟器操作主机按照其入站的时间伙伴所选内容中的域的层次结构。

  • 在域根的 PDC 模拟器操作主机是组织的权威。 因此,我们建议您配置此计算机与可靠的外部时间服务器同步。

这一漏洞变得更加严重如果攻击者能够更改系统时间,然后停止 Windows 时间服务或重新配置为与是不准确的时间服务器同步。

限制更改系统时间从右到具有正当理由需要更改系统时间,例如,IT 团队的成员的用户的用户。

应该不会影响,因为时间同步对于大多数组织都应完全自动执行属于域的所有计算机。 应该将不属于域的计算机配置与外部源如 web 服务进行同步。

显示: