目录
简介
本文档介绍为Windows计算机启用AnyConnect锁定和从添加/删除程序列表中隐藏AnyConnect所需的步骤。
作者:思科TAC工程师Christian G. Hernandez R。
先决条件
要求
Cisco 建议您了解以下主题:
-
思科自适应安全设备(ASA)配置
- Cisco AnyConnect配置
- Windows基础知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco ASA 9.14.2.13 版
- Cisco 自适应安全设备管理器 (ASDM) 版本 7.14.1
- Cisco AnyConnect版本4.9.04053和4.9.06037
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Windows版AnyConnect锁定:思科建议向最终用户授予有限的权限, Cisco AnyConnect 安全移动客户端 设备上。如果最终用户保证其他权限,安装程序可以提供锁定功能,防止用户和本地管理员关闭或停止AnyConnect服务。
您有三个不同的选项可启用AnyConnect锁定功能:
1.从Windows命令提示符终端安装MSI安装程序。
2.从AnyConnect预部署软件包安装向导中锁定选项。
3. ASDM — 导入示例安装程序锁定将文件转换到ASA。
从Windows的“添加/删除”程序列表中隐藏AnyConnect:您可以从“Windows控制面板卸载程序”的“添加/删除程序”列表中隐藏已安装的AnyConnect模块。
您有两个选项可启用从添加/删除程序列表功能隐藏AnyConnect:
1.从Windows命令提示符终端安装MSI安装程序。
2. ASDM — 将示例安装程序hide-addremove转换文件导入ASA。
配置
网络图
配置AnyConnect锁定
MSI安装程序。
配置步骤
步骤1.下载Windows的AnyConnect预部署软件包文件。
第1.1步导航至思科软件下载页面并下载要安装在Windows计算机上的AnyConnect版本。
在本示例中,下载包含单个MSI的Windows AnyConnect预部署软件包 版本4.9.04053的文件(anyconnect-win-4.9.04053-predeploy-k9.zip)。
步骤2.下载AnyConnect安装程序转换Windows文件。
第2.1步导航到思科软件下载页并下载与要在Windows计算机中安装的相同AnyConnect版本匹配的Windows的AnyConnect安装程序转换文件。
在本示例中,下载AnyConnect版本4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)的转换文件。
步骤3.解压缩下载到不同文件夹的AnyConnect文件。
第3.1步anyconnect-win-4.9.04053-predeploy-k9.zip文件在下一个文件夹路径上解压:C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9。
第3.2步tools-anyconnect-win-4.9.04053-transforms.zip文件将在下一个文件夹路径C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms上解压。
步骤4.复制并粘贴AnyConnect锁定,将文件转换到与AnyConnect MSI安装程序文件相同的文件夹。
第4.1步从tools-anyconnect-win-4.9.04053-transforms 文件夹中,复制_anyconnect-win-lockdown.mst 锁定转换文件,并将其粘贴到anyconnect-win-4.9.04053-predeploy-k9 文件夹中,如下所示。
步骤5. CD到包含MSI AnyConnect安装文件的文件夹路径。
第5.1步打开Windows命令提示符终端,并将CD打开到文件夹路径中,文件夹路径包含MSI AnyConnect安装文件和_anyconnect-win-lockdown.mst lockdown转换文件复制/粘贴在上述步骤中。
此示例cd到下一个文件夹路径C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9。
步骤6.使用锁定转换文件安装AnyConnect模块。
步骤6.1 I
使用指向AnyConnect .msi模块文件和_anyconnect-win-lockdown.mst锁定转换文件的下一个MSI安装程序命令安装所需的每个AnyConnect模块。
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
注意:LOCKDOWN值设置为“1”,启用锁定功能以安装AnyConnect模块。
注意:Cisco建议您使用提供的示例转换文件来设置此属性,将转换应用于要锁定的每个模块的每个MSI安装程序。您可以从Cisco AnyConnect安全移动客户端软件下载页下载示例转换。
注意:如果部署核心客户端以及一个或多个可选模块,则必须将LOCKDOWN属性应用于每个安装程序。此操作只是一种方式,除非您重新安装产品,否则无法删除。
第6.2步此示例安装AnyConnect CORE & VPN模块和_anyconnect-win-lockdown.mst 锁定转换文件,两者均与AnyConnect版本4.9.04053的文件匹配。
msiexec -i anyconnect-win-4.9.04053-core-vpn-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
第6.3步此示例安装AnyConnect Umbrella漫游安全模块和_anyconnect-win-lockdown.mst锁定转换文件,两者均与AnyConnect版本4.9.04053的文件匹配。
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
AnyConnect的锁定选项 预部署包 向导。
配置步骤
步骤1.下载Windows的Anyconnect预部署软件包文件。
第1.1步导航至思科软件下载页面并下载要安装在Windows计算机上的AnyConnect版本。
在本示例中,下载包含版本4.9.04053(anyconnect-win-4.9.04053-predeploy-k9.zip)的单个MSI文件的Windows AnyConnect预部署软件包。
