今天上班,带了一些很久没用的电脑(我进这家公司的时候没用过,所以不知道他们的历史)。启动其中一个(Windows XP Professional)后,我发现系统时间没有设置,所以我尝试使用NTP并将系统同步到时间服务器。我使用了默认的时间服务器,即time.windows.com. 但是,当我尝试同步时,返回了以下错误消息:
Windows 与 time.windows.com 同步时出错。出于安全原因,Windows 无法与服务器同步,因为您的日期不匹配。请修正日期,然后重试。
这里意味着什么可能的安全原因?在将机器同步到时间服务器的过程中可能存在哪些安全威胁?
例如,Kerberos 需要时间同步。如果您连接的时间服务器会大量更改您的时间,则可能会干扰 kerberos 的操作。可能还有其他协议依赖于嵌入式时间戳进行安全操作。
另外:如果时间突然跳跃,某些应用程序的行为会表现不佳。可能存在基于更改时间的攻击。我不了解 Windows,但 *nix 系统上的 NTP 守护进程试图逐渐调整时间而不是跳过它——出于这个原因。
与时间服务器同步的一个好方法(特别是如果您的系统时钟关闭很多)是手动将时间设置为“足够接近”您可以手动管理的时间 - 最好在几秒钟内,在几秒钟内如果您没有良好的时间来源,分钟就可以了。然后连接到时间服务器,本地时间服务/守护程序可以对系统时间进行较小的调整,可能会将调整分散到更长的时间,这样系统时钟就不会出现跳跃。
大多数 NTP 服务器守护进程不会显着向后或向前跳时钟。在某些操作模式下,他们根本拒绝跳跃,拒绝更新到他们无法通过倾斜(很长一段时间内非常微小的调整)到达的任何东西。
跳转会破坏日志连续性、按时间戳比较文件以及许多其他问题。它还会影响任何取决于时间的东西——软件更新检查、计划作业、帐户到期等。
将您的时钟设置为接近当前实际时间(手表上的任何内容都应该足够好),它会自动调整。