Configure O AnyConnect Lockdown E Oculte O
AnyConnect Da Lista Adicionar/Remover
Programas Para Windows
Contents
Introduction
Prerequisites
Requirements
Componentes Utilizados
Informações de Apoio
Configurar
Diagrama de Rede
Configurar o bloqueio do AnyConnect
Instaladores MSI do terminal do prompt de comando do Windows.
Opção de bloqueio do assistente de instalação do pacote de pré-implantação do AnyConnect.
Configure o AnyConnect para ocultar a lista Adicionar/remover programas
Instaladores MSI do terminal do prompt de comando do Windows.
Configure o AnyConnect Lockdown e oculte o AnyConnect da lista Adicionar/remover programas
com o ASDM
Verificar
Confirme se o recurso de bloqueio está ativado para os módulos do AnyConnect instalados
Confirme se a opção Ocultar na opção Adicionar/remover lista de programas está ativada para os
módulos do AnyConnect instalados
Troubleshoot
Erros relacionados
Informações Relacionadas
Sumário
Introduction
Este documento descreve as etapas necessárias para ativar o AnyConnect Lockdown e o Ocultar AnyConnect da lista de programas Adicionar/Remover para máquinas Windows.
Contribuído por Christian G. Hernandez R, engenheiro do TAC da Cisco.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
Configuração do Cisco Adaptive Security Appliance (ASA)
●
Configuração do Cisco AnyConnect
conhecimento básico do Windows
●
Componentes Utilizados
As informações neste documento são baseadas nas versões de software e hardware abaixo:
Cisco ASA versão 9.14.2.13
●
Cisco Adaptive Security Device Manager (ASDM) versão 7.14.1
●
Cisco AnyConnect versões 4.9.04053 e 4.9.06037
●
As informações neste documento foram criadas a partir de dispositivos em um ambiente de
laboratório específico. All of the devices used in this document started with a cleared (default)
configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de
qualquer comando.
Informações de Apoio
Bloqueio do AnyConnect para Windows: A Cisco recomenda que os usuários finais tenham direitos limitados para Cisco AnyConnect Secure
Mobility Client no dispositivo. Se o usuário final garantir direitos adicionais, os instaladores podem fornecer um recurso de bloqueio que impede que usuários e administradores locais desliguem ou interrompam os serviços do AnyConnect.
Você tem três opções diferentes para ativar o recurso AnyConnect Lockdown: 1. Instaladores MSI do terminal do prompt de comando do Windows.
2. Opção de bloqueio do assistente de instalação do pacote de pré-implantação do AnyConnect. 3. ASDM - importe um exemplo de bloqueio do instalador transforma o arquivo no ASA.
Ocultar o AnyConnect da lista de programas Add/Remove para Windows: Você pode ocultar os módulos do AnyConnect instalados da lista
Adicionar/remover programas no Painel de controle do Windows Desinstalar um programa.
Você tem duas opções para ativar o recurso Ocultar AnyConnect da lista de programas Adicionar/Remover: 1. Instaladores MSI do terminal do prompt de comando do Windows.
2. ASDM - importe um exemplo de instalação de ocultar-adicionar transforma o arquivo para o ASA.
Configurar
Configurar o bloqueio do AnyConnect
Instaladores MSI do terminal do prompt de comando do Windows.
Configuration Steps
Etapa 1. Baixe o arquivo do pacote de pré-implantação do AnyConnect para Windows.
Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows. Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui o MSI individual arquivos para a versão 4.9.04053
(anyconnect-win-4.9.04053-preDeployment-k9.zip).
Etapa 2. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.
Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download do arquivo AnyConnect Installer Transforms para Windows que corresponde à mesma versão do AnyConnect a ser instalada na máquina Windows.
Etapa 3. Descompacte os arquivos do AnyConnect baixados em diferentes pastas.
Etapa 3.1 O arquivo anyconnect-win-4.9.04053-preDeployment-k9.zip é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.
Etapa 3.2 As ferramentas-anyconnect-win-4.9.04053-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms.
Etapa 4. Copie e cole o bloqueio do AnyConnect transforma o arquivo na mesma pasta dos arquivos do instalador do AnyConnect MSI.
Etapa 4.1 Na pasta tools-anyconnect-win-4.9.04053-transforms, copie o _anyconnect-win-lockdown.mst lockdown transforma arquivos e os cola na pasta anyconnect-win-4.9.04053-preDeployment-k9 da seguinte maneira.
Etapa 5. CD no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect.
