Einleitung
In diesem Dokument wird beschrieben, wie Sie mit dem Umbrella-Modul zum Unified Endpoint-Agenten des Cisco Secure Client migrieren.
Zweck
Im Zuge der Weiterentwicklung von Umbrella haben wir unsere Methoden zum Schutz von Roaming-Computern verbessert. Im Rahmen unserer kontinuierlichen Bemühungen um Innovation haben wir den Cisco Secure Client eingeführt, der auf AnyConnect basiert und unser Unified Endpoint Agent der nächsten Generation ist. Dieser neue Client bietet alle Vorteile des Umbrella Roaming Client und bietet gleichzeitig eine fortschrittlichere Sicherheitslösung, einschließlich einer Reihe von Sicherheits-Dienstmodulen, überragender Leistung und erweiterter Kompatibilität. Es integriert die neueste Version des Umbrella-Moduls sowie viele andere Module.
Bitte beachten Sie, dass Cisco das End-of-Life von Cisco AnyConnect im Jahr 2023 und den Umbrella Roaming Client im Jahr 2024 angekündigt hat.Viele Umbrella-Kunden profitieren bereits von der Migration auf den Cisco Secure Client, und es wird empfohlen, so bald wie möglich mit der Migration zu beginnen, um ein besseres Roaming-Erlebnis zu erhalten.
Alle Kunden mit gültigen Lizenzen und aktiven Umbrella-Supportverträgen sind zur kostenlosen Migration auf Cisco Secure Client berechtigt. Diese Kunden haben Anspruch auf das Umbrella-Modul, das dieselben Funktionen wie der Umbrella Roaming Client umfasst!
Dieser Artikel behandelt den Migrationsprozess und alle Fragen zum Cisco Secure Client.
Upgrade auf Cisco Secure Client
In diesem Abschnitt wird die Migration zum Cisco Secure Client beschrieben.
Migration von AnyConnect
Der Cisco Secure Client verfügt über einen Mechanismus, um eine vorhandene AnyConnect-Installation automatisch zu erkennen, Konfigurationen daraus zu sammeln, diese Einstellungen auf den Cisco Secure Client zu migrieren und dann den alten AnyConnect-Client zu deinstallieren. In einigen Ausnahmefällen schlägt dieser Prozess jedoch fehl, sodass einige Kunden es vorziehen, den AnyConnect-Client vor der Installation von Cisco Secure Client selbst zu deinstallieren.
Anmerkung: Deaktivieren Sie alle AnyConnect-Installationsaufgaben in der Endpunktverwaltungssoftware, um zu verhindern, dass ältere AnyConnect-Versionen neu installiert werden.
Migration vom Umbrella Roaming Client
Anmerkung: Kunden mit gültigen Lizenzen und aktiven Umbrella-Supportverträgen, die vom Umbrella Roaming Client migrieren, können nur für das Umbrella Modul auf Cisco Secure Client migrieren.
Der Cisco Secure Client verfügt über einen Mechanismus, um eine vorhandene Umbrella Roaming Client-Installation automatisch zu erkennen, Konfigurationen daraus zu sammeln, diese Einstellungen zu Cisco Secure Client zu migrieren und dann den alten Umbrella Roaming Client zu deinstallieren. In einigen Ausnahmefällen schlägt dieser Prozess jedoch fehl, sodass einige Kunden es vorziehen, den Umbrella Roaming-Client vor der Installation von Cisco Secure Client selbst zu deinstallieren.
Anmerkung: Deaktivieren Sie alle Umbrella Roaming Client-Installationsaufgaben in der Endpunktverwaltungssoftware, um zu verhindern, dass der Roaming Client neu installiert wird.
Installation des Cisco Secure Client
1. Cisco Secure Client herunterladen
Methode 1: Umbrella Dashboard
Melden Sie sich bei Ihrem Umbrella Dashboard an, und navigieren Sie zu Deployments > Roaming Computers. Klicken Sie auf das Download-Symbol des Roaming-Clients oben rechts, und laden Sie das entsprechende Paket für Ihr Betriebssystem vor der Bereitstellung herunter.
