适用范围

介绍 更改系统时间 安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。

此策略设置确定哪些用户可以调整设备内部时钟上的时间。 此权限允许计算机用户更改与事件日志、数据库事务和文件系统中的记录关联的日期和时间。 执行时间同步的进程也需要此权限。 此设置不会影响用户更改系统时间的时区或其他显示特征的能力。 有关分配更改时区权限的信息，请参阅 更改时区。

常量：SeSystemtimePrivilege

计算机配置\Windows 设置\安全设置\本地策略\用户权限分配

默认情况下，管理员和本地服务组的成员在工作站和服务器上拥有此权限。 管理员、服务器操作员和本地服务组的成员在域控制器上拥有此权限。

下表列出了实际和有效的默认策略值。 默认值也列在策略的属性页上。

本部分介绍可帮助你管理此策略的功能、工具和指南。

无需重启设备即可使此策略设置生效。

帐户所有者下次登录时，对帐户的用户权限分配所做的任何更改将生效。

设置通过组策略对象 (GPO) 按以下顺序应用，这将在下一次更新组策略时覆盖本地计算机上的设置：

当本地设置灰显时，它指示 GPO 当前控制该设置。

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

可以更改计算机上的时间的用户可能会导致一些问题。 例如：

此外，由于 Kerberos 身份验证协议要求请求方和验证器在管理员定义的倾斜期内同步其时钟，因此更改设备时间的攻击者可能导致该计算机无法获取或授予 Kerberos 协议票证。

在大多数域控制器、成员服务器和最终用户计算机上，这些类型事件的风险得到缓解，因为 Windows 时间服务以以下方式自动与域控制器同步时间：

如果攻击者能够更改系统时间，然后停止 Windows 时间服务或将其重新配置为与不准确的时间服务器同步，则此漏洞会更加严重。

将 “更改系统时间 用户权限”限制为需要更改系统时间的合法用户，例如 IT 团队成员。

应该没有影响，因为大多数组织的时间同步应该针对属于该域的所有计算机完全自动化。 不属于域的计算机应配置为与外部源（如 Web 服务）同步。