Etapa 5.1 Abra um terminal e um cd de prompt de comando do Windows no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect e o anyconnect-win-lockdown.mst lockdown transforma o arquivo copiado/colado na etapa acima.
Este cd de exemplo no próximo caminho da pasta C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.
Etapa 6. Instale os módulos do AnyConnect com o arquivo de transformação do bloqueio.
Etapa 6.1 IInstale cada um dos módulos do AnyConnect necessários com o próximo comando do instalador do MSI que aponte para o arquivo do módulo .msi do AnyConnect e o anyconnect-win-lockdown.mst lockdown transforma o arquivo.
TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
Nota:O valor de LOCKDOWN configurado como "1" ativa o recurso de bloqueio para a instalação do módulo AnyConnect.
Nota: A Cisco recomenda que você use o arquivo de transformação de exemplo fornecido para definir esta propriedade, aplique a transformação a cada instalador MSI para cada módulo que você deseja bloquear. Você pode fazer o download das transformações de exemplo na página de download do software Cisco AnyConnect Secure Mobility Client.
Nota:Se você implantar o cliente central mais um ou mais módulos opcionais, deverá aplicar a propriedade LOCKDOWN a cada um dos instaladores. Esta operação é apenas unidirecional e não pode ser removida a menos que você reinstale o produto.
Etapa 6.2 Este exemplo instala o módulo CORE e VPN do AnyConnect e o _anyconnect-win-lock.mst lockdown transforma o arquivo, ambos correspondem aos arquivos da versão 4.9.04053 do AnyConnect.
msiexec -i anyconnect-win-4.9.04053-core-vpn-predeploy-k9.msi
TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
Etapa 6.3 Este exemplo instala o módulo Umbrella Roaming Security do AnyConnect e o arquivo _anyconnect-win-lock.mst lockdown transforma os arquivos da versão 4.9.04053 do AnyConnect.
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi
TRANSFORMS=_anyconnect-win-lockdown.mst LOCKDOWN=1 -lvx* install.log
Opção de bloqueio do AnyConnect pacote de pré-implantação assistente de instalação.
Configuration Steps
Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows.
Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui os arquivos MSI individuais para a versão 4.9.04053
(anyconnect-win-4.9.04053-preDeployment-k9.zip).
Etapa 2. Abra o arquivo de configuração do AnyConnect.
Etapa 2.1 Descompacte o arquivo anyconnect-win-4.9.04053-pre-Deployment-k9.zip baixado e abra-o. Etapa 2.2 Em seguida, clique duas vezes no arquivo de configuração do AnyConnect.
Etapa 3. Trabalhe com o assistente de instalação do AnyConnect.
Etapa 3.1 Selecione os módulos do AnyConnect que deseja instalar a partir das opções exibidas. Para este exemplo, selecione o AnyConnect CORE & VPN e os módulos Umbrella Roaming Security.
Etapa 4. Ative o recurso de bloqueio do AnyConnect.
Etapa 4.1 Para habilitar o recurso de bloqueio para o CORE e VPN e para os módulos Umbrella Roaming Security, selecione a opção Lock Down
Etapa 5. Confirme a instalação dos módulos do AnyConnect.
Etapa 5.1 A instalação dos módulos do AnyConnect é concluída em 100% quando a próxima mensagem é exibida.
Configure o AnyConnect para ocultar a lista Adicionar/remover programas
Instaladores MSI do terminal do prompt de comando do Windows.
Configuration Steps
Etapa 1. Baixe o arquivo do pacote de pré-implantação do AnyConnect para Windows.
Etapa 1.1 Navegue até a página de download do software Cisco e faça o download da versão do AnyConnect para instalar na máquina Windows. Para este exemplo, faça o download do pacote de pré-implantação do Windows AnyConnect que inclui o MSI individual arquivos para a versão 4.9.04053
Etapa 2. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.
Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download do arquivo AnyConnect Installer Transforms para Windows que corresponde à mesma versão do AnyConnect a ser instalada na máquina Windows.
Etapa 3. Descompacte os arquivos do AnyConnect baixados em diferentes pastas.
Etapa 3.1 O arquivo anyconnect-win-4.9.04053-preDeployment-k9.zip é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.
Etapa 3.2 As ferramentas-anyconnect-win-4.9.04053-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.04053-transforms.
Etapa 4. Copie e cole o arquivo de transformação de ocultar-adicionar do AnyConnect na mesma pasta dos arquivos do instalador do AnyConnect MSI. Etapa 4.1 Na pasta tools-anyconnect-win-4.9.04053-transforms, copie a _anyconnect-win-hide-addremove-display.mst transforma o arquivo e o cola na pasta anyconnect-win-4.9.04053-preDeployment-k9 da seguinte maneira.
