Функция Windows Secure Time Seeding в некоторых случаях работает некорректно и может сбросить время

Профильные эксперты и системные администраторы рассказали, что функция Windows Secure Time Seeding (STS) для Windows Server в некоторых случаях работает некорректно и может сбросить системное время на серверах на месяцы или годы вперёд. Проблема особенна критична для контроллеров доменов. В Microsoft в курсе ошибок и рекомендуют отключать эту опцию при возникновении большой дельты в системном времени и вместо STS использовать NTP.

STS позволяет отслеживать сроки действия ключей и сертификатов безопасности с помощью использования метаданных из исходящих SSL-соединений до удалённого сервера Microsoft.

Системные администраторы пояснили, что при использовании STS на некоторых высокозагруженных и критичных системах начинались проблемы со скачками системного времени. Например, Windows Server 2016 внезапно переустанавливал свои системные часы на 55 дней вперёд. В другом случае с Windows Server 2019 в августе 2022 года система автоматически сбросила время на январь 2023 года, а затем через некоторое время вернула данные времени обратно.


Примечательно, что в некоторых случаях сбой системного времени из-за STS мог быть ограничен двумя или тремя серверами и происходил каждые несколько месяцев. Иногда их системные часы прыгали на несколько недель, а иногда их системное время менялось вплоть до 2159 года.

В других случаях STS сбрасывала системное время на серверах с базами данных. Тогда начинали происходить сбои при подключении внешних клиентов, а также прекращала работать система резервного копирования.

Системные администраторы отсылали отчёты с ошибками STS в Microsoft, но в техподдержке не отвечали или закрывали тикеты, так как это не было связано с критическими проблемами безопасности.

По мнению профильных экспертов, дизайн STS основан на фундаментальном неправильном толковании спецификации TLS. В описании Microsoft STS признаётся, что некоторые реализации SSL вообще не помещают текущее системное время сервера в поле ServerUnixTime. Вместо этого эти реализации (прежде всего широко используемая библиотека OpenSSL) начиная с 2014 года заполняют поле случайными значениями. Далее в описании Microsoft говорится: «Мы заметили, что большинство серверов предоставляют довольно точное значение в этом поле, а остальные предоставляют случайные значения».

В случае проблем с STS профильные эксперты и разработчики из Microsoft (неофициально) рекомендуют отключить эту функцию вручную.

17.08.2023
https://habr.com/ru/news/755152/​