Methode 2: Software.cisco.com
Melden Sie sich unter software.cisco.com an, und navigieren Sie zum Abschnitt "Secure Client 5". Laden Sie das für Ihr Betriebssystem geeignete Paket vor der Bereitstellung herunter.
2. Doppelklicken Sie auf Setup-Datei Anwendung
Dieses Fenster wird angezeigt:
17890872895892
3. Wählen Sie nur die Optionen Umbrella und Diagnostic and Reporting Tool aus.
Die Auswahl von Computerdienste sperren ist optional und hindert Benutzer und Administratoren daran, den Status der Dienste von Cisco Secure Client auf einem Gerät zu ändern.
Anmerkung: Das Modul "Core & AnyConnect VPN" wird als erforderliches Core-Modul installiert. Durch Deaktivieren der Option "Core & AnyConnect VPN" wird das VPN in der GUI ausgeblendet. Der VPN-Dienst (csc_vpnagent) wird weiterhin im Hintergrund ausgeführt, das VPN wird jedoch nicht in der GUI angezeigt.
4. Klicken Sie auf Ausgewählte installieren, um die Module zu installieren.
Beim Starten von Cisco Secure Client werden folgende Fenster angezeigt:
27072090674324
5. Zu diesem Zeitpunkt erkennt und deinstalliert der Cisco Secure Client den Umbrella Roaming Client. Warten Sie etwas Zeit, bis dies abgeschlossen ist.
Installation des Umbrella-Profils
Das Umbrella-Profil (OrgInfo.json) wird automatisch von der vorherigen Installation des Roaming-Clients oder AnyConnect erkannt und in den Secure Client importiert.
Bei neuen Installationen ist es jedoch wichtig, das Umbrella-Profil (OrgInfo.json) auf dem Endpunkt bereitzustellen. Diese Datei identifiziert Ihre Umbrella-Organisation eindeutig und ermöglicht dem Client, sich bei der Umbrella-Cloud zu registrieren. Dieser Schritt ist erforderlich, wenn Sie auf einem Gerät ohne Cisco AnyConnect installieren oder vom Umbrella-Roaming-Client migrieren:
- Laden Sie das Modul-Profil OrgInfo.json von Ihrem Dashboard unter Deployments > Core Identities > Roaming Computers > Roaming Client herunter, und klicken Sie dann auf Download (Herunterladen) in der oberen rechten Ecke.
- Wählen Sie Download Module Profile (Modulprofil herunterladen).
- Kopieren Sie nach dem Download die Datei Orginfo.json an den hier angegebenen Speicherort:
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json (Windows/opt/cisco/secureclient/umbrella/OrgInfo.json (OSX)
Massenbereitstellung
Secure Client (einschließlich Umbrella-Modul und Profil) kann mithilfe von Endpunkt-Management-Tools (z. B. UEM, MDM, RMM) massenweise bereitgestellt werden. Siehe folgende Artikel:
- Installation über die Befehlszeile und RMM-Referenz (Windows)
Anpassung
Verzeichnisstruktur
Die Verzeichnisspeicherorte wurden mit Cisco Secure Client geändert.
Cisco Secure Client-Verzeichnisse
Windows
Ausführbar
C:\Program Files (x86)\Cisco\Cisco Secure Client
Umbrella-Datenverzeichnis
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\
MacOS
Ausführbar
/Applications/Cisco/Cisco Secure Client.app
Umbrella-Datenverzeichnis
/opt/cisco/secureclient/umbrella/
Häufig gestellte Fragen
F: Können wir mit dem Umbrella Roaming Client fortfahren?
A : Das Lebenszyklusende des Umbrella Roaming-Clients ist am 2. April 2024. Sie können das Programm auch nach diesem Datum weiterhin verwenden. Cisco bietet bis zum 2. April 2025 für ein Jahr Support und Fehlerbehebungen für kritische Probleme und Schwachstellen an. Alle neuen Verbesserungen und Innovationen werden jedoch nur im Cisco Secure Client bereitgestellt. Nach dem 2. April 2025 sind alle neuen Geräteregistrierungen für den Umbrella Roaming Client eingeschränkt. Kunden, die zu diesem Zeitpunkt noch Umbrella Roaming Client verwenden, erhalten keinen Support oder Updates mehr.
