Configure O AnyConnect Lockdown E Oculte O AnyConnect Da Lista Adicionar/Remover Programas Para Windows

Configure O AnyConnect Lockdown E Oculte O

AnyConnect Da Lista Adicionar/Remover

Programas Para Windows

Contents

Introduction

Prerequisites

Requirements

Componentes Utilizados

Informações de Apoio

Configurar

Diagrama de Rede

Configurar o bloqueio do AnyConnect

    Instaladores MSI do terminal do prompt de comando do Windows.

    Opção de bloqueio do assistente de instalação do pacote de pré-implantação do AnyConnect.

Configure o AnyConnect para ocultar a lista Adicionar/remover programas

     Instaladores MSI do terminal do prompt de comando do Windows.

Configure o AnyConnect Lockdown e oculte o AnyConnect da lista Adicionar/remover programas

com o ASDM

Verificar

Confirme se o recurso de bloqueio está ativado para os módulos do AnyConnect instalados

Confirme se a opção Ocultar na opção Adicionar/remover lista de programas está ativada para os

módulos do AnyConnect instalados

Troubleshoot

Erros relacionados

Informações Relacionadas

Sumário 

Introduction

Este documento descreve as etapas necessárias para ativar o AnyConnect Lockdown e o Ocultar AnyConnect da lista de programas Adicionar/Remover para máquinas Windows.

Contribuído por Christian G. Hernandez R, engenheiro do TAC da Cisco.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

Configuração do Cisco Adaptive Security Appliance (ASA)

●

Configuração do Cisco AnyConnect

conhecimento básico do Windows

●

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo:

Cisco ASA versão 9.14.2.13

●

Cisco Adaptive Security Device Manager (ASDM) versão 7.14.1

●

Cisco AnyConnect versões 4.9.04053 e 4.9.06037

●

As informações neste documento foram criadas a partir de dispositivos em um ambiente de

laboratório específico. All of the devices used in this document started with a cleared (default)

configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de

qualquer comando.

Informações de Apoio

Bloqueio do AnyConnect para Windows: A Cisco recomenda que os usuários finais tenham direitos limitados para Cisco AnyConnect Secure

Mobility Client no dispositivo. Se o usuário final garantir direitos adicionais, os instaladores podem fornecer um recurso de bloqueio que impede que usuários e administradores locais desliguem ou interrompam os serviços do AnyConnect.

Você tem três opções diferentes para ativar o recurso AnyConnect Lockdown: 1. Instaladores MSI do terminal do prompt de comando do Windows.

2. Opção de bloqueio do assistente de instalação do pacote de pré-implantação do AnyConnect. 3. ASDM - importe um exemplo de bloqueio do instalador transforma o arquivo no ASA.

Ocultar o AnyConnect da lista de programas Add/Remove para Windows: Você pode ocultar os módulos do AnyConnect instalados da lista

Adicionar/remover programas no Painel de controle do Windows Desinstalar um programa.

Você tem duas opções para ativar o recurso Ocultar AnyConnect da lista de programas Adicionar/Remover: 1. Instaladores MSI do terminal do prompt de comando do Windows.

2. ASDM - importe um exemplo de instalação de ocultar-adicionar transforma o arquivo para o ASA.

Configurar

Configurar o bloqueio do AnyConnect

Instaladores MSI do terminal do prompt de comando do Windows.

Configuration Steps

Etapa 1. Baixe o arquivo do pacote de pré-implantação do AnyConnect para Windows.

Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows. Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui o MSI individual arquivos para a versão 4.9.04053

(anyconnect-win-4.9.04053-preDeployment-k9.zip).

Etapa 2. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.

Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download do arquivo AnyConnect Installer Transforms para Windows que corresponde à mesma versão do AnyConnect a ser instalada na máquina Windows.

Etapa 3. Descompacte os arquivos do AnyConnect baixados em diferentes pastas.

Etapa 3.1 O arquivo anyconnect-win-4.9.04053-preDeployment-k9.zip é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

Etapa 3.2 As ferramentas-anyconnect-win-4.9.04053-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms.

Etapa 4. Copie e cole o bloqueio do AnyConnect transforma o arquivo na mesma pasta dos arquivos do instalador do AnyConnect MSI. 

Etapa 4.1 Na pasta tools-anyconnect-win-4.9.04053-transforms, copie o _anyconnect-win-lockdown.mst lockdown transforma arquivos e os cola na pasta anyconnect-win-4.9.04053-preDeployment-k9 da seguinte maneira.

