Konfigurera Windows tidstjänst så att en stor tidsförskjutning förhindras

Supporten för Windows XP har upphört

Microsoft upphörde med supporten för Windows XP den 8 april 2014. Denna ändring påverkar dina programuppdateringar och säkerhetsalternativ. Läs om vad detta innebär för dig och hur du behåller skyddet.

Supporten för Windows Server 2003 upphörde 14 juli 2015

Microsoft upphörde med supporten för Windows Server 2003 den 14 juli 2015. Denna ändring påverkar dina programuppdateringar och säkerhetsalternativ. Läs om vad detta innebär för dig och hur du behåller skyddet.

INLEDNING
I Windows ingår W32Time, tidstjänstverktyget som krävs av Kerberos-autentiseringsprotokollet. Syftet med tidstjänstverktyget är att säkerställa att samma tid används på alla datorer med Microsoft Windows 2000 eller senare i en organisation. För att uppnå detta utnyttjas ett hierarkiskt förhållande som styr auktoriteten. Dessutom tillåts inte slingor. Normalt används följande hierarki på Windows-datorer:
  • På alla stationära klientdatorer nomineras den autentiserande domänkontrollanten som partner för inkommande tid.
  • På alla medlemsservrar sker samma sak som på de stationära klientdatorerna.
  • På alla domänkontrollanter i en domän nomineras PDC-verksamhetshanteraren som partner för inkommande tid.
  • Alla PDC-verksamhetshanterare följer domänhierarkin vid val av partner för inkommande tid, men en överordnad domänkontrollant kan användas baserat på stratumnivå.
I den här hierarkin blir skogsrotens PDC-verksamhetshanterare auktoritär tidsserver för organisationen. Vi rekommenderar starkt att den auktoritära tidsservern konfigureras för hämtning av tid från en maskinvarukälla. När den auktoritära tidsservern konfigureras för synkronisering med en Internettidskälla förekommer ingen autentisering. Vi rekommenderar också att du minskar tidskorrigeringen för servrar och fristående klienter. På så vis blir domänen mer exakt.
Mer Information

Microsoft Windows XP Professional och Microsoft Windows Server 2003, alla utgåvor

Domänservrar

Skogsrots-PDC (auktoritär tidsserver)
Vi rekommenderar starkt att den auktoritära tidsservern konfigureras för hämtning av tid från en maskinvarukälla. När den auktoritära tidsservern konfigureras för synkronisering med en Internettidskälla förekommer ingen autentisering. Du måste konfigurera om registerposterna
MaxPosPhaseCorrection
och
MaxNegPhaseCorrection
. Standardvärdet är 0xFFFFFFFF (acceptera alla tidsändringar). Det rekommenderade värdet bör vara 900 (15 minuter) eller ännu mindre, beroende på tidskällan, nätverkets tillstånd och säkerhetskrav. Värdet beror också på avsökningsintervallet. Vi rekommenderar att du ställer in värdet för registerposten
MaxPollInterval
på 10 eller mindre, eller att du ställer in värdet för registerposten
SpecialPollInterval
på 3600 (1 timme) eller mindre. Mer information om de här registerposterna finns i "Registernycklar i tidstjänsten för Windows Server 2003 och Windows XP".
Domänkontrollanter och medlemsservrar inom domänen
Registerposterna
MaxPosPhaseCorrection
och
MaxNegPhaseCorrection
har standardvärdet 0xFFFFFFFF (acceptera alla tidsändringar). Det här standardvärdet fungerar bra, men det kan vara önskvärt med ytterligare domänsäkerhet som skydd mot mänskliga fel. Beroende på dina mål kan du använda standardvärdena som de är eller ändra dem.

Fristående klienter

Registerposterna
MaxPosPhaseCorrection
och
MaxNegPhaseCorrection
har standardvärdet 54 000 (15 timmar). Av säkerhetsskäl bör det minskas. Vi rekommenderar att du ställer in värdet på 3600 (1 timme) eller ännu mindre, beroende på tidskällan, nätverkets tillstånd, avsökningsintervallet och säkerhetskraven.

