[ISSA_Brasil] FW: Dúvida: 1º login no Windows (via AD) + NAC

Thiago - SP thiagovb em msn.com
Terça Novembro 27 19:10:43 -03 2012 

Havia mandado antes mas com outro e-mail rsrs


 From: thiagovb em outlook.com
To: gama.mario em gmail.com; associados em issa.org.br
Subject: RE: [ISSA_Brasil] Dúvida: 1º login no Windows (via AD) + NAC 
Date: Tue, 27 Nov 2012 19:08:47 -0200




Boa noite Mário,
 
 
Como disse que qualquer contribuição seria bem vinda, então lá vai rsrsrs.
 
 
Será que seria possível, através do NAC, Você colocar este computador temporariamente em uma VLAN de "remediação" não exigindo a etapa de autenticação através da porta da switch/roteador e somente dando acesso ao AD/LDAP para efetuar o primeiro login? (Claro que o NAC por segurança deveria também fazer várias validações nesta estação para ela estar dentro desta VLAN, por ex: Se possui antivírus e se este está atualizado, verificar as configurações de segurança do S.O e etc) e após esse primeiro login isso o NAC "voltar" o computador para a sua rede corporativa.



Não sei se fui claro, mas qualquer coisa me dê um alô rsrs.
 
 
Abraço.


Caro contato, gostaria de informar que meu e-mail e instant messenger foi alterado para thiagovb em outlook.com, favor atualizar em sua lista de contatos. Grato.
_____________________________________
Thiago Vaz Berto, ITILv3, ISO27002
Security Analyst / Consultant
E-Mail:. thiagovb[at]outlook.com
I.M:. thiagovb[at]outlook.com
Linkedin: http://www.linkedin.com/in/thiagovb
Skype: thiago.vb


Antes de imprimir pense em sua responsabilidade e compromisso com o MEIO AMBIENTE. 



 
From: gama.mario em gmail.com
Date: Tue, 27 Nov 2012 16:17:23 -0200
To: associados em issa.org.br
Subject: [ISSA_Brasil] Dúvida: 1º login no Windows (via AD) + NAC

Pessoal, boa tarde!

Estou fazendo alguns cambalachos aqui em um teste de NAC, estressando o ambiente, etc e me deparei com o seguinte cenário:

- Máquina nova recém formatada e sem o perfil do usuário
- Rede com todas as portas com 802.1x



A máquina no dominio é entregue ao usuário e ele irá tentar se logar, como faz normalmente. Não consegue, pois, o hash da senha não está em "cache" e o perfil ainda não existe no equipamento. O caminho natual seria conectar em uma porta sem 802.1x e fazer o primeiro login.



A  dúvida é, existe cenário possível sem seguir por este caminho mais trivial, e por consequencia não deixar porta alguma sem 802.1x? Alguém já enfrentou este cenário? como atuou no caso?

Qualquer contribuição será bem vinda.



-- 
Atenciosamente,
Mario Gama, MCSO, ITIL, COBIT, JNCIS-SEC, MCP. 


ISSA BRASIL Member - Segurança da Informação!






_______________________________________________
Associados mailing list
Associados em issa.org.br
http://issa.org.br/mailman/listinfo/associados_issa.org.br 		 	   		   		 	   		  
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20121127/727b96f8/attachment.htm>

Mais detalhes sobre a lista de discussão Associados