- 13,858
- 20
- 8 Ноя 2022
Ошибки в Windows Secure Time Seeding приводят к скачкам времени до 2159 года.
Функция Windows Secure Time Seeding (STS) для Windows Server может Для просмотра ссылки Войдиили Зарегистрируйся в системном времени на серверах, сдвигая его на месяцы или годы в вперед. Проблема особенно опасна для контроллеров доменов. В Microsoft знают об ошибках и советуют отключить эту функцию, если системное время сильно отличается от реального, и использовать NTP вместо STS.
Secure Time Seeding служит для контроля за сроками действия ключей и сертификатов безопасности путем анализа метаданных из исходящих SSL-соединений к удаленным серверам компании Microsoft.
Системные администраторы рассказали, что при работе с STS на некоторых высокозагруженных и критичных системах возникали проблемы с резкими изменениями системного времени. Например, Windows Server 2016 вдруг переводил свои системные часы на 55 дней вперед. В другом случае с Windows Server 2019 в августе 2022 года система сама перевела время на январь 2023 года, а потом через некоторое время вернула его назад.
Интересно, что в некоторых случаях сбой системного времени из-за STS происходил только на двух или трех серверах и повторялся каждые несколько месяцев. Иногда их системные часы прыгали на несколько недель, а в некоторых случаях их системное время менялось до 2159 года.
В других случаях STS меняла системное время на серверах с базами данных. Тогда начинали происходить сбои при подключении внешних клиентов, а также останавливалась система резервного копирования.
Системные администраторы отправляли отчёты об ошибках STS в Microsoft, однако в службе поддержки им не отвечали или закрывали заявки, так как это не относилось к критическим проблемам безопасности.
По мнению профильных экспертов, дизайн STS основан на фундаментально неверном понимании спецификации TLS. В описании Microsoft STS Для просмотра ссылки Войдиили Зарегистрируйся , что некоторые реализации SSL вовсе не записывают текущее системное время сервера в поле ServerUnixTime. Вместо этого эти реализации (в основном широко распространенная библиотека OpenSSL) с 2014 года заполняют поле случайными значениями.
В случае проблем с STS специалисты по безопасности и разработчики из Microsoft (неофициально) рекомендуют Для просмотра ссылки Войдиили Зарегистрируйся эту функцию вручную.
Функция Windows Secure Time Seeding (STS) для Windows Server может Для просмотра ссылки Войди
Secure Time Seeding служит для контроля за сроками действия ключей и сертификатов безопасности путем анализа метаданных из исходящих SSL-соединений к удаленным серверам компании Microsoft.
Системные администраторы рассказали, что при работе с STS на некоторых высокозагруженных и критичных системах возникали проблемы с резкими изменениями системного времени. Например, Windows Server 2016 вдруг переводил свои системные часы на 55 дней вперед. В другом случае с Windows Server 2019 в августе 2022 года система сама перевела время на январь 2023 года, а потом через некоторое время вернула его назад.
Интересно, что в некоторых случаях сбой системного времени из-за STS происходил только на двух или трех серверах и повторялся каждые несколько месяцев. Иногда их системные часы прыгали на несколько недель, а в некоторых случаях их системное время менялось до 2159 года.
В других случаях STS меняла системное время на серверах с базами данных. Тогда начинали происходить сбои при подключении внешних клиентов, а также останавливалась система резервного копирования.
Системные администраторы отправляли отчёты об ошибках STS в Microsoft, однако в службе поддержки им не отвечали или закрывали заявки, так как это не относилось к критическим проблемам безопасности.
По мнению профильных экспертов, дизайн STS основан на фундаментально неверном понимании спецификации TLS. В описании Microsoft STS Для просмотра ссылки Войди
В случае проблем с STS специалисты по безопасности и разработчики из Microsoft (неофициально) рекомендуют Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
