Secure Time Seeding: Windows-Funktion lässt Systemzeit teils stark abweichen
Eine stark abweichende Systemzeit kann bei Servern zu ernsten Problemen führen, wenn Dienste nicht mehr richtig synchronisiert werden.
Server und Computer benötigen die Systemzeit für diverse wichtige Dinge. So können darüber Dienste und Programme synchronisiert oder wichtige Aktualisierungsintervalle eingehalten werden. Viele Programme verwenden Systemuhren für Synchronisation. Auch digitale Zertifikate werden in ihrer Gültigkeit oft durch die Systemuhr geprüft.
Es ist daher in viele Fällen besonders wichtig, dass die Uhr korrekt läuft. Fehler aufgrund einer falschen Uhrzeit können nämlich schwere Folgen haben und Teile des Systems blockieren. Was wäre also, wenn Windows die interne Uhr basierend auf Zufallsdaten zurücksetzt und sie deshalb ungenau wird? Genau das passiert durch das im Jahr 2016 eingeführte Feature Secure Time Seeding (STS). In einigen Fällen hat das bereits Probleme bereitet.
STS soll das Erfassen der richtigen Zeit auch dann verbessern, wenn ein Windows-Gerät gerade nicht über eine sichere Verbindung mit einem Zeitserver kommunizieren kann. Das Feature verwendet dafür beispielsweise lokal gespeicherte Zertifikate und über SSL transportierte Daten. Das Secure Time Seeding holt sich diese Daten aus mehreren vorangegangenen Verbindungen, um einen Annäherungswert an die Uhrzeit zu generieren. Diese Heuristik wird genutzt, um die Systemzeit auf dem lokalen Server anzupassen.
Zufallszahlen in den Zeitdaten
Allerdings scheinen die Zeitfelder per SSL oft auch einfach mit zufälligen Zahlen gefüllt zu werden. Deshalb springt die durch STS-Heuristik generierte Zeit in manchen Fällen stark. Einige IT-Spezialisten sehen in ihren Unternehmen deshalb fluktuierende Zeitangaben statt konsistenter Ergebnisse.
"Es sind exponentiell mehr und mehr Server davon betroffen", schreibt ein Systemadministrator dem Magazin Ars Technica. Aus etwa 5.000 VMs seien davon etwa 20 Server betroffen. Das ist im Verhältnis nicht viel, kann aber trotzdem kritische Probleme bereiten.
"Angesichts der heuristischen Natur von Secure Time Seeding und der Vielzahl möglicher Implementationen, die unsere Kunden nutzen, halten wir die Möglichkeit offen, diese Funktion zu deaktivieren", schrieb Microsoft in einer Stellungnahme an Ars Technica. "Wir stimmen zu, dass Anpassungen von TLS v1.3 und andere Entwicklungen in diesem Bereich dazu führen könnten, dass Secure Time Seeding mit der Zeit immer weniger effektiv wird."
Um STS zu deaktivieren, kann auf betroffenen Maschinen ein Registry-Key gesetzt werden. Das ist der Schlüssel UtilizeSslTimeData vom Typ REG_DWORD im Verzeichnis HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config. Wird er auf 0 gesetzt, dann ist STS deaktiviert. Mit 1 kann die Funktion wieder reaktiviert werden.