統(tǒng)一授時

2018-11-07 09:05:00

網(wǎng)絡安全和信息化 2018年6期

統(tǒng)一授時對象

將授時對象劃分為操作系統(tǒng)類和網(wǎng)絡設備類。其中操作系統(tǒng)類包括服務器、終端計算機等；網(wǎng)絡設備類包括交換機、防火墻、入侵檢測、漏洞掃描等。

統(tǒng)一授時方式

為了確保時間的準確性，應采用專業(yè)的時間服務器（以下簡稱統(tǒng)一時間源）作為網(wǎng)絡中授時的基準時間源，這樣既可以實現(xiàn)常年時間誤差在秒級，又能夠滿足掉電后維持時間的需求，同時解決了傳統(tǒng)手工校準時間導致的授時不及時等問題。

圖1 統(tǒng)一授時網(wǎng)絡拓撲示意圖

對于小型網(wǎng)絡，需要進行統(tǒng)一授時的對象數(shù)量比較少，可以采用唯一時間源提供單點授時的方式，就是說所有需要授時的設備都通過統(tǒng)一時間源直接授時。當網(wǎng)絡中需要進行統(tǒng)一授時的對象數(shù)量較多時，特別是對于大型網(wǎng)絡，成百上千的設備需要授時，可以采用多點授時的方式，統(tǒng)一時間源僅向少數(shù)具有時間服務功能的設備提供授時，如：域控制器、網(wǎng)絡核心交換機等，再由域控制器、網(wǎng)絡核心交換機等設備向其他設備同時提供多點授時，如圖1。

具體說，就是服務器、終端計算機等操作系統(tǒng)類的時間同步對象，通過域控制器進行授時，域控制器通過統(tǒng)一時間源進行授時，主要步驟如下：

1.服務器、終端計算機分別加入域，自動與PDC域控制器保持授時關(guān)系。

2.配置PDC域控制器的時間源。

n e t t i m e /setsntp:[統(tǒng)一時間源IP地址]

3.校準PDC域控制器時間

net time \[統(tǒng)一時間源IP地址] /set/y

交換機、防火墻等網(wǎng)絡設備類的時間同步對象，通過網(wǎng)絡核心交換機進行授時，網(wǎng)絡核心交換機通過統(tǒng)一時間源進行授時，以華三交換機為例：

ntp-service unicastserver [統(tǒng)一時間源IP地址]或[網(wǎng)絡核心交換機IP地址]

域內(nèi)授時

理論上終端計算機加入域后，自動連接PDC域控制器進行授時，但實際上終端計算機的時間會因用戶誤操作等原因發(fā)生較大變化，導致不能自動連接PDC域控制器進行授時?？梢园凑杖缦虏襟E配置域內(nèi)授時服務，確保終端計算機自動和PDC域控制器保持授時關(guān)系。

1.設置PDC授時參數(shù)

打開PDC域控制器注冊表，修改以下鍵值：

H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesW32TimeParameters,“Type”鍵值設置為“NTP”。

H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesW32TimeT i m e P r o v i d e r sNtpServer,“Enabled”鍵值設置為“1”。

2.修改Windows授時策略

編輯PDC域控制器組策略，計算機配置管理模板系統(tǒng)Windows時間服務時間提供程序

（1）“配置 Windows NTP客戶端”修改為“已啟

圖2 配置域內(nèi)授時

圖3 修改默認時間差

修改默認時間差

Windows操作系統(tǒng)默認允許域控制器和客戶端計算機之間的時間差為5分鐘，應設置更加精確的時間差。

圖4 禁止修改時間

具體步驟如下：編輯PDC域控制器組策略，計算機配置安全設置帳戶策略kerberos策略，修改“計算機時鐘同步的最大容差”，如圖3。用”，“NtpServer” 設置為“[PDC域控制器IP地址]，0x1”，“Type”設置為“NTP”，“SpecialPollInterval” 設置為“1800”。

（2）“啟用Windows NTP客戶端”修改為“已啟用”。

（3）“啟用Windows NTP服務器”修改為“已啟用”。如圖2。

禁止修改時間

對于操作系統(tǒng)類的時間同步對象，應禁止隨意修改系統(tǒng)時間，以保證時間的正確性和安全性。服務器、終端計算機以域用戶身份登錄，如果屬于“Users”組，將不具有更改系統(tǒng)時間的權(quán)限，只有“Administrators”或“Power Users”組才具有更改系統(tǒng)時間的權(quán)限。應去除缺省更改系統(tǒng)時間的權(quán)限組，即禁止一切更改系統(tǒng)時間的行為。

具體步驟如下：編輯PDC域控制器組策略，計算機配置安全設置本地策略用戶權(quán)利指派，刪除“更改系統(tǒng)時間”策略中的缺省權(quán)限組,如圖4。