步骤2.打开AnyConnect设置文件。
第2.1步解压缩下载的anyconnect-win-4.9.04053-pre-deploy-k9.zip文件并将其打开。
第2.2步,然后双击AnyConnect设置文件。
步骤3.使用AnyConnect安装向导。
第3.1步从显示的选项中选择要安装的AnyConnect模块。
在本例中,选择AnyConnect CORE & VPN和Umbrella Roaming Security模块。
步骤4.启用AnyConnect锁定功能。
第4.1步要启用CORE & VPN和Umbrella漫游安全模块的锁定功能,请选择Lock Down Component Services 选项并继续安装。
步骤5.确认AnyConnect模块的安装。
第5.1步显示下一条消息后,AnyConnect模块的安装将以100%的速度完成。
从添加/删除程序列表中配置隐藏AnyConnect
MSI安装程序。
配置步骤
步骤1.下载Windows的AnyConnect预部署软件包文件。
第1.1步导航至思科软件下载页面并下载要安装在Windows计算机上的AnyConnect版本。
在本示例中,下载包含单个MSI的Windows AnyConnect预部署软件包 版本4.9.04053的文件(anyconnect-win-4.9.04053-predeploy-k9.zip)。
步骤2.下载AnyConnect安装程序转换Windows文件。
第2.1步导航到思科软件下载页并下载与要在Windows计算机中安装的相同AnyConnect版本匹配的Windows AnyConnect安装程序转换文件。
在本示例中,下载AnyConnect版本4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)的转换文件。
步骤3.解压缩下载到不同文件夹的AnyConnect文件。
第3.1步anyconnect-win-4.9.04053-predeploy-k9.zip文件在下一个文件夹路径上解压:C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9。
第3.2步tools-anyconnect-win-4.9.04053-transforms.zip文件将在下一个文件夹路径C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms上解压。
步骤4.复制并粘贴AnyConnect hide-addremove转换文件到与AnyConnect MSI安装程序文件相同的文件夹。
第4.1步从tools-anyconnect-win-4.9.04053-transforms文件夹中,复制_anyconnect-win-hide-addremove-display.mst转换文件并将其粘贴到anyconnect-win-4.9.04053-predeploy-k9 文件夹中,如下所示。
步骤5. CD到包含MSI AnyConnect安装文件的文件夹路径。
第5.1步打开Windows命令提示符终端,并将cd打到文件夹路径中,该文件夹路径包含MSI AnyConnect安装文件和_anyconnect-win-hide-addremove-display.mst转换文件,该文件复制/粘贴在上述步骤中。
此示例cd到下一个文件夹路径C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9。
步骤6.使用hide-addremove转换文件安装AnyConnect模块。
步骤6.1 I
使用指向AnyConnect .msi模块文件和_anyconnect-win-hide-addremove-display.mst转换文件的下一个MSI安装程序命令安装所需的每个AnyConnect模块。
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
注意: ARPSYSTEMCOMPONENT值设置为“1”,启用“从添加/删除程序列表”功能中隐藏AnyConnect,以便安装AnyConnect模块。
注意:Cisco建议您使用提供的示例转换文件来设置此属性,将转换应用于要隐藏的每个模块的每个MSI安装程序。您可以从Cisco AnyConnect安全移动客户端软件下载页下载示例转换。
注意:如果部署核心客户端以及一个或多个可选模块,则必须将HIDE-AnyConnect属性应用于每个安装程序。此操作只是一种方式,除非您重新安装产品,否则无法删除。
第6.2步此示例安装AnyConnect CORE & VPN模块和_anyconnect-win-hide-addremove-display.mst转换文件,两者均与AnyConnect版本4.9.04053的文件匹配。
第6.3步此示例安装AnyConnect Umbrella漫游安全模块和_anyconnect-win-hide-addremove-display.mst转换文件,两者均与AnyConnect版本4.9.04053的文件匹配。
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
使用ASDM配置AnyConnect锁定和从添加/删除程序列表中隐藏AnyConnect
此过程仅适用于AnyConnect网络部署更新。本示例考虑从版本4.9.04053到4.9.0.6037的AnyConnect网络部署更新。
配置步骤
步骤1.确认在Windows计算机上运行的AnyConnect版本。
第1.1步本例中的Windows计算机已为核心和VPN以及Umbrella漫游安全模块安装AnyConnect版本4.9.04053。
步骤2.下载Windows的AnyConnect头端部署软件包文件。
第2.1步导航至思科软件下载页面,并下载AnyConnect头端部署包文件版本,以在Windows计算机上安装,以便进行网络部署更新。
在本例中,下载Windows AnyConnect头端部署包 版本4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg)。
步骤3.下载AnyConnect安装程序转换Windows文件。
第3.1步导航到思科软件下载页并下载与要在Windows计算机中安装的相同AnyConnect版本匹配的Windows AnyConnect安装程序转换文件。
在本示例中,下载AnyConnect版本4.9.06037(tools-anyconnect-win-4.9.06037-transforms.zip)的转换文件。
步骤4.解压缩下载的AnyConnect转换文件。