Etapa 5. CD no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect.

Etapa 5.1 Abra um terminal e um cd de prompt de comando do Windows no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect e o anyconnect-win-lockdown.mst lockdown transforma o arquivo copiado/colado na etapa acima.

Este cd de exemplo no próximo caminho da pasta C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

Etapa 6. Instale os módulos do AnyConnect com o arquivo de transformação do bloqueio. 

Etapa 6.1 IInstale cada um dos módulos do AnyConnect necessários com o próximo comando do instalador do MSI que aponte para o arquivo do módulo .msi do AnyConnect e o anyconnect-win-lockdown.mst lockdown transforma o arquivo.

TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log

Nota:O valor de LOCKDOWN configurado como "1" ativa o recurso de bloqueio para a instalação do módulo AnyConnect. 

Nota: A Cisco recomenda que você use o arquivo de transformação de exemplo fornecido para definir esta propriedade, aplique a transformação a cada instalador MSI para cada módulo que você deseja bloquear. Você pode fazer o download das transformações de exemplo na página de download do software Cisco AnyConnect Secure Mobility Client.

Nota:Se você implantar o cliente central mais um ou mais módulos opcionais, deverá aplicar a propriedade LOCKDOWN a cada um dos instaladores. Esta operação é apenas unidirecional e não pode ser removida a menos que você reinstale o produto.

Etapa 6.2 Este exemplo instala o módulo CORE e VPN do AnyConnect e o _anyconnect-win-lock.mst lockdown transforma o arquivo, ambos correspondem aos arquivos da versão 4.9.04053 do AnyConnect.

msiexec -i anyconnect-win-4.9.04053-core-vpn-predeploy-k9.msi

TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log

Etapa 6.3 Este exemplo instala o módulo Umbrella Roaming Security do AnyConnect e o arquivo _anyconnect-win-lock.mst lockdown transforma os arquivos da versão 4.9.04053 do AnyConnect.

msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi

TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log

Opção de bloqueio do AnyConnect pacote de pré-implantação assistente de instalação.

Configuration Steps

Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows.

Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui os arquivos MSI individuais para a versão 4.9.04053

(anyconnect-win-4.9.04053-preDeployment-k9.zip).

Etapa 2. Abra o arquivo de configuração do AnyConnect.

Etapa 2.1 Descompacte o arquivo anyconnect-win-4.9.04053-pre-Deployment-k9.zip baixado e abra-o. Etapa 2.2 Em seguida, clique duas vezes no arquivo de configuração do AnyConnect.

  

Etapa 3. Trabalhe com o assistente de instalação do AnyConnect.

Etapa 3.1 Selecione os módulos do AnyConnect que deseja instalar a partir das opções exibidas. Para este exemplo, selecione o AnyConnect CORE & VPN e os módulos Umbrella Roaming Security.

Etapa 4. Ative o recurso de bloqueio do AnyConnect.

Etapa 4.1 Para habilitar o recurso de bloqueio para o CORE e VPN e para os módulos Umbrella Roaming Security, selecione a opção Lock Down

Etapa 5. Confirme a instalação dos módulos do AnyConnect.

Etapa 5.1 A instalação dos módulos do AnyConnect é concluída em 100% quando a próxima mensagem é exibida.

Configure o AnyConnect para ocultar a lista Adicionar/remover programas

Instaladores MSI do terminal do prompt de comando do Windows.

Configuration Steps

Etapa 1. Baixe o arquivo do pacote de pré-implantação do AnyConnect para Windows.

Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows. Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui o MSI individual arquivos para a versão 4.9.04053

Etapa 2. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.

Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download do arquivo AnyConnect Installer Transforms para Windows que corresponde à mesma versão do AnyConnect a ser instalada na máquina Windows.

Etapa 3. Descompacte os arquivos do AnyConnect baixados em diferentes pastas.

Etapa 3.1 O arquivo anyconnect-win-4.9.04053-preDeployment-k9.zip é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

Etapa 3.2 As ferramentas-anyconnect-win-4.9.04053-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms.

Etapa 4. Copie e cole o arquivo de transformação de ocultar-adicionar do AnyConnect na mesma pasta dos arquivos do instalador do AnyConnect MSI. Etapa 4.1 Na pasta tools-anyconnect-win-4.9.04053-transforms, copie a _anyconnect-win-hide-addremove-display.mst transforma o arquivo e o cola na pasta anyconnect-win-4.9.04053-preDeployment-k9 da seguinte maneira.

