Функция Windows Secure Time Seeding (STS) для Windows Server может вызвать неполадки в системном времени на серверах, сдвигая его на месяцы или годы в вперед. Проблема особенно опасна для контроллеров доменов. В Microsoft знают об ошибках и советуют отключить эту функцию, если системное время сильно отличается от реального, и использовать NTP вместо STS.
Secure Time Seeding служит для контроля за сроками действия ключей и сертификатов безопасности путем анализа метаданных из исходящих SSL-соединений к удаленным серверам компании Microsoft.
Системные администраторы рассказали, что при работе с STS на некоторых высокозагруженных и критичных системах возникали проблемы с резкими изменениями системного времени. Например, Windows Server 2016 вдруг переводил свои системные часы на 55 дней вперед. В другом случае с Windows Server 2019 в августе 2022 года система сама перевела время на январь 2023 года, а потом через некоторое время вернула его назад.
Интересно, что в некоторых случаях сбой системного времени из-за STS происходил только на двух или трех серверах и повторялся каждые несколько месяцев. Иногда их системные часы прыгали на несколько недель, а в некоторых случаях их системное время менялось до 2159 года.
В других случаях STS меняла системное время на серверах с базами данных. Тогда начинали происходить сбои при подключении внешних клиентов, а также останавливалась система резервного копирования.
Системные администраторы отправляли отчёты об ошибках STS в Microsoft, однако в службе поддержки им не отвечали или закрывали заявки, так как это не относилось к критическим проблемам безопасности.
По мнению профильных экспертов, дизайн STS основан на фундаментально неверном понимании спецификации TLS. В описании Microsoft STS признаётся , что некоторые реализации SSL вовсе не записывают текущее системное время сервера в поле ServerUnixTime. Вместо этого эти реализации (в основном широко распространенная библиотека OpenSSL) с 2014 года заполняют поле случайными значениями.
В случае проблем с STS специалисты по безопасности и разработчики из Microsoft (неофициально) рекомендуют отключить
эту функцию вручную.
Источник: SecurityLab