F: Ist das Umbrella-Modul dasselbe wie das Roaming Security-Modul?
A : Ja, Umbrella Module ist nur der neue vereinfachte Name für das Roaming Security Module.
F: Wir haben bereits einen VPN-Agenten eines Drittanbieters. Wir möchten das VPN-Modul nicht installieren. Ist das eine Option?
A : Das VPN-Modul wird als Core-Modul installiert. Sie müssen das VPN-Modul jedoch überhaupt nicht konfigurieren oder verwenden. Sie haben jedoch die Möglichkeit, das VPN-Modul in der GUI auszublenden. Deaktivieren Sie einfach während der Installation die Option "Core & AnyConnect VPN", um das VPN in der GUI auszublenden. Der VPN-Dienst (csc_vpnagent) wird weiterhin im Hintergrund ausgeführt, das VPN wird jedoch nicht in der GUI angezeigt. Weitere Informationen zum Ausblenden des VPN-Moduls finden Sie im folgenden KB-Artikel: https://support.umbrella.com/hc/en-us/articles/18211951038740-How-to-hide-the-VPN-module-in-Cisco-Secure-Client-Windows
F: Ich benötige nur DNS-Layer-Sicherheit. Muss ich noch ein Upgrade durchführen?
A : Ja, und Sie können Ihr DNS-Abonnement weiterhin mit dem neuen Cisco Secure Client und Umbrella-Modul verwenden. Alle Kunden haben Anspruch auf das Umbrella-Modul von Cisco Secure Client. Das VPN-Modul ist ein Kernmodul und wird installiert, Sie müssen es jedoch nicht verwenden, und Sie haben die Möglichkeit, es in der Benutzeroberfläche auszublenden.
F: Wo erhalte ich eine Kopie des Cisco Security Client?
A :
Methode 1: Umbrella Dashboard
Melden Sie sich bei Ihrem Umbrella Dashboard an, und navigieren Sie zu Deployments > Roaming Computers. Klicken Sie auf das Download-Symbol des Roaming-Clients oben rechts, und laden Sie das entsprechende Paket für Ihr Betriebssystem vor der Bereitstellung herunter.
Methode 2: Software.cisco.com
Melden Sie sich unter software.cisco.com an, und navigieren Sie zum Abschnitt "Secure Client 5". Laden Sie das für Ihr Betriebssystem geeignete Paket vor der Bereitstellung herunter.
Anmerkung: Um den Download abzuschließen, müssen Sie sich mit einem gültigen Cisco Konto anmelden.
F: Ich habe ein Umbrella-Abonnement, verfüge aber über keine Lizenzen für Cisco Secure Client. Kann ich immer noch auf Cisco Secure Client aktualisieren?
A : Alle Kunden mit gültigen Lizenzen und aktiven Umbrella-Supportverträgen sind zur kostenlosen Migration auf Cisco Secure Client für das Umbrella-Modul berechtigt, das alle Umbrella Roaming Client-Funktionen beinhaltet!
F: Welche Unterschiede bestehen zwischen den verschiedenen Architekturen der Kunden?
A :
Umbrella Roaming Client-Ansatz
Der Umbrella Roaming Client verwendet einen Loopback-Adapter, um alle Anforderungen zu überprüfen, die an die DNS-Server gesendet werden, die in den DNS-Einstellungen der Netzwerkadapter eines Computers angegeben sind. Dazu muss der Roaming-Client den DNS-Server auf allen Adaptern zurücksetzen, damit er die Loopback-Adresse des lokalen Hosts 127.0.0.1 verwenden kann.
Der Nachteil dieses Ansatzes besteht darin, dass einige VPN-Clients mit dieser Konfiguration in Konflikt geraten. Dies kann entweder dadurch geschehen, dass die Konfiguration mit den vom Administrator festgelegten übereinstimmt, oder dadurch, dass verhindert wird, dass ein DNS-Resolver auf 127.0.0.1 ausgeführt wird.
