[ISSA_Brasil] Dúvida: 1º login no Windows (via AD) + NAC

[Daniel Garcia (daniegar)]

Oi Mario,

Se a máquina já esta adicionada ao domínio, vc pode fazer Machine Authentication e dar acesso (completo ou restrito, dependendo do suporte da infra-estrutura). Se a infra for Cisco, também existe a possibilidade de usar o que chamamos de "low-impact mode", onde a porta com 802.1X não fica completamente bloqueada desde o início, vc pode definir uma ACL default permitindo algum tráfego além de EAPOL, e depois trocar a ACL através de downloadable ACLs.

Abs,
Daniel

From: Mario Gama <gama.mario em gmail.com<mailto:gama.mario em gmail.com>>
Date: Tuesday, November 27, 2012 4:17 PM
To: "Information Systems Security Association (ISSA) Group Members" <associados em issa.org.br<mailto:associados em issa.org.br>>
Subject: [ISSA_Brasil] Dúvida: 1º login no Windows (via AD) + NAC

Pessoal, boa tarde!

Estou fazendo alguns cambalachos aqui em um teste de NAC, estressando o ambiente, etc e me deparei com o seguinte cenário:

- Máquina nova recém formatada e sem o perfil do usuário
- Rede com todas as portas com 802.1x

A máquina no dominio é entregue ao usuário e ele irá tentar se logar, como faz normalmente. Não consegue, pois, o hash da senha não está em "cache" e o perfil ainda não existe no equipamento. O caminho natual seria conectar em uma porta sem 802.1x e fazer o primeiro login.

A  dúvida é, existe cenário possível sem seguir por este caminho mais trivial, e por consequencia não deixar porta alguma sem 802.1x? Alguém já enfrentou este cenário? como atuou no caso?

Qualquer contribuição será bem vinda.


--

Atenciosamente,

Mario Gama, MCSO, ITIL, COBIT, JNCIS-SEC, MCP.

ISSA BRASIL Member - Segurança da Informação!

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20121127/3d543440/attachment.htm>