頭を悩ませる状況に直面しています。Outlook から Windows セキュリティ ポップアップが表示され、[キャンセル] をクリックしたり、Outlook からサインアウト/サインインした後でも、ポップアップが表示され続けると報告してきたユーザーがいます。
幸いなことに、ユーザーは資格情報を入力していませんでした。
以下は、セキュリティの観点から確認した事項です。
- 解析ツールを使用して画像内の URL を確認しました。悪意のあるものは何も返されませんでした。
- URL「http://cdn.goalline.ca」を確認したところ、「https://stacksports.goalline.ca/」にリダイレクトされていました。そこにも悪意のあるものはありませんでした。
- ドメイン cdn.goalline.ca をチェックしましたが、悪意のあるものはありませんでした。20 年前に登録されたようで、2002 年に設立されたと記載されている stacksports サイトと一致しています。
- エンタープライズ AV、MS Defender をチェックしましたが、悪意のあるものは何も返されませんでした。
なぜこれがユーザーに対してポップアップし続けるのか、誰か教えてくれませんか? また、これが再発しないようにするにはどうすればいいでしょうか?
答え1
これは単なる ical フィードです。ユーザーはこのカレンダーを購読しているか、Outlook クライアントで RSS 購読している必要があります。
おそらく、ユーザー認証に依存する何らかのアウトバウンド Web プロキシまたはフィルターがあるためにポップアップが表示されるのだと思います。これは私の推測ですが、その URL にアクセスしても認証は不要です。ただし、より明確な状況を把握するには、境界デバイスのログをチェックするか、ユーザーの PC で Wireshark を実行する必要があります。
これを削除するには、認証の問題を見つけて修正するか、リソースから登録解除するだけです。Outlook のバージョンによっては、これは [アカウント] の下に表示され、次のようになります (私のバージョンは空です)。カレンダー内または RSS フィード内に表示されます。
スクリーンショットの URL は次のとおりです: http://cdn.goalline.ca/subscribe_ical.php?cal=6eee1-201407-201408-31153-1721
答え2
Windows 10 および 11 では、これで頭痛の種が解決しました:
次のキーがある場合は、Windows レジストリを確認してください。
- HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\EnableADAL がゼロに設定されています。
- HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\DisableADALatopWAMOverride が 1 に設定されています。
ある場合はバックアップして削除してください
次に: -> Windows キー + I -> アカウント -> 職場または学校にアクセスする
ここでExchange 365アカウントを見つけます -> 切断します
これで、標準の Exchange 365 資格情報ウィンドウが表示されます。
注: 私の場合、絶望して、この前にOutlookプロファイルを削除しました。これが必須かどうかはわかりません。注2: 英語が下手で申し訳ありません