Etapa 5. CD no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect.
Etapa 5.1 Abra um terminal e um cd do prompt de comando do Windows no caminho da pasta que tem os arquivos de instalação do MSI AnyConnect e o anyconnect-win-hide-addremove-display.mst transforma o arquivo copiado/colado na etapa acima.
Este cd de exemplo no próximo caminho da pasta C:\Users\calo\Downloads\anyconnect-win-4.9.04053-preDeployment-k9.
Etapa 6. Instale os módulos do AnyConnect com o arquivo de transformações de texto oculto.
Etapa 6.1 IInstale cada um dos módulos do AnyConnect necessários com o próximo comando do instalador do MSI que aponta para o arquivo do módulo .msi do AnyConnect e o anyconnect-win-hide-addremove-display.mst transforma o arquivo.
TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
Observação:
o valor de ARPSYSTEMCOMPONENT configurado como "1" permite que o recurso Ocultar AnyConnect da lista de programas Add/Remove para que o módulo AnyConnect seja instalado.Nota: A Cisco recomenda que você use o arquivo de transformação de exemplo fornecido
para definir esta propriedade, aplique a transformação a cada instalador MSI para cada
módulo que deseja ocultar. Você pode fazer o download das transformações de exemplo na
página de download do software Cisco AnyConnect Secure Mobility Client.
Nota:
Se você implantar o cliente principal mais um ou mais módulos opcionais, deverá aplicar
a propriedade HIDE-AnyConnect a cada um dos instaladores. Esta operação é apenas
unidirecional e não pode ser removida a menos que você reinstale o produto.
Etapa 6.2 Este exemplo instala o módulo CORE e VPN do AnyConnect e o _anyconnect-win-hide-addremove-display.mst transforma o arquivo, ambos correspondentes aos arquivos da versão 4.9.04053 do AnyConnect.
Etapa 6.3 Este exemplo instala o módulo Umbrella Roaming Security do AnyConnect e o _anyconnect-win-hide-addremove-display.mst transforma o arquivo, ambos correspondentes aos arquivos da versão 4.9.04053 do AnyConnect.
msiexec -i anyconnect-win-4.9.04053-umbrella-predeploy-k9.msi
TRANSFORMS=_anyconnect-win-hide-addremove-display.mst ARPSYSTEMCOMPONENT=1 -lvx* install.log
Configure o AnyConnect Lockdown e oculte o AnyConnect da lista Adicionar/remover programas com o ASDM
Este procedimento se aplica somente às atualizações de implantação da Web do AnyConnect. Este exemplo considera uma atualização da implantação da Web do AnyConnect da versão 4.9.04053 para 4.9.0.6037.
Configuration Steps
Etapa 1. Confirme a versão do AnyConnect executada na máquina Windows.
Etapa 1.1 A máquina Windows neste exemplo tem a versão 4.9.04053 do AnyConnect já instalada para os módulos Core e VPN e Umbrella Roaming Security.
Etapa 2. Baixe o arquivo do pacote de implantação do headend do AnyConnect para Windows.
Etapa 2.1 Navegue até a página de download de software da Cisco e faça o download da versão do arquivo do pacote de implantação do headend do AnyConnect para instalar na máquina Windows para a atualização da implantação da Web.
Para este exemplo, faça o download do pacote de implantação de headend do Windows AnyConnect versão 4.9.06037
Etapa 3. Baixe o instalador do AnyConnect transforma o arquivo para o Windows.
Etapa 3.1 Navegue até a página de download de software da Cisco e baixe o AnyConnect Installer transforma o arquivo para Windows que corresponde à mesma versão do AnyConnect para instalar na máquina Windows.
Etapa 4. Descompacte o AnyConnect transforma o arquivo baixado.
Etapa 4.1 TThe tools-anyconnect-win-4.9.06037-transforms.zipo arquivo é descompactado no próximo caminho da pasta: C:\Users\calo\Downloads\tools-anyconnect-win-4.9.06037-transforms.
Etapa 5. Abra o ASDM e conecte-se ao ASA com suas credenciais.
Etapa 6. Transfira o pacote de implantação de headend do AnyConnect do seu PC para a memória flash do ASA.
Etapa 6.1 Navegue para Ferramentas > Gerenciamento de arquivos > Transferência de arquivos > Entre PCs locais e Flash e transfira o pacote de implantação headend do AnyConnect versão 4.9.06037 (anyconnect-win-4.9.06037-webDeployment-k9.pkg) para a memória flash do ASA.
