فهم عملية النشر المؤتمتة باستخدام ملف تعريف المظلة المضمن (في Windows)

المقدمة

يصف هذا المستند تمارين النشر المؤتمتة مع ملف تعريف Umbrella المدمج في Cisco Secure Client (Windows).

نظرة عامة

يتضمن نشر Cisco Secure Client (CSC) (المعروف سابقا باسم AnyConnect) باستخدام وحدة Umbrella المكونات التالية:

• تثبيت الوحدة النمطية CSC Core VPN Module 
• تثبيت وحدة Umbrella Roaming Security Module
• تثبيت ملف تعريف Umbrella (OrgInfo.json)
• تثبيت وحدة أداة التشخيص وإعداد التقارير (DART) (إختيارية)

تقدم هذه المقالة تعليما حول كيفية تثبيت هذه المكونات برمجيا (على Windows).  يتم تضمين ملف تعريف Umbrella في حزمة التثبيت المناسبة للتثبيت من المجلدات المشتركة.

إنشاء حزمة ما قبل النشر

تقوم هذه الخطوات بنشر وحدة Umbrella النمطية. لاحظ أن وظيفة شبكة VPN من Cisco معطلة بالكامل. ومع ذلك، ما يزال يتعين تثبيت الوحدة النمطية VPN الأساسية لأنها تستخدم للاعتراض الأساسي لحركة مرور DNS.

بناء حزمة النشر

1. 1. قم بتنزيل ملف تعريف وحدة أمان التجوال Umbrella Roaming Security Module من لوحة معلومات Umbrella لديك. عمليات النشر > أجهزة الكمبيوتر المتجولة > عملاء التجوال.
      • اسم الملف الذي تم تنزيله لملف تعريف الوحدة النمطية هو OrgInfo.json
   2. قم بتنزيل حزمة "النشر المسبق" للوحدة النمطية لأمان التجوال Umbrella من أحد هذه المواقع:
      • :software.cisco.com
      • ملاحظات إصدار Umbrella
   3. قم باستخراج عميل AnyConnect الذي تم تنزيله والعثور على رقم الإصدار.  لاحظ أسماء الملفات وأرقام الإصدارات في الحزمة المستخرجة
      
      27073502800788
      
      
   4. قم بإضافة ملف OrgInfo.json الخاص بك داخل مجلد "ملفات التعريف\Umbrella"* في نفس دليل المثبت.  تعد هذه الخطوة ضرورية للوحدة النمطية Cisco Umbrella للتسجيل تلقائيا بعد التثبيت. يجب أن تبدو بنية المجلد بهذا الشكل:

      cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msicisco-secure-client-win-win-X.X.XXXXX-umbrella-predeploy-k9.msicisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi\Profiles\umbrella\OrgInfo.json         

قم بإنشاء المجلد الفرعي \ملفات التعريف\Umbrella بجوار ملفات MSI إذا لم يكن موجودا بالفعل.

إستضافة الحزمة

يجب توزيع الحزمة على المستخدمين النهائيين باستخدام المجلد الفرعي 'Profile\Umbrella'.  ومن الممكن تحقيق هذه الغاية على هذه النحو:

• مجلد شبكة مشترك
• برنامج إدارة النقطة الطرفية الذي يدعم تكوين حزم تثبيت الملفات المتعددة

نشر الحزمة

يمكن الآن نشر ملفات MSI ببساطة باستخدام برنامج إدارة نقطة النهاية أو باستخدام 'msiexec'.

أوامر MSI

msiexec /package cisco-secure-client-win-X.X.XXXXX-core-vpn-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* vpninstall.log 
msiexec /package cisco-secure-client-win-X.X.XXXXX-umbrella-predeploy-k9.msi PRE_DEPLOY_DISABLE_VPN=1 /norestart /passive /lvx* umbrellainstall.log
msiexec /package cisco-secure-client-win-X.X.XXXXX-dart-predeploy-k9.msi /norestart /passive /lvx* dartinstall.log

هام:  استبدل X.X.XXXXX بأرقام الإصدارات الصحيحة المطابقة لأسماء ملفات MSI.

