目錄
簡介
本文檔介紹從Windows電腦的「新增/刪除程式」清單中啟用AnyConnect鎖定和「隱藏AnyConnect」所需的步驟。
作者:Christian G. Hernandez R,思科TAC工程師。
必要條件
需求
思科建議您瞭解以下主題:
-
思科自適應安全裝置(ASA)配置
- Cisco AnyConnect配置
- Windows基礎知識
採用元件
本檔案中的資訊是根據以下軟體和硬體版本:
- Cisco ASA版本9.14.2.13
- 思科調適型安全裝置管理員(ASDM)版本7.14.1
- Cisco AnyConnect 4.9.04053和4.9.06037
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Windows的AnyConnect鎖定:思科建議向終端使用者授予有限的許可權,以 Cisco AnyConnect Security Mobility Solution — 遠端存取 在他們的裝置上。如果終端使用者需要其他許可權,安裝程式可以提供鎖定功能,阻止使用者和本地管理員關閉或停止AnyConnect服務。
您可以使用三個不同的選項來啟用AnyConnect鎖定功能:
1.從Windows命令提示符終端安裝MSI安裝程式。
2. AnyConnect預部署軟體包安裝嚮導中的鎖定選項。
3. ASDM — 將示例安裝程式鎖定轉換檔案匯入ASA。
從Windows的「新增/刪除程式」清單中隱藏AnyConnect:您可以從「Windows控制面板」的「解除安裝程式」的「新增/刪除程式」清單中隱藏已安裝的AnyConnect模組。
您可以使用以下兩個選項來啟用「新增/刪除程式清單」功能中的「隱藏AnyConnect」:
1.從Windows命令提示符終端安裝MSI安裝程式。
2. ASDM — 將樣例安裝程式hide-addremove轉換檔案匯入ASA。
設定
網路圖表
配置AnyConnect鎖定
從Windows命令提示符終端的MSI安裝程式。
配置步驟
步驟1.下載適用於Windows的AnyConnect預部署軟體包檔案。
第1.1步導航到Cisco軟體下載頁面,並下載要在Windows電腦上安裝的AnyConnect版本。
在本示例中,下載包含單個MSI的Windows AnyConnect預部署軟體包 版本4.9.04053(anyconnect-win-4.9.04053-predeploy-k9.zip)的檔案。
步驟2.下載用於Windows的AnyConnect安裝程式轉換檔案。
步驟2.1導覽至Cisco軟體下載頁面,並下載與Windows機器中安裝的相同AnyConnect版本相符的AnyConnect安裝程式轉換檔案。
在本示例中,下載AnyConnect版本4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)的轉換檔案。
步驟3.解壓縮下載到不同資料夾的AnyConnect檔案。
步驟3.1 anyconnect-win-4.9.04053-predeploy-k9.zip 檔案在下一個資料夾路徑C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9上解壓。
步驟3.2 tools-anyconnect-win-4.9.04053-transforms.zip檔案在下一個資料夾路徑上解壓:C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms。
步驟4.將AnyConnect鎖定轉換檔案複製並貼上到與AnyConnect MSI安裝程式檔案相同的資料夾中。
步驟4.1從tools-anyconnect-win-4.9.04053-transforms 資料夾,複製_anyconnect-win-lockdown.mst lockdown transforms檔案,並將其貼上到anyconnect-win-4.9.04053-predeploy-k9 資料夾中,如下所示。
步驟5.將CD插入包含MSI AnyConnect安裝檔案的資料夾路徑。
第5.1步開啟Windows命令提示終端機,將cd插入資料夾路徑,該路徑上包含MSI AnyConnect安裝檔案和_anyconnect-win-lockdown.mst lockdown轉換在上述步驟中複製/貼上的檔案。
此示例將光碟插入下一個文件夾路徑C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9。
步驟6.使用鎖定轉換檔案安裝AnyConnect模組。
第6.1步I
使用指向AnyConnect .msi模組檔案和_anyconnect-win-lockdown.mst鎖定轉換檔案的下一個MSI安裝程式命令安裝所需的每個AnyConnect模組。
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
附註:LOCKDOWN值設定為「1」,啟用要安裝的AnyConnect模組的鎖定功能。