Etapa 5. CD no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect.

Etapa 5.1 Abra um terminal e um cd do prompt de comando do Windows no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect e o anyconnect-win-hide-addremove-display.mst transforma o arquivo copiado/colado na etapa acima.

Este cd de exemplo no próximo caminho da pasta C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.

Etapa 6. Instale os módulos do AnyConnect com o arquivo de transformações de texto oculto.

Etapa 6.1 IInstale cada um dos módulos do AnyConnect necessários com o próximo comando do instalador do MSI que aponta para o arquivo do módulo .msi do AnyConnect e o anyconnect-win-hide-addremove-display.mst transforma o arquivo.

TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log

Observação:

o valor de ARPSYSTEMCOMPONENT configurado como "1" permite que o recurso Ocultar AnyConnect da lista de programas Add/Remove para que o módulo AnyConnect seja instalado.

 

Nota: A Cisco recomenda que você use o arquivo de transformação de exemplo fornecido

para definir esta propriedade, aplique a transformação a cada instalador MSI para cada

módulo que deseja ocultar. Você pode fazer o download das transformações de exemplo na

página de download do software Cisco AnyConnect Secure Mobility Client.

Nota:

Se você implantar o cliente principal mais um ou mais módulos opcionais, deverá aplicar

a propriedade HIDE-AnyConnect a cada um dos instaladores. Esta operação é apenas

unidirecional e não pode ser removida a menos que você reinstale o produto.

Etapa 6.2 Este exemplo instala o módulo CORE e VPN do AnyConnect e o _anyconnect-win-hide-addremove-display.mst transforma o arquivo, ambos correspondentes aos arquivos da versão 4.9.04053 do AnyConnect.

Etapa 6.3 Este exemplo instala o módulo Umbrella Roaming Security do AnyConnect e o _anyconnect-win-hide-addremove-display.mst transforma o arquivo, ambos correspondentes aos arquivos da versão 4.9.04053 do AnyConnect.

msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi

TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log

Configure o AnyConnect Lockdown e oculte o AnyConnect da lista Adicionar/remover programas com o ASDM

Este procedimento se aplica somente às atualizações de implantação da Web do AnyConnect. Este exemplo considera uma atualização da implantação da Web do AnyConnect da versão 4.9.04053 para 4.9.0.6037.

Configuration Steps

Etapa 1. Confirme a versão do AnyConnect executada na máquina Windows.

Etapa 1.1 A máquina Windows neste exemplo tem a versão 4.9.04053 do AnyConnect já instalada para os módulos Core e VPN e Umbrella Roaming Security.

Etapa 2. Baixe o arquivo do pacote de implantação do headend do AnyConnect para Windows.

Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download da versão do arquivo do pacote de implantação do headend do AnyConnect para instalar na máquina Windows para a atualização da implantação da Web.

Para este exemplo, faça o download do pacote de implantação de headend do Windows AnyConnect versão 4.9.06037

Etapa 3. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.

Etapa 3.1 Navegue até a página de download de software da Cisco e baixe o AnyConnect Installer transforma o arquivo para Windows que corresponde à mesma versão do AnyConnect para instalar na máquina Windows.

Etapa 4. Descompacte o AnyConnect transforma o arquivo baixado.

Etapa 4.1 TThe tools-anyconnect-win-4.9.06037-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms.

Etapa 5. Abra o ASDM e conecte-se ao ASA com suas credenciais.

Etapa 6. Transfira o pacote de implantação de headend do AnyConnect do seu PC para a memória flash do ASA.

Etapa 6.1 Navegue para Ferramentas > Gerenciamento de arquivos > Transferência de arquivos > Entre PCs locais e Flash e transfira o pacote de implantação headend do AnyConnect versão 4.9.06037 (anyconnect-win-4.9.06037-webDeployment-k9.pkg) para a memória flash do ASA.

Passo 7. Configure a versão do pacote de implantação do headend do AnyConnect transferido para a atualização da implantação da Web.

Etapa 7.1 Navegue até ASDM Configuration > Remote Access VPN > Anyconnect Client Software e selecione o pacote de implantação do headend do AnyConnect versão 4.9.04053 instalado.

Etapa 7.2 Em seguida, selecione Substituir e Procurar Flash para substituir o antigo pacote de implantação de headend do AnyConnect versão 4.9.04053 pelo 4.9.06037 previamente transferido para a memória flash.