Alternativ überschreiben einige VPN-Clients auch die DNS-Einstellungen eines Adapters mit VPN-Werten und überschreiben die DNS-Serveradresse des Roaming-Clients von 127.0.0.1 anstelle der ursprünglichen Werte. Dies kann dazu führen, dass der Umbrella Roaming Client und das in Konflikt stehende Softwarepaket nicht wie vorgesehen funktionieren, oder dazu, dass ein vollständiges DNS-Fail-Szenario eintritt, bei dem die konfigurierten DNS-Einstellungen beim Verbinden oder Trennen verloren gehen.
Cisco Secure Client-Ansatz
Mit dem Cisco Secure Client kann Umbrella als Modul installiert werden. Dieses Modul kann den Adapter steuern, ohne die DNS-Einstellungen auf der Schnittstelle zu ändern, sodass Konflikte bei DNS-Änderungen vermieden werden. Der Cisco Secure Client verwendet einen Kerneltreiber, der die DNS-Anfragen auf einer viel niedrigeren Ebene im Betriebssystem abfängt. Dieser komplexere Mechanismus hat den Vorteil, dass der Datenverkehr für alle Adapter nicht über die Loopback-Adresse laufen muss, sodass die ursprünglichen DNS-Einstellungen beibehalten werden. Aufgrund dieser unterschiedlichen Architektur ist das Umbrella-Modul im Vergleich zum Umbrella Roaming Client wesentlich besser mit anderer Software kompatibel.
F: Sind dem Umbrella-Modul für Cisco Secure Client Kompatibilitätsprobleme bekannt?
A: Der Cisco Secure Client baut auf der AnyConnect-Architektur auf, die weitaus kompatibler ist als der ältere Umbrella Roaming Client. In seltenen Fällen sind zusätzliche Maßnahmen erforderlich, damit das Umbrella-Modul mit Software von Drittanbietern funktioniert. Weitere Informationen finden Sie in diesem Artikel:
Softwarekompatibilität - Umbrella-Modul für Cisco Secure Client (und ältere AnyConnect-Lösungen)
F: Wir verfügen über AnyConnect- und Umbrella Roaming-Client-Installationen. Müssen wir beide manuell deinstallieren und den Cisco Secure Client mit den AnyConnect- und Umbrella-Modulen installieren?
A : Nein, die Secure Client-Installation erfolgt über ein nahtloses Upgrade. Das Installationsprogramm verschiebt die Datei Orginfo.json automatisch in die Ordner für den sicheren Client und deinstalliert gleichzeitig AnyConnect und den Umbrella Roaming Client. Wenn Sie die VPN-Funktionalität von AnyConnect verwendet haben, wird sie automatisch auf das AnyConnect VPN-Modul übertragen.
F: Nach der Installation wird die Benutzeroberfläche von Cisco Secure Client nicht angezeigt. Woher weiß ich, dass es funktioniert?
Sie können überprüfen, ob das Modul "Cisco Secure Client mit Umbrella" funktioniert, indem Sie entweder in Ihrem Browser https://policy-debug.checkumbrella.com aufrufen oder den folgenden Befehl ausführen:
nslookup -q=txt debug.opendns.com1
Die Ausgabe enthält eindeutige und relevante Informationen zu Ihrer Umbrella-Organisation, z. B. Ihre OrgID.
F: Wie finde ich Support-Dokumente für die Bereitstellung mit meinem spezifischen MDM- oder RMM-Tool?
A : RMMs und MDMs von Drittanbietern werden von Cisco Umbrella nicht offiziell unterstützt. Aus Höflichkeit stellen wir einige Beispiele auf unserer KB-Seite unter https://support.umbrella.com/hc/en-us/articles/18584514390932 zur Verfügung, die jedoch nicht unterstützt werden und "wie besehen" zur Verfügung gestellt werden. Wenn Sie Fragen oder Bedenken hinsichtlich der Gültigkeit oder Eignung dieser Produkte für Ihre Bereitstellung haben, wenden Sie sich an Ihren RMM- oder MDM-Anbieter.
F: Wie halte ich den Cisco Secure Client mit Umbrella Module nach der Bereitstellung auf dem neuesten Stand? Wird es automatisch aktualisiert?
A : Weitere Informationen zur Aktualisierung von Cisco Secure Client und Umbrella Module finden Sie in diesem Knowledge Base-Artikel:
Immer auf dem neuesten Stand beim Cisco Secure Client
Feedback