时间服务器安全错误

Question

今天上班的时候，我们拿出了一些很长时间没有用过的电脑(我加入这家公司时没有使用，所以我不知道他们的历史)。在启动其中一个()之后，我发现系统时间没有设置，所以我尝试使用NTP并将系统同步到时间服务器。我使用了默认的时间服务器，即time.windows.com。但是，当我试图同步时，将返回以下错误消息：

Windows与time.windows.com同步时发生错误。由于安全原因，由于日期不匹配，Windows无法与服务器同步。请确定日期然后再试一次。

这里有什么可能的安全原因？在将计算机同步到时间服务器的过程中可能存在哪些安全威胁？？

Answer 1

举个例子，Kerberos需要时间同步.。如果您连接到一个时间服务器，该服务器会大量更改您的时间，这可能会干扰kerberos的操作。可能还有其他协议依赖于嵌入式时间戳来进行安全操作。

另外:如果时间突然跳跃，一些应用程序就会表现得不好。可能会有基于改变时间的攻击。我不知道Windows，但是*nix系统上的NTP守护进程试图逐步调整时间，而不是跳过它--出于这个原因。

与时间服务器同步的一个好方法(特别是如果您的系统时钟被关闭了很多)是手动将时间“足够接近”到您可以手动管理的位置--几秒钟内最好是最好的，如果您没有好的时间源，几分钟内就可以了。然后连接到时间服务器，本地时间服务/守护进程可以对系统时间进行更小的调整，可能会将调整扩展到更长的时间，以便系统时钟不会跳转。

Answer 2

大多数NTP服务器守护进程不会显着地向后或向前跳过时钟。在某些操作模式中，他们会完全拒绝跳转，拒绝通过倾斜(长时间内非常微小的调整)更新到他们无法到达的地方。

跳转会破坏日志的连续性、按时间戳对文件的比较以及许多其他问题。它还影响任何取决于时间的东西--软件更新检查、计划作业、帐户到期等。

把你的时钟设置在接近当前实际时间的东西上(你的手表上的任何东西都应该足够好)，它会使你自己保持一致。