Etapa 8. Importar a amostra do AnyConnect transforma arquivos.

Etapa 8.1 Navegue até ASDM Configuration > Remote Access VPN > Customized Installer Transforms > Import e import a amostra transforma os arquivos necessários.

Etapa 8.2 Importar o AnyConnect versão 4.9.06037 _anyconnect-win-lockdown.mst amostra transforma o arquivo para permitir o bloqueio para ambos, o CORE e VPN e os módulos Umbrella Roaming Security.

Insira os valores da seguinte maneira: Nome: _anyconnect-lockdown Plataforma: vitória

Observação: o

AnyConnect_anyconnect-win-lock.mst sample transforma o arquivo em qualquer módulo do AnyConnect necessário.

 

Etapa 8.3 Importar a versão 4.9.06037 _anyconnect-win-hide-addremove-display.mst amostra transforma o arquivo para permitir a ocultação da lista de programas de adição/remoção para ambos, o CORE e VPN e os módulos Umbrella Roaming Security.

Insira os valores da seguinte maneira: Nome: _anyconnect-hideaddremove Plataforma: vitória

Nota: O

_anyconnect-win-hide-addremove-display.mstsample transforma o arquivo que funciona para qualquer módulo do AnyConnect necessário.

 

Nota: No momento em que este artigo foi escrito, o nome usado para importar os arquivos

de transformação de amostra deve ter um sublinhado "_" no início do nome, o que força as

transformações de amostra importadas a funcionar para qualquer módulo do AnyConnect.

Se você usar um nome diferente sem um sublinhado no início do nome, a amostra de

transformação importada funcionará apenas para o módulo CORE e VPN Anyconnect

(

CSCvy38427

).

Etapa 9. Atualização automática da implantação da Web do AnyConnect.

Etapa 9.1 Force a atualização automática da implantação da Web do AnyConnect para o CORE e VPN e os módulos Umbrella Roaming Security. Aqui a configuração do ASA AnyConnect está em vigor para permitir que o CORE e a VPN e os módulos de segurança de roaming Umbrella sejam atualizados automaticamente:

webvpn enable outside anyconnect image disk0:/anyconnect-win-4.9.06037-webdeploy-k9.pkg 1

anyconnect enable tunnel-group-list enable group-policy ANYCONNECT_GP1 internal group-policy

ANYCONNECT_GP1 attributes vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy

tunnelspecified split-tunnel-network-list value SPLIT_TUNNEL1 webvpn anyconnect modules value

umbrella tunnel-group MY_TUNNEL1 type remote-access tunnel-group MY_TUNNEL1 general-attributes

address-pool VPN_POOL1 default-group-policy ANYCONNECT_GP1 tunnel-group MY_TUNNEL1

webvpn-attributes group-alias SSL_TUNNEL1 enable

Etapa 9.3 Depois disso, os Núcleo e VPN do AnyConnect e os módulos Umbrella Roaming Security são atualizados para a versão 4.9.06037 com o bloqueio e o ocultamento dos recursos da lista de programas add/remove habilitados.

Verificar

Confirme se o recurso de bloqueio está ativado para os módulos do AnyConnect instalados

Etapa 2. Em seguida, rClique com o botão direito do mouse sobre o CORE e VPN e os serviços

Umbrella Roaming Security.

Você pode confirmar se o recurso de bloqueio está habilitado, pois não tem permissão para

Iniciar, Parar, Pausar, Retomar ou Reiniciar os serviços para esses módulos do AnyConnect.

Confirmar o Ocultar da lista Adicionar/remover programas o recurso está ativado para os módulos do AnyConnect instalados

Etapa 2. Confirme a versão do AnyConnect instalada.

Para isso, selecione o ícone INFO no cliente AnyConnect da seguinte maneira:

Etapa 2.2 Para a versão 4.9.06037 do AnyConnect:

Etapa 3. Confirme se os módulos AnyConnect CORE & VPN e Umbrella Roaming Security estão ocultos na lista Adicionar/remover programas do Windows.

Troubleshoot

Não há procedimento de solução de problemas a seguir para este documento.

Erros relacionados

CSCvy38427

     ASDM: Transforma o nome do arquivo deve começar com o sublinhado "_" para

entrar em vigor em vários módulos CA

Informações Relacionadas

Suporte Técnico e Documentação - Cisco Systems