Автор: Рэймонд Чен.
Оригинал статьи: Why does the Win32 Time service require the date to be correct before it will set the time?
Официальное сообщение: "На этой неделе выполняется переход с летнего на зимнее время на большей части территории США".
Энди указывает на то, что при попытке синхронизировать часы с неверной установленной датой появится сообщение об ошибке: "Во время синхронизации с time.windows.com произошла ошибка. Из соображений безопасности, Windows не может синхронизировать время с сервером, потому что даты не совпадают. Пожалуйста, исправьте дату и попробуйте снова". Его интересует, в чем заключается угроза безопасности.
Во-первых, для тех, кто пытается решить эту проблему, решение описано в сообщении об ошибке. Исправьте дату и попробуйте синхронизироваться снова. Если это не помогает, установите время, близкое к правильному. Когда время на ваших часах станет ближе к точному, сервер времени сможет окончательно откорректировать его.
Возвращаемся к первоначальному вопросу: "В чем здесь угроза безопасности?"
На первый взгляд вам может показаться, что сервер пытается защитить себя от клиента с неверно настроенными часами, но в действительности потенциальная угроза с другой стороны: ваш компьютер защищает себя от фальшивого сервера времени.
Протокол проверки подлинности Kerberos полагается на то, что у всех участников установлено одно и то же время (с незначительными отклонениями). Если кто-то обманным путем сумеет заставить клиента синхронизировать часы с лжесервером (например, используя атаку с подменой DNS-имен), атакующая сторона может использовать неверную дату (обычно дату из прошлого) как опорный пункт для следующего уровня атак.
По умолчанию служба времени отклоняет попытки изменить время на компьютерах домена при разнице более 15 часов. Эти настройки можно изменить, следуя инструкциям в статье базы знаний (которая также была исходным материалом для большей части этой статьи).
Комментариев нет:
Отправить комментарий