Ist auf dem Smartphone, auf den Servern oder auf den Routern und Switches nicht die korrekte Zeit konfiguriert, dann passieren ungewöhnliche Dinge.
- Die Domänen-Benutzer werden sich nicht anmelden können
- Es können keine Apps über den App Store installiert werden
- Es können keine Updates installiert werden
- …
Denn Zeit ist Vertrauen. Insbesondere bei der Protokollierung von Ereignissen. Wenn beide Systeme unterschiedliche Zeiten in der Protokollierung aufweisen, so wir die Beweislage nicht einfach. Außerdem kann das Vortäuschen einer anderen Zeit zu weiteren security-relevanten Problemen führen.
Zeitserver in Windows lokal konfigurieren
In Windows sind die Einstellungen der Zeit in der Systemsteuerung unter Datum und Uhrzeit zu finden. Hier kann die lokale Uhr des Systems oder unter Internetzeiteinstellungen ein Zeitserver konfiguriert werden. Als Standard verwendet das System den Zeitserver time.microsoft.com.
Zeitserver in einer Active Directory Domäne konfigurieren
Der Betriebsmaster “PDC Emulator” einer Active Directory Domäne gibt für alle Clients die Zeit vor. Um diesen zu finden (falls keine Doku vorliegt, wovon in den meisten IT-Abteilungen auszugehen ist :-)) kann netdom query fsmo ausgeführt werden. Mehr zu Betriebsmaster in meinem Artikel Active Directory FSMO Rollen (Betriebsmaster).
Ist dieser gefunden, dann sollte am PDC Master der Domäne mit
w32tm /query /configuration | findstr "NtpServer"
überprüft werden, welcher Zeitserver konfiguriert ist.
Sollte hier nur der lokale Server konfiguriert sein (lokal) und kein zusätzlicher NtpServer, so wäre es sinnvoll diesen zu konfigurieren, um sich nicht auf die “interne” BIOS Uhr des Geräts verlassen zu müssen. Zeitserver im Internet für Europa findet man hier: http://www.pool.ntp.org/zone/europe. Die hätte auch der Best Practices Analyzer gemeldet: Windows Server 2016 mit dem Best Practices Analyzer (BPA) optimal konfigurieren.
Die Konfiguration des neuen Time-Servers erfolgt dann wieder mit dem Befehl w32tm.
w32tm /config /manualpeerlist:time.microsoft.com /syncfromflags:manual /reliable:yes /update
Categories: Cyber Security, Windows 10, Windows Server
1 reply »