<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">

<div>Oi Mario,</div>

<div><br>

</div>

<div><span class="Apple-tab-span" style="white-space:pre"></span>Se a máquina já esta adicionada ao domínio, vc pode fazer Machine Authentication e dar acesso (completo ou restrito, dependendo do suporte da infra-estrutura). Se a infra for Cisco, também existe

 a possibilidade de usar o que chamamos de "low-impact mode", onde a porta com 802.1X não fica completamente bloqueada desde o início, vc pode definir uma ACL default permitindo algum tráfego além de EAPOL, e depois trocar a ACL através de downloadable ACLs.</div>

<div><br>

</div>

<div>Abs,</div>

<div>Daniel</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">From: </span>Mario Gama <<a href="mailto:gama.mario@gmail.com">gama.mario@gmail.com</a>><br>

<span style="font-weight:bold">Date: </span>Tuesday, November 27, 2012 4:17 PM<br>

<span style="font-weight:bold">To: </span>"Information Systems Security Association (ISSA) Group Members" <<a href="mailto:associados@issa.org.br">associados@issa.org.br</a>><br>

<span style="font-weight:bold">Subject: </span>[ISSA_Brasil] Dúvida: 1º login no Windows (via AD) + NAC<br>

</div>

<div><br>

</div>

<div>

<div>Pessoal, boa tarde!<br>

<br>

Estou fazendo alguns cambalachos aqui em um teste de NAC, estressando o ambiente, etc e me deparei com o seguinte cenário:<br>

<br>

- Máquina nova recém formatada e sem o perfil do usuário<br>

- Rede com todas as portas com 802.1x<br>

<br>

A máquina no dominio é entregue ao usuário e ele irá tentar se logar, como faz normalmente. Não consegue, pois, o hash da senha não está em "cache" e o perfil ainda não existe no equipamento. O caminho natual seria conectar em uma porta sem 802.1x e fazer o

 primeiro login.<br>

<br>

A  dúvida é, existe cenário possível sem seguir por este caminho mais trivial, e por consequencia não deixar porta alguma sem 802.1x? Alguém já enfrentou este cenário? como atuou no caso?<br>

<br>

Qualquer contribuição será bem vinda.<br>

<br clear="all">

<br>

-- <br>

<p style="font-family:trebuchet ms,sans-serif"><font size="1">Atenciosamente,<b><br>

</b></font></p>

<p style="font-family:trebuchet ms,sans-serif"><font size="1"><b>Mario Gama</b>, MCSO, ITIL, COBIT, JNCIS-SEC, MCP.

<br>

</font></p>

<p style="background-color:rgb(255,255,255);font-family:trebuchet ms,sans-serif">

<font size="1">ISSA BRASIL Member - <font><i><b style="color:rgb(153,0,0)">S</b></i></font><span style="color:rgb(0,0,0)">egurança</span> da

<font><i><b style="color:rgb(153,0,0)">I</b></i></font><span style="color:rgb(0,0,0)">nformação<font><i style="color:rgb(153,0,0)"><b>!</b></i></font></span></font></p>

<br>

</div>

</div>

</span>

</body>

</html>