Registernycklar i tidstjänsten för Windows Server 2003 och Windows XP

Registerpost
MaxPosPhaseCorrection
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Obs!Den här posten anger tjänstens största positiva tidskorrigering i sekunder. Om det krävs en större förändring loggas en händelse. Specialfall: 0xFFFFFFFF innebär att en tidskorrigering alltid ska göras. Standardvärdet för domänmedlemmar är 0xFFFFFFFF. Standardvärdet för fristående klienter och servrar är 54 000 (15 timmar).
Registerpost
MaxNegPhaseCorrection
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Obs!Den här posten anger tjänstens största negativa tidskorrigering i sekunder. Om det krävs en större förändring loggas en händelse i stället. Specialfall: -1 innebär att en tidskorrigering alltid ska göras. Standardvärdet för domänmedlemmar är 0xFFFFFFFF. Standardvärdet för fristående klienter och servrar är 54 000 (15 timmar).
Registerpost
MaxPollInterval
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Obs!Den här posten anger det största intervallet, i loggsekunder, som tillåts för systemavsökningsintervallet. Från en dator måste avsökningen ske enligt det schemalagda intervallet, men en provider kan avvisa samplingsförfrågningar. Standardvärdet för domänmedlemmar är 10, för fristående klienter och servrar 15.
Registerpost
SpecialPollInterval
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Obs!Den här posten anger det särskilda avsökningsintervallet i sekunder för manuella peer-datorer. När flaggan SpecialInterval 0x1 är aktiverad används det här avsökningsintervallet i W32Time i stället för ett avsökningsintervall som bestäms i operativsystemet. Standardvärdet för domänmedlemmar är 3 600, för fristående klienter och servrar 604 800.
Mer information om Windows tidstjänst i en Windows Server 2003-skog finns på följande webbplats:

Windows 2000 Service Pack 4 (SP4), alla utgåvor

Domänservrar

Skogsrots-PDC (auktoritär tidsserver)
Vi rekommenderar starkt att den auktoritära tidsservern konfigureras för hämtning av tid från en maskinvarukälla. När den auktoritära tidsservern konfigureras för synkronisering med en Internettidskälla förekommer ingen autentisering för manuellt läge. Du måste konfigurera om registerposten
MaxAllowedClockErrInSecs
. Standardvärdet är 43 200. Det rekommenderade värdet är 900 (15 minuter) eller ännu lägre, beroende på tidskällan, nätverkets tillstånd och säkerhetskrav. Värdet beror också på avsökningsintervallet. Vi rekommenderar ett avsökningsintervall på en timme (Period = 24). Mer information om den här registerposten finns i "Registernyckel för Windows Server 2000 SP 4" nedan.
Domänkontrollanter och medlemsservrar inom domänen
Synkroniseringstypen är NT5DS. Tidstjänsten synkroniseras från domänhierarkin och accepterar alla tidsändringar. Eftersom alla tidsändringar accepteras i NT5DS oberoende av tidsförskjutningen är det mycket viktigt att ange en tillförlitlig tidskälla för skogsroten i undernätet för tidssynkronisering.

Fristående klienter

Registerposten
MaxAllowedClockErrInSecs
har standardvärdet 43 200 (12 timmar). Av säkerhetsskäl bör det minskas. Vi rekommenderar att du ställer in värdet på 3600 (1 timme) eller ännu mindre, beroende på tidskällan, nätverkets tillstånd, avsökningsintervallet och säkerhetskraven.
Registernyckel för Windows Server 2000 SP 4
Registerpost
MaxAllowedClockErrInSecs
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Obs!Anger högsta tillåtna tidsändring i sekunder. Logga händelser om de inträffar, men använd ingen tidsjustering som skyddar misstänkta tidsstämplar. Standardvärdet för domänmedlemmar är 43 200.
Egenskaper

Artikel-id: 884776 – senaste granskning 06/20/2006 08:12:17 – revision: 9.1

Microsoft Windows XP Professional Edition, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Server SP4

  • kbsecurity kbhowto kbinfo KB884776
Feedback