附註:思科建議您使用提供的示例轉換檔案來設定此屬性,將轉換應用於要鎖定的每個模組的每個MSI安裝程序。您可以從Cisco AnyConnect安全移動客戶端軟體下載頁面下載示例轉換。
附註:如果部署核心客戶端以及一個或多個可選模組,則必須將LOCKDOWN屬性應用於每個安裝程式。此操作只能單向進行,除非重新安裝產品,否則不能刪除該操作。
步驟6.2本示例安裝AnyConnect CORE & VPN 模組和_anyconnect-win-lockdown.mst鎖定轉換檔案,這兩個檔案均匹配AnyConnect 4.9.04053版的檔案。
msiexec -i anyconnect-win-4.9.04053-core-vpn-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
步驟6.3本示例安裝AnyConnect Umbrella漫遊安全模組和_anyconnect-win-lockdown.mst lockdown轉換檔案,這兩個檔案均匹配AnyConnect版本4.9.04053的檔案。
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
AnyConnect中的鎖定選項 預部署包 安裝嚮導。
配置步驟
步驟1.下載適用於Windows的Anyconnect預部署軟體包檔案。
第1.1步導航到Cisco軟體下載頁面,並下載要在Windows電腦上安裝的AnyConnect版本。
在本示例中,請下載Windows AnyConnect預部署軟體包,其中包括版本4.9.04053(anyconnect-win-4.9.04053-predeploy-k9.zip)的個別MSI檔案。
步驟2.開啟AnyConnect安裝檔案。
第2.1步解壓縮下載的anyconnect-win-4.9.04053-pre-deploy-k9.zip文件,然後打開它。
步驟2.2然後按兩下AnyConnect安裝檔案。
步驟3.使用AnyConnect安裝嚮導。
第3.1步從顯示的選項中選擇要安裝的AnyConnect模組。
在本示例中,選擇AnyConnect CORE & VPN和Umbrella Roaming Security模塊。
步驟4.啟用AnyConnect鎖定功能。
第4.1步要為CORE & VPN 和Umbrella Roaming Security模組啟用鎖定功能,請選擇Lock Down Component Services 選項並繼續安裝。
步驟5.確認AnyConnect模組的安裝。
步驟5.1顯示下一條消息後,100%完成AnyConnect模組的安裝。
配置從「新增/刪除程式」清單隱藏AnyConnect
從Windows命令提示符終端的MSI安裝程式。
配置步驟
步驟1.下載適用於Windows的AnyConnect預部署軟體包檔案。
第1.1步導航到Cisco軟體下載頁面,並下載要在Windows電腦上安裝的AnyConnect版本。
在本示例中,下載包含單個MSI的Windows AnyConnect預部署軟體包 版本4.9.04053(anyconnect-win-4.9.04053-predeploy-k9.zip)的檔案。
步驟2.下載用於Windows的AnyConnect安裝程式轉換檔案。
步驟2.1導覽至Cisco軟體下載頁面,並下載與Windows機器中安裝的相同AnyConnect版本相符的AnyConnect安裝程式轉換檔案。
在本示例中,下載AnyConnect版本4.9.04053(tools-anyconnect-win-4.9.04053-transforms.zip)的轉換檔案。
步驟3.解壓縮下載到不同資料夾的AnyConnect檔案。
步驟3.1 anyconnect-win-4.9.04053-predeploy-k9.zip 檔案在下一個資料夾路徑C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9上解壓。
步驟3.2 tools-anyconnect-win-4.9.04053-transforms.zip檔案在下一個資料夾路徑上解壓:C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms。
步驟4.將AnyConnect隱藏 — 刪除轉換檔案複製並貼上到與AnyConnect MSI安裝程式檔案相同的資料夾中。
步驟4.1從tools-anyconnect-win-4.9.04053-transforms 資料夾,複製_anyconnect-win-hide-addremove-display.mst transforms檔案,並將其貼上到anyconnect-win-4.9.04053-predeploy-k9 資料夾中,如下所示。
步驟5.將CD插入包含MSI AnyConnect安裝檔案的資料夾路徑。
步驟5.1開啟Windows命令提示終端,將cd插入資料夾路徑,該路徑上包含MSI AnyConnect安裝檔案和_anyconnect-win-hide-addremove-display.mst轉換檔案,該檔案已在上述步驟中複製/貼上。
