パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ソフォスのディスク暗号化ツールに不具合、ノートPC紛失によって発覚」記事へのコメント

  • サイボウズの情報もJVNの情報も読みましたが、これってつまり
    Sophos Disk Encryptionをインストールすると常に復帰時の
    Windowsの認証が効かなくなるってことでしょう?

    だとるすと、Sophos Disk Encryptionを導入している企業はみんな
    知ってたんじゃないかなと。
    Sophos的にも「それは仕様です。(`・ω・´)キリッ」みたいな。

    それとも、特定の複合条件(特定HW、OSパッチ等)を満たしたときにのみ
    認証されないんでしょうか。 発表からは読み取れませんでしたが。

    少なくとも、このPCを紛失したサイボウズの中の人やシステム管理者は復帰時に
    認証されないことは知ってたと推測できますけど、どうなんでしょう。
    「会社はパスワード設定しろとかウザいけど、なんか最近認証画面でないしラッキー」
    ぐらいの甘い認識だったのではないでしょうか。
    • Sophosの下記の情報をみると、「POA(Power-on Authentication)」を
      オフにするとWindowsのログイン認証をバイパスするようになる
      みたいですね。
      http://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx

      Sophos Disk Encryptionをインストールして最初にログインした時点で
      Windowsの認証情報をPOAが取得し、以後はPOAが代わりにパスワードを
      入力してくれるようです。

      ユーザーが自分で無効化できる類のものではないようなので
      管理者がPOAを無効にして渡したか、POAのパスワードを
      ユーザー自身が空白にしたかと考えられます。
      どちらにせよ、以前からログイン時にパスワード認証は無かったことを
      認識していた可能性が高いですね。
      まぁ、業務データの運搬・運用についてその程度の認識だったと。
      親コメント
      • そもそもこの機能、何の目的であるんだろう…?
        セキュリティ製品なのに、Window標準のセキュリティを迂回する機能なんて……

        親コメント
        • by Anonymous Coward

          横からですが、Windows側は置き換えられたり追加されている可能性が有ります。 [msdn.com]

          ちなみに内部的にはどうやらSophosのツールの認証>OS起動>Windowsの認証という構成です。
          ただ、そのままだと2回IDとパスワードを入れないといけないので、Sophos側で認証成功すればWindowsの認証を代理で行う機能があるようです。
          その機能が誤って働いてしまうと、本来Windowsの認証が起きるべきパターンでも勝手にSophosのツールがWindowsの認証をして通過してしまうという感じですね。

          • by Anonymous Coward

            本件では、サイボウズ側の説明ではOSの設定を勝手に上書きして認証不要にする事が直接の原因のようです。
            Sophos側のknowledgeだとツールの認証機能自体に不具合が有るようにも読み取れますが技術的詳細が無いため不明です。
            # 「まれにあります」ってなんだ?特定手順で再現性があるなら「確実に発生します」だろうに。

            • by Anonymous Coward
              「特定の手順で常に操作する」ユーザーがまれに居ます
              それ以外の大多数のユーザーにとっては起こりえないバグなのです

              これが「まれによくある」の正体の一つです
      • by Anonymous Coward

        普段使わない環境+スリープなんて使わない運用とかしてたらエンドユーザーは気づかないかもしれない。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...