Modifier l’heure système - paramètre de stratégie de sécurité
S’applique à
- Windows 11
- Windows 10
Décrit les meilleures pratiques, l’emplacement, les valeurs, la gestion des stratégies et les considérations relatives à la sécurité pour le paramètre de stratégie de sécurité Modifier l’heure du système .
Référence
Ce paramètre de stratégie détermine quels utilisateurs peuvent ajuster l’heure de l’horloge interne de l’appareil. Ce droit permet à l’utilisateur de l’ordinateur de modifier la date et l’heure associées aux enregistrements dans les journaux des événements, les transactions de base de données et le système de fichiers. Ce droit est également requis par le processus qui effectue la synchronisation de l’heure. Ce paramètre n’affecte pas la capacité de l’utilisateur à modifier le fuseau horaire ou d’autres caractéristiques d’affichage de l’heure système. Pour plus d’informations sur l’attribution du droit de modifier le fuseau horaire, consultez Modifier le fuseau horaire.
Constante : SeSystemtimePrivilege
Valeurs possibles
- Liste de comptes définis par l’utilisateur
- Non défini
Meilleures pratiques
- Limitez le droit d’utilisateur Modifier l’heure système aux utilisateurs ayant un besoin légitime de modifier l’heure système.
Emplacement
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur
Valeurs par défaut
Par défaut, les membres des groupes Administrateurs et Service local disposent de ce droit sur les stations de travail et les serveurs. Les membres des groupes Administrateurs, Opérateurs de serveur et Service local disposent de ce droit sur les contrôleurs de domaine.
Le tableau suivant répertorie les valeurs de stratégie par défaut réelles et effectives. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.
| Type de serveur ou GPO | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Non défini |
| Stratégie de contrôleur de domaine par défaut | Administrateurs Opérateurs de serveur Local Service |
| Paramètres par défaut du serveur autonome | Administrateurs Local Service |
| Paramètres effectifs par défaut du contrôleur de domaine | Administrateurs Opérateurs de serveur Local Service |
| Paramètres effectifs par défaut du serveur membre | Administrateurs Local Service |
| Paramètres effectifs par défaut de l’ordinateur client | Administrateurs Local Service |
Gestion des stratégies
Cette section décrit les fonctionnalités, les outils et les conseils pour vous aider à gérer cette stratégie.
Un redémarrage de l’appareil n’est pas nécessaire pour que ce paramètre de stratégie soit effectif.
Toute modification apporté à un compte pour l'attribution des droits utilisateur ne prend effet que lors de l'ouverture de session suivante par le propriétaire du compte.
Stratégie de groupe
Les paramètres sont appliqués dans l’ordre suivant par le biais d’un objet stratégie de groupe (GPO), qui remplacera les paramètres sur l’ordinateur local à la prochaine mise à jour stratégie de groupe :
- Paramètres de stratégie locale
- Paramètres de stratégie de site
- Paramètres de stratégie de domaine
- Paramètres de stratégie d’unité d’organisation
Lorsqu’un paramètre local est grisé, cela indique qu’un objet de stratégie de groupe contrôle actuellement ce paramètre.
Considérations en matière de sécurité
Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.
Vulnérabilité
Les utilisateurs qui peuvent modifier l’heure sur un ordinateur peuvent entraîner plusieurs problèmes. Exemple :
- Les horodatages sur les entrées du journal des événements peuvent être rendus inexacts
- Les horodatages sur les fichiers et dossiers créés ou modifiés peuvent être incorrects
- Les ordinateurs qui appartiennent à un domaine peuvent ne pas être en mesure de s’authentifier eux-mêmes
- Les utilisateurs qui tentent de se connecter au domaine à partir d’appareils dont l’heure est incorrecte peuvent ne pas être en mesure de s’authentifier.
En outre, étant donné que le protocole d’authentification Kerberos exige que les horloges du demandeur et de l’authentificateur soient synchronisées dans une période d’asymétrie définie par l’administrateur, un attaquant qui modifie l’heure d’un appareil peut empêcher cet ordinateur d’obtenir ou d’accorder des tickets de protocole Kerberos.
Le risque lié à ces types d’événements est atténué sur la plupart des contrôleurs de domaine, des serveurs membres et des ordinateurs des utilisateurs finaux, car le service de temps Windows synchronise automatiquement l’heure avec les contrôleurs de domaine de la manière suivante :
- Tous les appareils clients de bureau et serveurs membres utilisent le contrôleur de domaine d’authentification comme partenaire de temps entrant.
- Tous les contrôleurs de domaine d’un domaine désignent les opérations de l’émulateur de contrôleur de domaine principal (PDC) master comme leur partenaire de temps entrant.
- Tous les maîtres d’opérations de l’émulateur PDC suivent la hiérarchie des domaines dans la sélection de leur partenaire de temps entrant.
- Les opérations de l’émulateur de contrôleur de domaine principal master à la racine du domaine font autorité pour le organization. Par conséquent, nous vous recommandons de configurer cet ordinateur pour qu’il se synchronise avec un serveur de temps externe fiable.
Cette vulnérabilité devient beaucoup plus grave si un attaquant est en mesure de modifier l’heure système, puis d’arrêter le service de temps Windows ou de le reconfigurer pour qu’il se synchronise avec un serveur de temps qui n’est pas précis.
Contre-mesure
Limitez le droit d’utilisateur Modifier l’heure système aux utilisateurs ayant un besoin légitime de modifier l’heure système, tels que les membres de l’équipe informatique.
Impact possible
Il ne doit y avoir aucun impact, car la synchronisation de l’heure pour la plupart des organisations doit être entièrement automatisée pour tous les ordinateurs appartenant au domaine. Les ordinateurs qui n’appartiennent pas au domaine doivent être configurés pour se synchroniser avec une source externe, telle qu’un service web.