此示例將光碟插入下一個文件夾路徑C:\Users\calo\Downloads\anyconnect-win-4.9.04053-predeploy-k9。
步驟6.使用hide-addremove轉換檔案安裝AnyConnect模組。
第6.1步I
使用指向AnyConnect .msi模組檔案和_anyconnect-win-hide-addremove-display.mst轉換檔案的下一個MSI安裝程式命令安裝所需的每個AnyConnect模塊。
msiexec -i anyconnect-win-4.9.04053-xxxxxxx-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
註:將ARPSYSTEMCOMPONENT值設定為「1」,會啟用要安裝的AnyConnect模組的「新增/刪除程式清單」功能中的「隱藏AnyConnect」。
附註:思科建議您使用提供的示例轉換檔案來設定此屬性,將轉換應用到要隱藏的每個模組的每個MSI安裝程式。您可以從Cisco AnyConnect安全移動客戶端軟體下載頁面下載示例轉換。
附註:如果部署核心客戶端以及一個或多個可選模組,則必須將HIDE-AnyConnect屬性應用於每個安裝程式。此操作只能單向進行,除非重新安裝產品,否則不能刪除該操作。
步驟6.2本示例安裝AnyConnect CORE & VPN模組和_anyconnect-win-hide-addremove-display.mst轉換檔案,這兩個檔案均匹配AnyConnect 4.9.04053版的檔案。
步驟6.3本示例安裝AnyConnect Umbrella漫遊安全模組和_anyconnect-win-hide-addremove-display.mst轉換檔案,這兩個檔案均匹配AnyConnect 4.9.04053版的檔案。
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
使用ASDM配置AnyConnect鎖定和從新增/刪除程式清單中隱藏AnyConnect
此過程僅適用於AnyConnect Web部署更新。本示例考慮從4.9.04053版到4.9.0.6037版的AnyConnect Web部署更新。
配置步驟
步驟1.確認在Windows電腦上運行的AnyConnect版本。
第1.1步本示例中的Windows電腦已經為Core和VPN以及Umbrella漫遊安全模組安裝了AnyConnect版本4.9.04053。
步驟2.下載用於Windows的AnyConnect頭端部署包檔案。
第2.1步導航到Cisco軟體下載頁面,然後下載要在Windows電腦上安裝的AnyConnect頭端部署軟體包檔案版本以進行Web部署更新。
在本示例中,下載Windows AnyConnect頭端部署包 版本4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg)。
步驟3.下載適用於Windows的AnyConnect安裝程式轉換檔案。
步驟3.1導覽至Cisco軟體下載頁面,並下載與Windows機器中安裝的相同AnyConnect版本相符的AnyConnect安裝程式轉換檔案。
在本示例中,下載AnyConnect版本4.9.06037(tools-anyconnect-win-4.9.06037-transforms.zip)的轉換檔案。
步驟4.解壓縮下載的AnyConnect轉換檔案。
步驟4.1 T
tools-anyconnect-win-4.9.06037-transforms.zip檔案在下一個資料夾路徑上解壓:C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms。
步驟5.開啟ASDM並使用您的憑證連線到ASA。
步驟6.將AnyConnect頭端部署軟體包從您的PC傳輸到ASA快閃記憶體。
第6.1步導航到Tools > File Management > File Transfer > Between Local PC and Flash,然後將AnyConnect頭端部署包版本4.9.06037(anyconnect-win-4.9.06037-webdeploy-k9.pkg)傳輸到ASA快閃記憶體。
步驟7.配置傳輸的AnyConnect頭端部署包版本以進行Web部署更新。
第7.1步導航到ASDM Configuration > Remote Access VPN > Anyconnect Client Software,然後選擇已安裝的AnyConnect頭端部署包版本4.9.04053。
第7.2步然後,選擇Replace和Browse Flash,將舊的AnyConnect頭端部署包版本4.9.04053替換為以前轉移到快閃記憶體中的4.9.06037。
第7.3步應用配置更改並傳送至ASA。
步驟8.匯入AnyConnect示例轉換檔案。
第8.1步導航到ASDM Configuration > Remote Access VPN > Customized Installer Transforms > Import並匯入所需的示例轉換檔案。
