Win11 24H2 - UAC 進化? dMSA?

上次我們提到 Print Protected Mode ，除了那個增加的功能，還有新增一些我覺得有趣的，這邊我就一次整理完吧。

UAC 再進化？

大家可能對於 UAC 十分詬病，以前 Win7 剛出大家就是直接設定 Never notify，但隨著時間移動現在大家越來越能接受了，因為大多數的應用程式逐漸不需要高權限才能執行。

但就是這樣功能，在 Win11 迎來了改版？ 十分有趣，我覺得這個功能對於網管蠻有用的。

以前 UAC 只有四種狀態，基本上就是一直提醒、系統設定才提醒、不彈窗、永久關閉

但現在就更細節了！現在有以下的狀態

1. Elevate without prompting: Assumes the administrator will permit the operation without requiring consent or credentials.

2. Prompt for credentials on the secure desktop: Prompts for credentials on a secure desktop.

3. Prompt for consent on the secure desktop: Prompts for consent on a secure desktop.

4. Prompt for credentials: Prompts for credentials without a secure desktop.

5. Prompt for consent: Prompts for consent without a secure desktop.

6. Prompt for consent for non-Windows binaries: Default setting for non-Microsoft application

我覺得對於管理員來說又多了一些彈性可以選，特別是 Prompt for consent for non-Windows binaries ，以前可不能分別 non-Windows binaries ，使用者要嗎就是同意不然就是敲密碼，不能在不同情況做不同的設定。

Delegated Managed Service Account (dMSA)

微軟在 2024 年或 Windows Server 2025 推出的 AD 新功能，真是讓人等候多時！

如果你對 kerberoasting 攻擊有所瞭解，這項新功能可說是網管人員的救星！它專門針對這類攻擊設計。不過，需要 Windows 11 搭配 Windows Server 2025 才能有效運作。

那麼，什麼是 kerberoasting 呢？這是一種攻擊方式，攻擊者會鎖定具有 SPN 的 AD 使用者帳號，發動 TGS request 並且要求用 RC4，但攻擊者獲得使用者密碼加密的 TGS 後可在離線環境中破解出使用者的密碼。

雖然早就可以使用 gMSA/sMSA 來防範這攻擊，但是這次的 dMSA 與以往的 sMSA、gMSA 有哪些不同呢？

雖然過去使用 gMSA/sMSA 可以定期更換密碼，但因為憑證儲存在未受保護的位置。從 Windows Server 2025 開始，只要升級並更新 AD，就能支援 DMSA。並且 dMSA 延續了 gMSA 的概念來限制使用範圍，並結合 Credentials Guard 保護憑證。

此外，DMSA 的遷移流程相容性高，且可將有 SPN 的帳號轉移到 DMSA，從而減少 kerberoasting 攻擊的風險，網管人員也比較容易轉移系統。 以前最大的困擾就是怕服務中斷，但現在透過 dMSA 可以降低這風險。