Passo 7. Configure a versão do pacote de implantação do headend do AnyConnect transferido para a atualização da implantação da Web.
Etapa 7.1 Navegue até ASDM Configuration > Remote Access VPN > Anyconnect Client Software e selecione o pacote de implantação do headend do AnyConnect versão 4.9.04053 instalado.
Etapa 7.2 Em seguida, selecione Substituir e Procurar Flash para substituir o antigo pacote de implantação de headend do AnyConnect versão 4.9.04053 pelo 4.9.06037 previamente transferido para a memória flash.
Etapa 8. Importar a amostra do AnyConnect transforma arquivos.
Etapa 8.1 Navegue até ASDM Configuration > Remote Access VPN > Customized Installer Transforms > Import e import a amostra transforma os arquivos necessários.
Etapa 8.2 Importar o AnyConnect versão 4.9.06037 _anyconnect-win-lockdown.mst amostra transforma o arquivo para permitir o bloqueio para ambos, o CORE e VPN e os módulos Umbrella Roaming Security.
Insira os valores da seguinte maneira: Nome: _anyconnect-lockdown Plataforma: vitória
Observação: o
AnyConnect_anyconnect-win-lock.mst sample transforma o arquivo em qualquer módulo do AnyConnect necessário.Etapa 8.3 Importar a versão 4.9.06037 _anyconnect-win-hide-addremove-display.mst amostra transforma o arquivo para permitir a ocultação da lista de programas de adição/remoção para ambos, o CORE e VPN e os módulos Umbrella Roaming Security.
Insira os valores da seguinte maneira: Nome: _anyconnect-hideaddremove Plataforma: vitória
Nota: O
_anyconnect-win-hide-addremove-display.mstsample transforma o arquivo que funciona para qualquer módulo do AnyConnect necessário.Nota: No momento em que este artigo foi escrito, o nome usado para importar os arquivos
de transformação de amostra deve ter um sublinhado "_" no início do nome, o que força as
transformações de amostra importadas a funcionar para qualquer módulo do AnyConnect.
Se você usar um nome diferente sem um sublinhado no início do nome, a amostra de
transformação importada funcionará apenas para o módulo CORE e VPN Anyconnect
(
CSCvy38427
).
Etapa 9. Atualização automática da implantação da Web do AnyConnect.
Etapa 9.1 Force a atualização automática da implantação da Web do AnyConnect para o CORE e VPN e os módulos Umbrella Roaming Security. Aqui a configuração do ASA AnyConnect está em vigor para permitir que o CORE e a VPN e os módulos de segurança de roaming Umbrella sejam atualizados automaticamente:
webvpn enable outside anyconnect image disk0:/anyconnect-win-4.9.06037-webdeploy-k9.pkg 1
anyconnect enable tunnel-group-list enable group-policy ANYCONNECT_GP1 internal group-policy
ANYCONNECT_GP1 attributes vpn-tunnel-protocol ssl-client ssl-clientless split-tunnel-policy
tunnelspecified split-tunnel-network-list value SPLIT_TUNNEL1 webvpn anyconnect modules value
umbrella tunnel-group MY_TUNNEL1 type remote-access tunnel-group MY_TUNNEL1 general-attributes
address-pool VPN_POOL1 default-group-policy ANYCONNECT_GP1 tunnel-group MY_TUNNEL1
webvpn-attributes group-alias SSL_TUNNEL1 enable
Etapa 9.3 Depois disso, os Núcleo e VPN do AnyConnect e os módulos Umbrella Roaming Security são atualizados para a versão 4.9.06037 com o bloqueio e o ocultamento dos recursos da lista de programas add/remove habilitados.
Verificar
Confirme se o recurso de bloqueio está ativado para os módulos do AnyConnect instalados
Etapa 2. Em seguida, rClique com o botão direito do mouse sobre o CORE e VPN e os serviços
Umbrella Roaming Security.
Você pode confirmar se o recurso de bloqueio está habilitado, pois não tem permissão para
Iniciar, Parar, Pausar, Retomar ou Reiniciar os serviços para esses módulos do AnyConnect.
Confirmar o Ocultar da lista Adicionar/remover programas o recurso está ativado para os módulos do AnyConnect instalados
Etapa 2. Confirme a versão do AnyConnect instalada.
Para isso, selecione o ícone INFO no cliente AnyConnect da seguinte maneira:
Etapa 2.2 Para a versão 4.9.06037 do AnyConnect:
Etapa 3. Confirme se os módulos AnyConnect CORE & VPN e Umbrella Roaming Security estão ocultos na lista Adicionar/remover programas do Windows.