最近,围绕微软全局管理员及相关批量管理功能,有几条值得关注的新闻:

• Active Directory 新攻击路径曝光 A
安全研究人员发现,Windows Server 2025 的 委托托管服务账户(dMSA)功能存在设计缺陷,低权限用户可利用它批量创建或修改账户属性,从而“继承”域管理员的全部权限。• 攻击者只需修改两个关键属性,就能让新建对象获得目标账户的所有特权。
• 甚至可以批量获取加密凭证,影响整个域控安全。
• 微软目前将其评为中等风险,尚未发布补丁。Akamai 建议严格限制 dMSA 创建权限,并部署审计监控。

• Microsoft 365 管理中心角色安全建议更新 B
微软在最新文档中再次强调:• 减少全局管理员数量,避免为批量任务分配过高权限。
• 对管理员强制启用多重身份验证(MFA)。
• 尽量使用最小权限角色(如密码管理员、支持管理员)来执行批量操作,而非直接使用全局管理员。

• Intune 策略批量配置漏洞 C
有管理员反馈,Intune 在系统更新后会清空之前批量配置的安全策略,导致设备管理出现空窗期。微软正在调查并建议管理员在更新后立即复核策略。