アカウント名:
パスワード:
そもそもこの機能、何の目的であるんだろう…?セキュリティ製品なのに、Window標準のセキュリティを迂回する機能なんて……
横からですが、Windows側は置き換えられたり追加されている可能性が有ります。 [msdn.com]
ちなみに内部的にはどうやらSophosのツールの認証>OS起動>Windowsの認証という構成です。ただ、そのままだと2回IDとパスワードを入れないといけないので、Sophos側で認証成功すればWindowsの認証を代理で行う機能があるようです。その機能が誤って働いてしまうと、本来Windowsの認証が起きるべきパターンでも勝手にSophosのツールがWindowsの認証をして通過してしまうという感じですね。
本件では、サイボウズ側の説明ではOSの設定を勝手に上書きして認証不要にする事が直接の原因のようです。Sophos側のknowledgeだとツールの認証機能自体に不具合が有るようにも読み取れますが技術的詳細が無いため不明です。# 「まれにあります」ってなんだ?特定手順で再現性があるなら「確実に発生します」だろうに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
脆弱性には以前から気がついてたんじゃないの? (スコア:5, すばらしい洞察)
Sophos Disk Encryptionをインストールすると常に復帰時の
Windowsの認証が効かなくなるってことでしょう?
だとるすと、Sophos Disk Encryptionを導入している企業はみんな
知ってたんじゃないかなと。
Sophos的にも「それは仕様です。(`・ω・´)キリッ」みたいな。
それとも、特定の複合条件(特定HW、OSパッチ等)を満たしたときにのみ
認証されないんでしょうか。 発表からは読み取れませんでしたが。
少なくとも、このPCを紛失したサイボウズの中の人やシステム管理者は復帰時に
認証されないことは知ってたと推測できますけど、どうなんでしょう。
「会社はパスワード設定しろとかウザいけど、なんか最近認証画面でないしラッキー」
ぐらいの甘い認識だったのではないでしょうか。
Re: (スコア:3, 参考になる)
オフにするとWindowsのログイン認証をバイパスするようになる
みたいですね。
http://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx
Sophos Disk Encryptionをインストールして最初にログインした時点で
Windowsの認証情報をPOAが取得し、以後はPOAが代わりにパスワードを
入力してくれるようです。
ユーザーが自分で無効化できる類のものではないようなので
管理者がPOAを無効にして渡したか、POAのパスワードを
ユーザー自身が空白にしたかと考えられます。
どちらにせよ、以前からログイン時にパスワード認証は無かったことを
認識していた可能性が高いですね。
まぁ、業務データの運搬・運用についてその程度の認識だったと。
Re: (スコア:1)
そもそもこの機能、何の目的であるんだろう…?
セキュリティ製品なのに、Window標準のセキュリティを迂回する機能なんて……
Re:脆弱性には以前から気がついてたんじゃないの? (スコア:0)
横からですが、Windows側は置き換えられたり追加されている可能性が有ります。 [msdn.com]
ちなみに内部的にはどうやらSophosのツールの認証>OS起動>Windowsの認証という構成です。
ただ、そのままだと2回IDとパスワードを入れないといけないので、Sophos側で認証成功すればWindowsの認証を代理で行う機能があるようです。
その機能が誤って働いてしまうと、本来Windowsの認証が起きるべきパターンでも勝手にSophosのツールがWindowsの認証をして通過してしまうという感じですね。
Re: (スコア:0)
本件では、サイボウズ側の説明ではOSの設定を勝手に上書きして認証不要にする事が直接の原因のようです。
Sophos側のknowledgeだとツールの認証機能自体に不具合が有るようにも読み取れますが技術的詳細が無いため不明です。
# 「まれにあります」ってなんだ?特定手順で再現性があるなら「確実に発生します」だろうに。
Re: (スコア:0)
それ以外の大多数のユーザーにとっては起こりえないバグなのです
これが「まれによくある」の正体の一つです