更改系统时间 |
您所在的位置:网站首页 › window安装日期有什么用 › 更改系统时间 |
更改系统时间 - 安全策略设置
项目
03/18/2023
适用范围 Windows 11 Windows 10介绍 更改系统时间 安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。 参考此策略设置确定哪些用户可以调整设备内部时钟上的时间。 此权限允许计算机用户更改与事件日志、数据库事务和文件系统中的记录关联的日期和时间。 执行时间同步的进程也需要此权限。 此设置不会影响用户更改系统时间的时区或其他显示特征的能力。 有关分配更改时区权限的信息,请参阅 更改时区。 常量:SeSystemtimePrivilege 可能值 用户定义的帐户列表 未定义 最佳做法 将 “更改系统时间 用户权限”限制为需要更改系统时间的合法用户。 位置计算机配置\Windows 设置\安全设置\本地策略\用户权限分配 默认值默认情况下,管理员和本地服务组的成员在工作站和服务器上拥有此权限。 管理员、服务器操作员和本地服务组的成员在域控制器上拥有此权限。 下表列出了实际和有效的默认策略值。 默认值也列在策略的属性页上。 服务器类型或 GPO 默认值 默认域策略 未定义 默认域控制器策略 管理员服务器操作员本地服务 独立服务器默认设置 管理员本地服务 DC 有效默认设置 管理员服务器操作员本地服务 成员服务器有效默认设置 管理员本地服务 客户端计算机有效默认设置 管理员本地服务 策略管理本部分介绍可帮助你管理此策略的功能、工具和指南。 无需重启设备即可使此策略设置生效。 帐户所有者下次登录时,对帐户的用户权限分配所做的任何更改将生效。 组策略设置通过组策略对象 (GPO) 按以下顺序应用,这将在下一次更新组策略时覆盖本地计算机上的设置: 本地策略设置 网站策略设置 域策略设置 OU 策略设置当本地设置灰显时,它指示 GPO 当前控制该设置。 安全注意事项本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。 漏洞可以更改计算机上的时间的用户可能会导致一些问题。 例如: 事件日志条目上的时间戳可能不准确 创建或修改的文件和文件夹上的时间戳可能不正确 属于域的计算机可能无法自行进行身份验证 尝试从时间不准确的设备登录到域的用户可能无法进行身份验证。此外,由于 Kerberos 身份验证协议要求请求方和验证器在管理员定义的倾斜期内同步其时钟,因此更改设备时间的攻击者可能导致该计算机无法获取或授予 Kerberos 协议票证。 在大多数域控制器、成员服务器和最终用户计算机上,这些类型事件的风险得到缓解,因为 Windows 时间服务以以下方式自动与域控制器同步时间: 所有桌面客户端设备和成员服务器都使用身份验证域控制器作为其入站时间伙伴。 域中的所有域控制器都指定主域控制器 (PDC) 仿真器操作主机作为其入站时间伙伴。 所有 PDC 模拟器操作主机在其入站时间伙伴的选择中都遵循域的层次结构。 域根目录中的 PDC 模拟器操作主机对组织具有权威性。 因此,建议将此计算机配置为与可靠的外部时间服务器同步。如果攻击者能够更改系统时间,然后停止 Windows 时间服务或将其重新配置为与不准确的时间服务器同步,则此漏洞会更加严重。 对策将 “更改系统时间 用户权限”限制为需要更改系统时间的合法用户,例如 IT 团队成员。 潜在影响应该没有影响,因为大多数组织的时间同步应该针对属于该域的所有计算机完全自动化。 不属于域的计算机应配置为与外部源(如 Web 服务)同步。 相关主题 用户权限分配 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |