目次
概要
このドキュメントでは、WindowsマシンのAdd/RemoveプログラムリストでAnyConnect LockdownとHide AnyConnectを有効にするために必要な手順について説明します。
著者:Cisco TACエンジニア、Christian G. Hernandez R
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco ASA バージョン 9.14.2.13
- Cisco Adaptive Security Device Manager(ASDM)バージョン 7.14.1
- Cisco AnyConnectバージョン4.9.04053および4.9.06037
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
AnyConnect Lockdown for Windows:シスコでは、エンドユーザに対して制限付き権限を付与することを推奨します。 Cisco AnyConnect セキュア モビリティ クライアント デバイスに接続しますエンドユーザが追加の権限を保証する場合、インストーラはロックダウン機能を提供し、ユーザやローカル管理者がAnyConnectサービスをオフまたは停止するのを防止できます。
AnyConnectロックダウン機能を有効にするには、次の3つのオプションがあります。
1. Windowsコマンドプロンプト端末からのMSIインストーラ。
2. AnyConnect導入前パッケージインストールウィザードのロックダウンオプション。
3. ASDM – サンプルインストーラのロックダウン変換ファイルをASAにインポートします。
Windowsの[プログラムの追加と削除]リストからAnyConnectを非表示にする:インストールされているAnyConnectモジュールを、Windowsコントロールパネルの[プログラムのアンインストール]の[プログラムの追加と削除]リストから非表示にできます。
[Add/Remove program list]機能から[Hide AnyConnect]を有効にするには、次の2つのオプションがあります。
1. Windowsコマンドプロンプト端末からのMSIインストーラ。
2. ASDM – サンプルインストーラhide-addremove変換ファイルをASAにインポートします。
設定
ネットワーク図
AnyConnectロックダウンの設定
Windowsコマンドプロンプト端末からのMSIインストーラ。
設定手順
ステップ1:Windows用のAnyConnect導入前パッケージファイルをダウンロードします。
ステップ1.1シスコソフトウェアダウンロードページに移動し、AnyConnectバージョンをダウンロードしてWindowsマシンにインストールします。
この例では、個々のMSIを含むWindows AnyConnect導入前パッケージをダウンロードします バージョン4.9.04053のファイル(anyconnect-win-4.9.04053-predeploy-k9.zip)。
ステップ2:Windows用のAnyConnectインストーラ変換ファイルをダウンロードします。
ステップ2.1シスコのソフトウェアダウンロードページに移動し、Windowsマシンにインストールする同じAnyConnectバージョンに一致するWindows用のAnyConnect Installer Transformsファイルをダウンロードします。
この例では、AnyConnectバージョン4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)の変換ファイルをダウンロードします。
ステップ3:ダウンロードしたAnyConnectファイルを別のフォルダに解凍します。
ステップ3.1 anyconnect-win-4.9.04053-predeploy-k9.zipファイルは、次のフォルダパスC:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9に解凍されます。
ステップ3.2 tools-anyconnect-win-4.9.04053-transforms.zipファイルは次のフォルダパスC:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053 – トランスフォームに解凍されます。
ステップ4:AnyConnectロックダウン変換ファイルを、AnyConnect MSIインストーラファイルと同じフォルダにコピーアンドペーストします。
ステップ4.1 tools-anyconnect-win-4.9.04053-transformsフォルダからは、_anyconnect-win-lockdown.mst lockdownトランスフォームファイルをコピーし、次のようにanyconnect-win-4.9.04053-predeploy-k9フォルダに貼り付けます。
ステップ5:MSI AnyConnectインストールファイルを持つフォルダパスにCDを挿入します。
ステップ5.1 Windowsのコマンドプロンプト端末を開き、MSI AnyConnectインストールファイルおよびMSI AnyConnectのフォルダパスにcdして、上記の手順でコピー/貼り付けられた変換ファイルを格納します。
この例では、次のフォルダパスC:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9にcdを挿入します。
ステップ6:ロックダウン変換ファイルを含むAnyConnectモジュールをインストールします。
ステップ6.1 I
次のMSIインストーラコマンドで必要な各AnyConnectモジュールをインストールします。このコマンドは、AnyConnect .msiモジュールファイルと_anyconnect-win-lockdown.mstロックダウン変換ファイルを指定します。
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
注:LOCKDOWN値を「1」に設定すると、AnyConnectモジュールのロックダウン機能がインストールできるようになります。
注:このプロパティを設定するために提供されるサンプル変換ファイルを使用し、ロックするモジュールごとに各MSIインストーラに変換を適用することをお勧めします。サンプル変換はCisco AnyConnect Secure Mobility Clientソフトウェアダウンロードページからダウンロードできます。
注:コアクライアントと1つ以上のオプションモジュールを展開する場合は、各インストーラにLOCKDOWNプロパティを適用する必要があります。この操作は1つの方法でのみ行われ、製品を再インストールしない限り削除できません。
ステップ6.2この例では、AnyConnect COREおよびVPNモジュールと_anyconnect-win-lockdown.mst lockdownトランスフォームファイルをインストールします。両方ともAnyConnectバージョン4.9.04053のファイルと一致します。
msiexec -i anyconnect-win-4.9.04053-core-vpn-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
ステップ6.3この例では、AnyConnect Umbrella Roaming Securityモジュールと_anyconnect-win-lockdown.mst lockdownトランスフォームファイルをインストールします。両方ともAnyConnectバージョン4.9.04053のファイルと一致します。
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
AnyConnectのロックダウンオプション 導入前パッケージ インストールウィザード。
設定手順
ステップ1:Windows用のAnyconnect導入前パッケージファイルをダウンロードします。
ステップ1.1シスコソフトウェアダウンロードページに移動し、AnyConnectバージョンをダウンロードしてWindowsマシンにインストールします。
この例では、バージョン4.9.04053の個々のMSIファイル(anyconnect-win-4.9.04053-predeploy-k9.zip)を含むWindows AnyConnect導入前パッケージをダウンロードします。
ステップ2:AnyConnectセットアップファイルを開きます。
ステップ2.1 anyconnect-win-4.9.04053-pre-deploy-k9.zipファイルを解凍し、それを開きます。
ステップ2.2次に、AnyConnectセットアップファイルをダブルクリックします。
ステップ3:AnyConnectインストールウィザードを使用します。
ステップ3.1表示されたオプションから、インストールするAnyConnectモジュールを選択します。
この例では、AnyConnect CORE & VPNモジュールとUmbrella Roamingセキュリティモジュールを選択します。
ステップ4:AnyConnectロックダウン機能を有効にします。
ステップ4.1 CORE & VPNとUmbrella Roaming Securityモジュールの両方のロックダウン機能を有効にするには、[Lock Down Component Services]オプションを選択して、インストールを続行します。
ステップ5:AnyConnectモジュールのインストールを確認します。
ステップ5.1 AnyConnectモジュールのインストールは、次のメッセージが表示されたら100 %で完了します。
[Add/Remove Program List]からの[Hide AnyConnect]の設定
Windowsコマンドプロンプト端末からのMSIインストーラ。
設定手順
ステップ1:Windows用のAnyConnect導入前パッケージファイルをダウンロードします。
ステップ1.1シスコソフトウェアダウンロードページに移動し、AnyConnectバージョンをダウンロードしてWindowsマシンにインストールします。
この例では、個々のMSIを含むWindows AnyConnect導入前パッケージをダウンロードします バージョン4.9.04053のファイル(anyconnect-win-4.9.04053-predeploy-k9.zip)。
ステップ2:Windows用のAnyConnectインストーラ変換ファイルをダウンロードします。
ステップ2.1シスコのソフトウェアダウンロードページに移動し、Windowsマシンにインストールする同じAnyConnectバージョンに一致するWindows用のAnyConnect Installer Transformsファイルをダウンロードします。
この例では、AnyConnectバージョン4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)の変換ファイルをダウンロードします。
ステップ3:ダウンロードしたAnyConnectファイルを別のフォルダに解凍します。
ステップ3.1 anyconnect-win-4.9.04053-predeploy-k9.zipファイルは、次のフォルダパスC:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9に解凍されます。
ステップ3.2 tools-anyconnect-win-4.9.04053-transforms.zipファイルは次のフォルダパスC:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053 – トランスフォームに解凍されます。
ステップ4:AnyConnect hide-addremove変換ファイルを、AnyConnect MSIインストーラファイルと同じフォルダにコピーアンドペーストします。
ステップ4.1 tools-anyconnect-win-4.9.04053-transformsフォルダからは、_anyconnect-win-hide-addremove-display.msttransformsファイルをコピーし、次のようにanyconnect-win-4.9.04053-predeploy-k9フォルダに貼り付けます。
ステップ5:MSI AnyConnectインストールファイルを持つフォルダパスにCDを挿入します。
ステップ5.1 Windowsのコマンドプロンプト端末を開き、MSI AnyConnectインストールファイルおよびMSI AnyConnectのフォルダパスにcdして、上記の手順でコピー/貼り付けられたファイルを_anyconnect-win-hide-addremove-display.mst変換します。
この例では、次のフォルダパスC:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9にcdを挿入します。
ステップ6:hide-addremoveトランスフォームを含むAnyConnectモジュールをインストールします。
ステップ6.1 I
次のMSIインストーラコマンドで必要な各AnyConnectモジュールをインストールします。このコマンドは、AnyConnect .msiモジュールファイルおよび_anyconnect-win-hide-addremove-display.mstトランスフォームファイルを指します。
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
注:ARPSYSTEMCOMPONENT値が「1」に設定されている場合、AnyConnectモジュールのAdd/Remove Program List機能からAnyConnectをインストールできます。
注:このプロパティを設定するために提供されるサンプル変換ファイルを使用し、非表示にするモジュールごとに各MSIインストーラに変換を適用することをお勧めします。サンプル変換はCisco AnyConnect Secure Mobility Clientソフトウェアダウンロードページからダウンロードできます。
注:コアクライアントと1つ以上のオプションモジュールを展開する場合は、各インストーラにHIDE-AnyConnectプロパティを適用する必要があります。この操作は1つの方法でのみ行われ、製品を再インストールしない限り削除できません。
ステップ6.2この例では、AnyConnect COREおよびVPNモジュールと_anyconnect-win-hide-addremove-display.mst変換ファイルをインストールします。両方ともAnyConnectバージョン4.9.04053のファイルと一致します。
ステップ6.3この例では、AnyConnect Umbrella Roaming Securityモジュールと_anyconnect-win-hide-addremove-display.mst変換ファイルをインストールします。両方ともAnyConnectバージョン4.9.04053のファイルと一致します。
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
ASDMを使用したAnyConnectロックダウンおよびAdd/Remove Program ListからのAnyConnectの非表示の設定
この手順は、AnyConnect Web導入の更新にのみ適用されます。この例では、バージョン4.9.04053から4.9.0.6037へのAnyConnect Web導入の更新が考慮されています。
設定手順
ステップ1:Windowsマシンで実行されているAnyConnectバージョンを確認します。
ステップ1.1この例のWindowsマシンには、Core & VPNおよびUmbrella Roaming Security(UMR)モジュールの両方に対してAnyConnectバージョン4.9.04053がすでにインストールされています。
ステップ2:Windows用のAnyConnectヘッドエンド導入パッケージファイルをダウンロードします。
ステップ2.1シスコのソフトウェアダウンロードページに移動し、AnyConnectヘッドエンド導入パッケージファイルのバージョンをダウンロードして、Web導入アップデート用にWindowsマシンにインストールします。
この例では、Windows AnyConnectヘッドエンド導入パッケージをダウンロードします バージョン4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg)
ステップ3:Windows用のAnyConnectインストーラ変換ファイルをダウンロードします。
ステップ3.1シスコのソフトウェアダウンロードページに移動し、Windowsマシンにインストールする同じAnyConnectバージョンに一致するWindows用のAnyConnect Installerトランスフォームファイルをダウンロードします。
この例では、AnyConnectバージョン4.9.06037(tools-anyconnect-win-4.9.06037-transforms.zip)の変換ファイルをダウンロードします。
ステップ4:ダウンロードしたAnyConnect変換ファイルを解凍します。
ステップ4.1 T
he tools-anyconnect-win-4.9.06037-transforms.zipファイルは次のフォルダパスC:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-トランスフォームに解凍されます。
ステップ5:ASDMを開き、クレデンシャルを使用してASAに接続します。
ステップ6:PCからASAフラッシュメモリにAnyConnectヘッドエンド導入パッケージを転送します。
ステップ6.1 [Tools] > [File Management] > [File Transfer] > [Between Local PC and Flash]に移動し、AnyConnectヘッドエンド導入パッケージバージョン4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg)をASAフラッシュメモリににに転送します。
ステップ7:転送されたAnyConnectヘッドエンド展開パッケージのバージョンを、Web展開の更新に対して設定します。
ステップ7.1 [ASDM Configuration] > [Remote Access VPN] > [Anyconnect Client Software]に移動し、インストールされているAnyConnectヘッドエンド導入パッケージバージョン4.9.04053を選択します。
ステップ7.2次に、[Replace] と[Browse Flash] を選択して、古いAnyConnectヘッドエンド導入パッケージバージョン4.9.04053を、以前にフラッシュメモリに転送した4.9.06037に置き換えます。
ステップ7.3設定変更を適用し、ASAに送信します。
ステップ8:AnyConnectサンプル変換ファイルをインポートします。
ステップ8.1 [ASDM Configuration] > [Remote Access VPN] > [Customized Installer Transforms] > [Import]に移動し、必要なサンプル変換ファイルをインポートします。
