Bonjour à tous ,
 
dans un avenir proche nous comptons mettre en place un netasq u70, qui aura pour rôle de filtrer les connexion, les tracer, et les authentifier. Sur le système actuel, nous avons constaté que les utilisateurs branchent leurs ordinateurs personnels, ce qui est interdit chez nous. Ma question est donc : pouvons-nous avec le netasq mettre en place un "filtrage" qui empêcherait une machine ramenée de l'extérieur d'accéder au réseau ?  
 
nous avons imaginé deux solutions :
 
- Double authentification, par login/mdp ET par certificat ssl, néanmoins comment empêcher que les utilisateurs installent le certificat par eux meme ?
 
- OU filtrage par adresse MAC ; cette deuxième solution me plait, mais savez-vous si c'est réalisable sur le netasq ?  
 
Merci d'avance

bonjour,

je ne connais pas votre infra mais des outils comme NAP dispo sur du windows server 2008 r2 peuvent tres bien faire le boulot. en clair le pc  n'a acces a rien si certains critères ne sont pas validés comme par exemple : antivirus a jour, nom de poste etc. il y a plein de critères a definir.

A voir si cela pourrait convenir.

Merci pour le retour je vais chercher de ce côté la car j'ai beau retourner le netasq dans tous les sens je trouve rien qui s'approcherait de ça ^^

Le rôle nap est une très bonne idée mais attebtion a bien analyser sa mise en ouvre pour pas bloquer les utilisateurs !

non, ne pas mettre nap en place, c'est déprécié, n'existe plus dans windows 10/vnext.

Il y a quoi qui a été mise en place du cou ? (Et hop la partie sccm de moins a apprendre ! )

Rien

ou alors si tes postes ont les ip via du dhcp
tu ne file les ip que sur les adresse mac connu.
toutes ces méthodes vont rigidifier ton réseau...
Sinon tu met une charte informatique et tu dit de pas faire ça, c'est pas bien !!!

Déterrage, mais si cela peut en aider d'autres.  
 
Dans le cas où tu utiliserais un AD et pas de TSE.
 
Authentification SSO, seul les utilisateurs authentifiés pourront surfer et donc les postes qui ne seront pas dans le domaine ne sortiront pas.
L'avantage du SSO >> c'est transparent pour les utilisateurs
 
Attention, par défaut sur un domaine AD, les utilisateurs peuvent ajouter 10 postes dans le domaine.
Deux méthode pour change cela :
 - Changer la valeur de l'attribut "ms-DS-MachineAccountQuota"
 - GPO >> Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs > Ajouter des stations de travail au domaine

Je confirme, l'agent SSO de la suite Stormshield est très efficace, j'ai mis en place cette solution et je rencontre peu de problemes depuis la mise en fonctionnement.