步驟8.2匯入AnyConnect版本4.9.06037 _anyconnect-win-lockdown.mst 示例轉換檔案,為CORE & VPN和Umbrella Roaming Security模組啟用鎖定。
輸入如下值:
名稱:_anyconnect-lockdown
平台:win
選擇檔案 — 本地電腦: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-lockdown.mst
註: AnyConnect _anyconnect-win-lockdown.mst sample transforms檔案適用於所需的AnyConnect模組。
第8.3步匯入AnyConnect版本4.9.06037 _anyconnect-win-hide-addremove-display.mst示例轉換檔案,以啟用CORE & VPN和Umbrella Roaming Security模組在新增/刪除程式清單上的隱藏。
輸入如下值:
名稱:_anyconnect-hideadremove
平台:win
選擇file: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms\_anyconnect-win-hide-addremove-display.mst
註: _anyconnect-win-hide-addremove-display.mstsample轉換檔案適用於任何AnyConnect模組。
步驟8.4 儲存組態變更並傳送至ASA。
附註:在撰寫本文時,用於匯入示例轉換檔案的名稱必須在名稱開頭具有下劃線「_」,這會強制匯入的示例轉換適用於任何AnyConnect模塊。如果使用名稱開頭不帶下劃線的不同名稱,則匯入的示例轉換僅適用於CORE和VPN Anyconnect模組(CSCvy38427)。
步驟9. AnyConnect Web部署自動更新。
第9.1步強制對CORE & VPN和Umbrella Roaming Security模組進行AnyConnect Web部署自動更新。
在這裡,ASA AnyConnect配置到位,以允許核心和VPN以及Umbrella漫遊安全模組自動更新:
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.9.06037-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy ANYCONNECT_GP1 internal
group-policy ANYCONNECT_GP1 attributes
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_TUNNEL1
webvpn
anyconnect modules value umbrella
tunnel-group MY_TUNNEL1 type remote-access
tunnel-group MY_TUNNEL1 general-attributes
address-pool VPN_POOL1
default-group-policy ANYCONNECT_GP1
tunnel-group MY_TUNNEL1 webvpn-attributes
group-alias SSL_TUNNEL1 enable
第9.2步從Windows電腦上運行版本4.9.04053的AnyConnect客戶端啟動到ASA頭端的連線。
第9.3步之後,AnyConnect Core & VPN和Umbrella Roaming Security模組更新到4.9.06037版,同時啟用鎖定和隱藏add/remove program list功能。
驗證
確認已安裝的AnyConnect模組已啟用鎖定功能
步驟1.按如下所示開啟Windows服務(services.msc)。
步驟2.然後,r按一下右鍵CORE & VPN和Umbrella Roaming Security服務。
您可以確認已啟用鎖定功能,因為不允許您啟動、停止、暫停、恢復或重新啟動這些AnyConnect模組的服務。
確認 從新增/刪除程式清單中隱藏 已為安裝的AnyConnect模組啟用功能
步驟1.按如下所示開啟AnyConnect客戶端。
步驟2.確認已安裝AnyConnect版本。
為此,請在AnyConnect客戶端下選擇INFO圖示,如下所示:
第2.1步對於AnyConnect版本4.9.04053:
第2.2步對於AnyConnect版本4.9.06037:
步驟3.確認AnyConnect CORE & VPN 和Umbrella Roaming Security模組都隱藏在「新增/刪除Windows程式」清單中。
為此,請導航至Windows控制面板> 解除安裝程式。
疑難排解
本文檔沒有要遵循的故障排除過程。
相關錯誤
CSCvy38427 ASDM:轉換檔名必須以「_」下劃線開頭,才能對多個AC模組生效
相關資訊
技術支援與文件 - Cisco Systems
Cisco AnyConnect安全移動客戶端管理員指南4.0版
意見