Errore di sicurezza del time server

Naviga le tue risposte
4

Oggi al lavoro, abbiamo fatto uscire alcuni PC che non sono stati utilizzati per molto tempo (non erano in uso quando sono entrato in questa azienda, quindi non ho idea della loro storia). Dopo aver avviato uno di questi (Windows XP Professional), ho scoperto che l'ora del sistema non è impostata, quindi ho provato a utilizzare NTP e sincronizzare il sistema con un server orario. Ho usato il time server predefinito, cioè time.windows.com . Tuttavia, quando ho tentato di eseguire la sincronizzazione, è stato restituito il seguente messaggio di errore:

An error occurred while Windows was synchronizing with time.windows.com. For security reasons, Windows can not synchronize with the server because your date does not match. Please fix the date and try again.

Quali sono i possibili motivi di sicurezza qui? Quali sono le minacce alla sicurezza nel processo di sincronizzazione di una macchina su un server di riferimento ??

    
posta amyassin 19.12.2011 - 18:47
fonte

2 risposte

8

Come esempio, Kerberos richiede la sincronizzazione dell'ora . Se ti connetti a un server orario che modifica il tuo tempo di una grande quantità, potrebbe interferire con il funzionamento di Kerberos. Potrebbero esserci altri protocolli che dipendono da timestamp incorporati per operazioni sicure.

Inoltre: alcune applicazioni non si comportano bene se salta improvvisamente il tempo. Potrebbe essere possibile che ci siano attacchi basati sul cambiamento del tempo. Non conosco Windows, ma il daemon NTP sui sistemi * nix cerca di regolare gradualmente il tempo invece di saltarlo - per questo motivo.

Un buon modo per sincronizzarsi con un server orario (specialmente se l'orologio del tuo sistema è spento parecchio) è impostare manualmente l'ora "abbastanza vicino" a ciò che puoi gestire manualmente - entro pochi secondi è meglio, entro un paio di minuti va bene se non hai una buona fonte di tempo. Quindi connettiti al server dell'ora e il servizio / demone locale del tempo può apportare regolazioni minori all'ora del sistema, eventualmente distribuendo le regolazioni su un periodo più lungo in modo che non ci siano salti nell'orologio del sistema.

    
risposta data 19.12.2011 - 19:02
fonte
2

La maggior parte dei daemon del server NTP non salta in modo significativo indietro o in avanti. In alcune modalità operative si rifiuteranno di saltare a tutti, rifiutando di aggiornare a qualsiasi cosa non possano raggiungere distorcendo (regolazioni molto minute per un lungo periodo).

Il salto rovina la continuità del registro, il confronto dei file per data / ora e una miriade di altri problemi. Colpisce anche tutto ciò che dipende dal tempo: controlli di aggiornamento del software, lavori programmati, scadenza dell'account, ecc.

Imposta l'orologio su qualcosa di simile all'orario attuale (qualsiasi cosa sull'orologio dovrebbe essere sufficiente) e si metterà in linea.

    
risposta data 19.12.2011 - 19:05
fonte

Leggi altre domande sui tag

Devo abilitare l'autenticazione del dominio nella mia DMZ Come dovrei configurare il SO per il test fuzz?