تأكد من إضافة الخيار pre_deploy_disable_vpn=1 إلى وسيطات التثبيت لتعطيل وظيفة الشبكة الخاصة الظاهرية (VPN). وبدلا من ذلك، قم بحذف هذه الوسيطة لتمكين وظيفة الشبكة الخاصة الظاهرية (VPN).

خصائص MSI الإضافية أثناء التثبيت

تدعم حزم تثبيت Cisco العديد من خصائص MSI التي يمكن تغييرها أثناء التثبيت.  الخصائص شائعة الاستخدام ل Cisco Umbrella هي:

• الإغلاق = كما هو موضح، مما يمنع تعطيل الخدمة يدويا
• ArpSystemComponent = إخفاء البرنامج من قائمة "البرامج والميزات" في Windows
  

لتعيين ذلك أثناء التثبيت، أستخدم نفس خطوات التثبيت ولكن قم بتمرير الخصائص الإضافية إلى الأمر msiexec:

تمكين التأمين

msiexec /package <MSI> /passive LOCKDOWN=1 /lvx* 

إخفاء من البرامج والميزات

msiexec /package <MSI> /passive ARPSYSTEMCOMPONENT=1 /lvx* 

بدلا من ذلك، يمكن تكوين إعدادات MSI هذه عن طريق توفير ملفات تحويل المثبت المخصصة (.mst). للحصول على مزيد من المعلومات، راجع تكوين تأمين AnyConnect.

نشر ملف تعريف Umbrella (بعد التثبيت)

يشير الخطأ الشائع "ملف التعريف مفقود" إلى أن وحدة Cisco Umbrella النمطية مثبتة ولكن ملف التعريف (OrgInfo.json) غير مثبت. هذا يعني أنه لا يمكن لوحدة Cisco Umbrella النمطية التسجيل مع Cisco Umbrella أو تمكين الحماية.

لاحظ أن هذه المشكلة لا تحدث إذا كان ملف التخصيص قد تم دمجه بشكل صحيح في حزمة التثبيت.

4435402655892

إذا لم يكن من الممكن دمج ملف التخصيص في حزمة التثبيت يمكن نسخه بشكل مستقل إلى نقطة النهاية باستخدام مهمة التثبيت أو برنامج نصي.  يجب نشر ملف التعريف إلى هذا الموقع:

%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json

يعرض البرنامج النصي ل PowerShell مثالا لكيفية إنشاء OrgInfo.json برمجيا كمهمة تثبيت مادة النشر.  استبدلت مواضع ORG_ID، و FINGER، و USER_ID المؤقتة بالقيم ذات الصلة من ملف التعريف الخاص بك.

$org_file = "%PROGRAMDATA%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json" 
$data=@" 
{ 
    "organizationId" : "ORG_ID", 
    "fingerprint" : "FINGERPRINT", 
    "userId" : "USER_ID" 
} 
"@ 

if(-not(Test-Path -Path $org_file)) 
{ 

$data > $org_file 
} 

تعطيل وظيفة الشبكة الخاصة الظاهرية (VPN) (بعد التثبيت)

إذا لم يتم تعطيل وظيفة الشبكة الخاصة الظاهرية (VPN) أثناء النشر، فمن الممكن تعطيلها في وقت لاحق عن طريق نشر ملف تعريف شبكة VPN خاص إلى الجهاز.  راجع https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows

نشر المرجع المصدق الجذر من Cisco

بالنسبة لصفحات الحظر التي لا تحتوي على أخطاء وتصفح HTTPS، يلزم الثقة في Cisco Umbrella Root CA لكل نقطة نهاية.  ارجع إلى برنامج إدارة نقطة النهاية للحصول على تفاصيل حول كيفية نشر مرجع شهادات مركزيا.