大多数 IT 人员都认为,在 Windows 域中,如果成员服务器的时钟与其域控制器的时钟相差超过 5 分钟(或您配置的分钟数),登录和身份验证就会失败。
但这不一定是真的。至少对于所有版本的 Windows 上的所有身份验证过程来说并非如此。例如,我可以将我的 Windows 7 客户端上的时间设置为完全不对称 - 注销/登录仍然正常工作。发生的事情是,我的客户端向域控制器发送 AS_REQ(带有时间戳),而 DC 以 KRB_AP_ERR_SKEW 进行响应。但神奇的是,当 DC 以上述 Kerberos 错误进行响应时,DC 还包括他的时间戳,客户端则使用该时间戳调整自己的时间并重新提交 AS_REQ,然后获得批准。
这种行为不被视为安全威胁,因为通信中仍在使用加密和秘密。
这也不只是微软的事情。RFC 4430 描述了这种行为。
所以我的问题是,有人知道这个是什么时候改变的吗?为什么其他事情会失败?例如,如果我的时钟开始漂移得太远,Office Communicator 就会将我踢出。我真的希望对此有更多详细信息。
编辑:这是我正在谈论的 RFC 4430 中的部分内容:
如果服务器时钟和客户端时钟相差超过
策略确定的时钟偏差限制(通常为 5 分钟),则服务器
必须返回 KRB_AP_ERR_SKEW。KRB-ERROR 中的可选客户端时间应填写。如果服务器通过 添加 Cksum 字段并返回正确的客户端时间来
保护错误,则客户端应根据KRB-ERROR 消息
中包含的客户端和服务器时间计算两个时钟之间的差异(以秒为单位) 。客户端应存储此时钟差异,并使用它来调整后续消息中的时钟。如果错误 未受保护,则客户端不得使用该差异来调整 后续消息,因为这样做将允许攻击者 构建可用于发起重放攻击的身份验证器。