ステップ8.2 AnyConnectバージョン4.9.06037_anyconnect-win-lockdown.mstサンプル変換ファイルをインポートして、CORE & VPNおよびUmbrella Roamingセキュリティモジュールの両方のロックダウンを有効にします。
次のように値を入力します。
[Name]:_anyconnect-lockdown
Platform:勝つ
ファイルを選択します – ローカルコンピュータ:C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-lockdown.mst
注: AnyConnect_anyconnect-win-lockdown.mstサンプル変換ファイルは、AnyConnectモジュールが必要とする場合には何でも動作します。
ステップ8.3 AnyConnectバージョン4.9.06037 _anyconnect-win-hide-addremove-display.mstサンプル変換ファイルをインポートして、CORE & VPNとUmbrella Roaming Securityモジュールの両方の追加/削除プログラムリストから非表示にします。
次のように値を入力します。
[Name]:_anyconnect-hideaddremove
Platform:勝つ
ファイルを選択します:C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-hide-addremove-display.mst
注:_anyconnect-win-hide-addremove-display.mstsample変換ファイルは、必要なAnyConnectモジュールに対して機能します。
ステップ8.4設定の変更を保存し、ASAに送信します。
注:この記事が書かれていると、サンプル変換ファイルのインポートに使用する名前は、名前の先頭にアンダースコア「_」を付ける必要があります。これにより、インポートされたサンプル変換が任意のAnyConnectモジュールで動作するようになります。名前の先頭にアンダースコアなしで別の名前を使用する場合、インポートされたサンプル変換はCORE & VPN Anyconnectモジュール(CSCvy38427)でのみ機能します。
ステップ9:AnyConnect Web展開の自動更新。
ステップ9.1 AnyConnect Web展開の自動更新をCORE & VPNおよびUmbrella Roaming Securityモジュールに対して強制的に行います。
次に、CORE & VPNおよびUmbrella Roaming Securityモジュールが自動更新されるように、ASA AnyConnect設定を設定します。
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.9.06037-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy ANYCONNECT_GP1 internal
group-policy ANYCONNECT_GP1 attributes
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL1
webvpn
anyconnect modules value umbrella
tunnel-group MY_TUNNEL1 type remote-access
tunnel-group MY_TUNNEL1 general-attributes
address-pool VPN_POOL1
default-group-policy ANYCONNECT_GP1
tunnel-group MY_TUNNEL1 webvpn-attributes
group-alias SSL_TUNNEL1 enable
ステップ9.2 Windowsマシンでバージョン4.9.04053が稼働しているAnyConnectクライアントからASAヘッドエンドへの接続を開始します。
ステップ9.3この後、AnyConnect Core & VPNモジュールとUmbrella Roaming Securityモジュールが4.9.06037に更新され、ロックダウンと追加/削除プログラムリスト機能の非表示が有効になります。
確認
インストールされているAnyConnectモジュールでロックダウン機能が有効になっていることを確認します
ステップ1: Windowsサービス(services.msc)を次のように開きます。
ステップ2:rCORE & VPNサービスとUmbrella Roamingセキュリティサービスを右クリックしてクリックします。
これらのAnyConnectモジュールのサービスの開始、停止、一時停止、再開、または再起動が許可されていないため、ロックダウン機能が有効になっていることを確認できます。
[Confirm]で プログラムの追加と削除の一覧から非表示 インストールされているAnyConnectモジュールの機能が有効になっている
ステップ1:次のようにAnyConnectクライアントを開きます。
ステップ2:インストールされているAnyConnectのバージョンを確認します。
これを行うには、次のようにAnyConnectクライアントの下の[INFO]アイコンを選択します。
ステップ2.1 AnyConnectバージョン4.9.04053の場合:
ステップ2.2 AnyConnectバージョン4.9.06037の場合:
ステップ3:AnyConnect COREとVPNの両方とUmbrella Roaming SecurityモジュールがWindowsプログラムの追加/削除リストに表示されていないことを確認します。
そのためには、Windowsの[コントロールパネル] > [プログラムのアンインストール]に移動します。
トラブルシュート
このドキュメントに従うトラブルシューティング手順はありません。
関連バグ
CSCvy38427 ASDM:複数のACモジュールに適用するには、変換ファイル名を「_」アンダースコアで始める必要があります
関連情報
テクニカル サポートとドキュメント – Cisco Systems
『Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 4.0』
フィードバック