Запретить пользователям изменять дату и время в Windows 10
В большинстве случаев пользователи Windows могут изменять дату и время, особенно в однопользовательском сценарии, где у него есть права администратора. Тем не менее, если у вас есть случай, когда вы являетесь администратором и не хотите, чтобы кто-либо изменял дату и время, вы можете легко запретить пользователям изменять дату и время в Windows 10. Этот сценарий очень распространен в компании. где администраторы должны убедиться, что все компьютеры синхронизированы для работы приложений. Это также гарантирует, что безопасность на уровне. Одним из способов является создание только стандартной учетной записи пользователя, но если у вас несколько администраторов, вы можете запретить всем им изменять дату и время в Windows 10, кроме вас самих.
Если вы хотите заблокировать системное время и дату, вы можете запретить пользователям изменять дату и время в Windows 10 с помощью реестра или групповой политики. Вы также можете отключить его для одного конкретного пользователя. Прежде чем мы продолжим, убедитесь, что вы создали точку восстановления системы — которая будет полезна, если что-то пойдет не так.
Запретить пользователям изменять дату и время
Есть два способа сделать это. Один из них, где вы меняете ключи реестра, а второй — групповая политика администратора. Вам понадобится версия Pro, Education и Enterprise для групповой политики.
1. Запретить пользователям изменять дату и время с помощью редактора реестра.
Откройте приглашение на запуск (Windows Key + R), затем введите regedit и нажмите Enter, чтобы открыть Редактор реестра.
Перейдите к следующей клавише:
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \
Проверьте, есть ли у вас панель управления \ International . Если нет, щелкните правой кнопкой мыши Microsoft и выберите «Создать»> «Ключ». Назовите этот ключ как Панель управления . Затем снова щелкните правой кнопкой мыши на панели управления, а затем создайте еще один ключ и назовите его Международный.
Теперь щелкните правой кнопкой мыши на International и выберите New> DWORD (32-bit).
Назовите этот вновь созданный DWORD как PreventUserOverrides , затем дважды щелкните его и присвойте ему значение 1 . Варианты:
- 0 = включить (разрешить пользователям изменять дату и время)
- 1 = отключить (запретить пользователям изменять дату и время)
Аналогично, выполните ту же процедуру внутри следующего местоположения:
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Политики \ Microsoft \ Панель управления \ Международный
После завершения закройте все и перезагрузите компьютер, чтобы сохранить изменения.
2. Запретить пользователям изменять дату и время с помощью редактора групповой политики.
Примечание. Редактор локальной групповой политики недоступен для пользователей Windows 10 Home Edition, поэтому этот метод предназначен только для пользователей версий Pro, Education и Enterprise.
Откройте командную строку (Windows Key + R), затем введите gpedit.msc и нажмите Enter.
Перейдите к Конфигурации компьютера> Административные шаблоны> Система> Locale Services.
Дважды нажмите Запретить переопределение пользователем настроек локали .
Чтобы включить изменение формата даты и времени для всех пользователей: выберите Не настроено или Отключено.
Чтобы отключить изменение форматов даты и времени для всех пользователей: выберите Включено.
Применить, а затем нажмите кнопку ОК и выйдите. Перезагрузите вашу систему.
Это изменение политики будет препятствовать тому, чтобы пользователь настраивал свой языковой стандарт, изменяя свои пользовательские переопределения. В случае, если есть какие-либо пользовательские настройки, он переопределит их. Сначала вам нужно будет сбросить его, а затем изменится локальная политика.
Теперь вот одна вещь, которую вы должны знать. Когда он включен, то есть режим предотвращения, локальные пользователи могут по-прежнему выбирать альтернативные локали, установленные в системе, если это не запрещено другими политиками. Однако они не смогут настроить этот выбор.
Недостаток этой системы в том, что она будет применяться для всех. Если вы хотите сделать это для одного пользователя, нам нужно установить эту политику для каждого пользователя, убедитесь, что для политики перед компьютером задано значение Не настроено.
3. Запретите конкретному пользователю изменять дату и время с помощью редактора групповой политики.
Для этого нам потребуется загрузить редактор объектов групповой политики из консоли управления Microsoft.
Откройте mmc.exe в командной строке. Это запустит консоль MMC.
Нажмите «Файл»> «Добавить/удалить оснастку»> «Добавить редактор объектов групповой политики» и нажмите кнопку «Добавить».
В появившемся диалоговом окне нажмите «Обзор».
Нажмите вкладку «Пользователи» и выберите пользователя.
Теперь следуйте по тому же пути, но в разделе Конфигурация пользователя > Административные шаблоны> Система> Службы локали.
Дважды нажмите Запретить переопределение пользователем настроек локали .
Чтобы включить изменение формата даты и времени для всех пользователей: выберите Не настроено или Отключено.
Чтобы отключить изменение форматов даты и времени для всех пользователей: выберите Включено.
Последний метод является наиболее эффективным, поскольку вы можете настроить таргетинг на одного конкретного пользователя вместо одного конкретного администратора. Поскольку пользователи растут, некоторые из них идеально подходят для администрирования, а другие еще учатся. Вот почему вам нужно отключить затем для каждого пользователя, а не для всех пользователей на ПК.