第4.1 T
tools-anyconnect-win-4.9.06037-transforms.zip文件将在下一个文件夹路径C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms上解压。
步骤5.打开ASDM,并使用您的凭证连接到ASA。
步骤6.将AnyConnect头端部署包从PC传输到ASA闪存。
第6.1步导航到Tools > File Management > File Transfer > Between Local PC和Flash,并将AnyConnect头端部署包版本4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg)传输到ASA闪存。
步骤7.为Web部署更新配置已传输的AnyConnect头端部署包版本。
第7.1步导航至ASDM Configuration > Remote Access VPN > Anyconnect Client Software,并选择已安装的AnyConnect头端部署软件包4.9.04053。
第7.2步然后,选择Replace和Browse Flash以将旧的AnyConnect头端部署包4.9.04053版替换为之前传输到闪存的4.9.06037。
第7.3步应用配置更改并将其发送到ASA。
步骤8.导入AnyConnect示例转换文件。
第8.1步导航到ASDM Configuration > Remote Access VPN > Customized Installer Transforms > Import,然后导入所需的示例转换文件。
第8.2步导入AnyConnect版本4.9.06037_anyconnect-win-lockdown.mst sample transforms文件,以启用CORE & VPN和Umbrella漫游安全模块的锁定。
输入以下值:
名称:_anyconnect-lockdown
平台:赢
选择文件 — 本地计算机:C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-lockdown.mst
注意: AnyConnect_anyconnect-win-lockdown.mst示例转换文件适用于任何需要的AnyConnect模块。
第8.3步导入AnyConnect版本4.9.06037_anyconnect-win-hide-addremove-display.mst sample transforms文件,以便从添加/删除程序列表中为CORE & VPN和Umbrella漫游安全模块启用隐藏。
输入以下值:
名称:_anyconnect-hideaddremove
平台:赢
选择文件:C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-hide-addremove-display.mst
注意: _anyconnect-win-hide-addremove-display.mstsample转换文件适用于任何需要的AnyConnect模块。
第8.4步保存配置更改并将其发送到ASA。
注意:在撰写本文时,用于导入示例转换文件的名称在名称开头必须带有下划线“_”,这将强制导入的示例转换用于任何AnyConnect模块。如果在名称开头使用不带下划线的其他名称,则导入的转换示例仅适用于CORE & VPN Anyconnect模块(CSCvy38427)的转换。
步骤9. AnyConnect Web部署自动更新。
第9.1步强制CORE & VPN和Umbrella漫游安全模块执行AnyConnect Web部署自动更新操作。
此处已配置ASA AnyConnect以允许CORE & VPN和Umbrella漫游安全模块自动更新:
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.9.06037-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy ANYCONNECT_GP1 internal
group-policy ANYCONNECT_GP1 attributes
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL1
webvpn
anyconnect modules value umbrella
tunnel-group MY_TUNNEL1 type remote-access
tunnel-group MY_TUNNEL1 general-attributes
address-pool VPN_POOL1
default-group-policy ANYCONNECT_GP1
tunnel-group MY_TUNNEL1 webvpn-attributes
group-alias SSL_TUNNEL1 enable
第9.2步从在Windows计算机上运行版本4.9.04053的AnyConnect客户端开始连接到ASA头端。
第9.3步之后,AnyConnect Core & VPN和Umbrella漫游安全模块将更新为4.9.06037版,并启用锁定和从添加/删除程序列表功能中隐藏。
验证
确认已为安装的AnyConnect模块启用锁定功能
步骤1.打开Windows服务(services.msc),如下所示。
步骤2.然后,r右键单击CORE & VPN和Umbrella Roaming Security服务,然后单击VPN。
您可以确认锁定功能已启用,因为您不允许启动、停止、暂停、恢复或重新启动这些AnyConnect模块的服务。
确认 从添加/删除程序列表中隐藏 已为安装的AnyConnect模块启用功能
步骤1.按如下方式打开AnyConnect客户端。
步骤2.确认已安装AnyConnect版本。
为此,请选择AnyConnect客户端下的INFO图标,如下所示:
第2.1步对于AnyConnect版本4.9.04053:
第2.2步对于AnyConnect版本4.9.06037:
步骤3.确认AnyConnect CORE & VPN和Umbrella漫游安全模块在“添加/删除Windows程序列表”中都已隐藏。
为此,请导航至“Windows控制面板”>“卸载程序”。
故障排除
本文档不提供要遵循的故障排除过程。
相关 Bug
CSCvy38427 ASDM:转换文件名必须以“_”下划线开头,以便对多个交流模块生效
相关信息
技术支持和文档 - Cisco Systems
Cisco AnyConnect安全移动客户端管理员指南,版本4.0
反馈