<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><font color="#000000">Havia mandado antes mas com outro e-mail rsrs<br id="FontBreak"></font><br><br><font class="ecxApple-style-span"><font face="Geneva, Arial, Sans-serif"><font class="ecxApple-style-span" size="2" face="Tahoma">
</font></font></font> <BR><BR><div><div id="SkyDrivePlaceholder"></div><hr id="stopSpelling">From: thiagovb@outlook.com<br>To: gama.mario@gmail.com; associados@issa.org.br<br>Subject: RE: [ISSA_Brasil] Dúvida: 1º login no Windows (via AD) + NAC <br>Date: Tue, 27 Nov 2012 19:08:47 -0200<br><br>
<style><!--
.ExternalClass .ecxhmmessage P
{padding:0px;}
.ExternalClass body.ecxhmmessage
{font-size:12pt;font-family:Calibri;}
--></style>
<div dir="ltr"><font color="#000000">Boa noite Mário,</font><br> <br> <br>Como disse que qualquer contribuição seria bem vinda, então lá vai rsrsrs.<br> <br> <br>Será que seria possível, através do NAC, Você colocar este computador temporariamente em uma VLAN de "remediação" não exigindo a etapa de autenticação através da porta da switch/roteador e somente dando acesso ao AD/LDAP para efetuar o primeiro login? (Claro que o NAC por segurança deveria também fazer várias validações nesta estação para ela estar dentro desta VLAN, por ex: Se possui antivírus e se este está atualizado, verificar as configurações de segurança do S.O e etc) e após esse primeiro login isso o NAC "voltar" o computador para a sua rede corporativa.<br><br><font class="ecxApple-style-span"><font face="Geneva, Arial, Sans-serif"><font class="ecxApple-style-span" size="2" face="Tahoma">
</font></font></font><br><font size="2" face="Tahoma">Não sei se fui claro, mas qualquer coisa me dê um alô rsrs.</font><br><font size="2" face="Tahoma"></font> <br><font size="2" face="Tahoma"></font> <br><font size="2" face="Tahoma">Abraço.</font><br><font class="ecxApple-style-span"><font face="Geneva, Arial, Sans-serif"><font class="ecxApple-style-span" size="2" face="Tahoma"><div><b><font color="#666666"><br></font></b></div><div><b><font color="#666666"><br></font></b></div><div><font color="#666666">Caro contato, gostaria de informar que meu e-mail e instant messenger foi alterado para </font><font color="#008a17"><b>thiagovb@outlook.com</b></font><font color="#666666">, favor atualizar em sua lista de contatos. Grato.</font></div><div style="color: rgb(23, 54, 93); font-size: 10pt;"><font face="Geneva, Arial, Sans-serif"><font class="ecxApple-style-span" size="2" face="Tahoma"><br></font></font></div><font style="color: rgb(23, 54, 93); font-size: 10pt;" color="#205867">_____________________________________</font></font><br><strong style="color: rgb(23, 54, 93); font-size: 10pt;"><font color="#205867"><font class="ecxApple-style-span" face="Tahoma">Thiago Vaz Berto, ITILv3, ISO27002</font><br></font></strong></font><font style="color: rgb(23, 54, 93); font-size: 12pt;" class="ecxApple-style-span" face="Tahoma"><strong style="font-size: 10pt;"><font color="#205867">Security Analyst / Consultant</font></strong><font class="ecxApple-style-span" size="1"><strong><br><font color="#205867">E-Mail:. </font></strong><font color="#205867">thiagovb[at]outlook.com<br><strong>I.M:.</strong> thiagovb[at]outlook.com</font></font></font></font>
<div style="font-size: 12pt;"><font class="ecxApple-style-span" size="1" face="Tahoma"><font color="#205867"><font class="ecxApple-style-span"><b>Linkedin: </b>http://www.linkedin.com/in/thiagovb<br><strong>Skype: </strong></font>thiago.vb</font></font>
<div style="font-size: 10pt;">
<div><font style="font-size: 10pt;" face="Geneva, Arial, Sans-serif"><br><strong style="font-family: Tahoma;"><font size="2"><span style="font-family: Webdings; font-size: 24pt;"></span><font color="#205867"><span style="font-family: Tahoma; font-size: 7.5pt;">Antes de imprimir</span> <span style="font-family: Tahoma; font-size: 7.5pt;">pense em sua responsabilidade e compromisso com o</span> <span style="font-family: Tahoma; font-size: 7.5pt;">MEIO AMBIENTE.</span> </font></font></strong></font><br><br><br></div></div></div><br> <br><div><div id="ecxSkyDrivePlaceholder"></div><hr id="ecxstopSpelling">From: gama.mario@gmail.com<br>Date: Tue, 27 Nov 2012 16:17:23 -0200<br>To: associados@issa.org.br<br>Subject: [ISSA_Brasil] Dúvida: 1º login no Windows (via AD) + NAC<br><br>Pessoal, boa tarde!<br><br>Estou fazendo alguns cambalachos aqui em um teste de NAC, estressando o ambiente, etc e me deparei com o seguinte cenário:<br><br>- Máquina nova recém formatada e sem o perfil do usuário<br>- Rede com todas as portas com 802.1x<br>
<br>A máquina no dominio é entregue ao usuário e ele irá tentar se logar, como faz normalmente. Não consegue, pois, o hash da senha não está em "cache" e o perfil ainda não existe no equipamento. O caminho natual seria conectar em uma porta sem 802.1x e fazer o primeiro login.<br>
<br>A dúvida é, existe cenário possível sem seguir por este caminho mais trivial, e por consequencia não deixar porta alguma sem 802.1x? Alguém já enfrentou este cenário? como atuou no caso?<br><br>Qualquer contribuição será bem vinda.<br>
<br clear="all"><br>-- <br><p style="font-family: trebuchet ms,sans-serif;"><font size="1">Atenciosamente,<b><br></b></font></p><p style="font-family: trebuchet ms,sans-serif;"><font size="1"><b>Mario Gama</b>, MCSO, ITIL, COBIT, JNCIS-SEC, MCP. <br>
</font></p><p style="font-family: trebuchet ms,sans-serif; background-color: rgb(255, 255, 255);"><font size="1">ISSA BRASIL Member - <i><b style="color: rgb(153, 0, 0);">S</b></i><span style="color: rgb(0, 0, 0);">egurança</span> da <i><b style="color: rgb(153, 0, 0);">I</b></i><span style="color: rgb(0, 0, 0);">nformação<i style="color: rgb(153, 0, 0);"><b>!</b></i></span></font></p>
<br>
<br>_______________________________________________
Associados mailing list
Associados@issa.org.br
http://issa.org.br/mailman/listinfo/associados_issa.org.br</div> </div></div> </div></body>
</html>