Изменение параметров политики безопасности системного времени Change the system time — security policy setting
Область применения Applies to
В этой статье описаны рекомендации, расположение, значения, Управление политиками и вопросы безопасности для изменения параметра политики безопасности системного времени . Describes the best practices, location, values, policy management, and security considerations for the Change the system time security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие пользователи могут настраивать время на внутреннем часах устройства. This policy setting determines which users can adjust the time on the device’s internal clock. Это право позволяет пользователю компьютера изменить дату и время, связанные с записями в журналах событий, транзакциями базы данных и файловой системой. This right allows the computer user to change the date and time associated with records in the event logs, database transactions, and the file system. Это право также требуется процесс, который выполняет синхронизацию времени. This right is also required by the process that performs time synchronization. Этот параметр не влияет на возможность пользователя изменять часовой пояс и другие характеристики системного времени. This setting does not impact the user’s ability to change the time zone or other display characteristics of the system time. Сведения о назначении права на смену часового пояса можно найти в статье Изменение часового пояса. For info about assigning the right to change the time zone, see Change the time zone.
Константа: SeSystemtimePrivilege Constant: SeSystemtimePrivilege
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Не определено Not Defined
Рекомендации Best practices
- Ограничьте смену пользовательского права на использование системного времени для пользователей с легальным изменением системного времени. Restrict the Change the system time user right to users with a legitimate need to change the system time.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
По умолчанию все пользователи и группы локальных служб обладают этим правом на рабочих станциях и серверах. By default, members of the Administrators and Local Service groups have this right on workstations and servers. Пользователи, операторы сервера и локальные группы служб обладают этим правом на контроллерах домена. Members of the Administrators, Server Operators, and Local Service groups have this right on domain controllers.
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not Defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Администраторы Administrators Операторы сервера Server Operators Локальная служба Local Service |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Администраторы Administrators Локальная служба Local Service |
| Параметры по умолчанию, действующие на контроллере домена DC Effective Default Settings | Администраторы Administrators Операторы сервера Server Operators Локальная служба Local Service |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Администраторы Administrators Локальная служба Local Service |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Администраторы Administrators Локальная служба Local Service |
Управление политикой Policy management
В этом разделе описаны возможности, инструменты и рекомендации, которые помогут вам управлять этой политикой. This section describes features, tools and guidance to help you manage this policy.
Перезагрузка устройства не требуется, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Групповая политика Group Policy
Параметры применяются в указанном ниже порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Если локальная настройка недоступна, это указывает на то, что объект GPO, который в настоящее время управляет этим параметром. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Пользователи, которые могут изменять время на компьютере, могут вызвать несколько проблем. Users who can change the time on a computer could cause several problems. Пример For example:
- Временные метки в записях журнала событий можно сделать неточными Time stamps on event log entries could be made inaccurate
- Метки времени для файлов и папок, которые вы создаете или изменяете, могут быть неправильными Time stamps on files and folders that are created or modified could be incorrect
- Компьютеры, входящие в домен, не могут пройти проверку подлинности Computers that belong to a domain might not be able to authenticate themselves
- Пользователи, пытающиеся войти в домен с устройств с неправильным временным временем, не смогут проходить проверку подлинности. Users who try to log on to the domain from devices with inaccurate time might not be able to authenticate.
Кроме того, поскольку протокол проверки подлинности Kerberos требует, чтобы время запроса и проверяющего данные были синхронизированы в течение определенного периода времени, злоумышленник может заставить компьютер не получить или предоставить билеты протоколов Kerberos. Also, because the Kerberos authentication protocol requires that the requester and authenticator have their clocks synchronized within an administrator-defined skew period, an attacker who changes a device’s time may cause that computer to be unable to obtain or grant Kerberos protocol tickets.
Риск для этих типов событий уменьшается на большинстве контроллеров домена, рядовых серверов и компьютеров конечных пользователей, так как служба времени Windows автоматически синхронизирует время с контроллерами домена следующими способами: The risk from these types of events is mitigated on most domain controllers, member servers, and end-user computers because the Windows Time Service automatically synchronizes time with domain controllers in the following ways:
- Все настольные клиентские устройства и серверы-участники используют для проверки подлинности контроллер домена в качестве входящего в него почтового партнера. All desktop client devices and member servers use the authenticating domain controller as their inbound time partner.
- Все контроллеры домена в домене применяют хозяина операций эмулятора основного контроллера домена (PDC) в качестве входного партнера по времени. All domain controllers in a domain nominate the primary domain controller (PDC) emulator operations master as their inbound time partner.
- Все хозяева операций эмулятора PDC следуют иерархии доменов в выборе их входного партнера по времени. All PDC emulator operations masters follow the hierarchy of domains in the selection of their inbound time partner.
- Хозяин операций эмулятора PDC в корне домена является полномочным для Организации. The PDC emulator operations master at the root of the domain is authoritative for the organization. Поэтому рекомендуется настроить этот компьютер для синхронизации с надежным внешним сервером времени. Therefore, we recommend that you configure this computer to synchronize with a reliable external time server.
Эта уязвимость становится гораздо более серьезной, если злоумышленник может изменить системное время, а затем остановить службу времени Windows или настроить ее для синхронизации с неточным сервером времени. This vulnerability becomes much more serious if an attacker is able to change the system time and then stop the Windows Time Service or reconfigure it to synchronize with a time server that is not accurate.
Противодействие Countermeasure
Ограничьте изменение пользователем системного времени для пользователей с легальным изменением системного времени, например участниками ИТ-группы. Restrict the Change the system time user right to users with a legitimate need to change the system time, such as members of the IT team.
Возможное влияние Potential impact
Это не должно влиять на то, что синхронизация времени для большинства организаций должна быть полностью автоматизирована для всех компьютеров, принадлежащих домену. There should be no impact because time synchronization for most organizations should be fully automated for all computers that belong to the domain. Компьютеры, не входящие в домен, должны быть настроены для синхронизации с внешним источником, таким как веб-служба. Computers that do not belong to the domain should be configured to synchronize with an external source, such as a web service.